Re: 請問各位大大，為何很多人說FTP不安全

看板NetSecurity (資安資訊安全)作者EIPhunter.時間20年前 (2004/08/13 12:32)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串15/21 (看更多)

==> 在 TimHsu.bbs@bbs.sayya.org (消失) 的文章中提到: > ※ 引述《EIPhunter.bbs@bbs.cis.nctu.edu.tw (Intel的NX技術?? )》之銘言： > > 請你明白解釋你這話是什麼意思????!!!! > Take easy... > > 我已經說過這部分我很久沒碰了事實上已經是兩年前的事了!!!! > > 我對於這部分的了解完全來自於這幾篇文章: > > 實作方面也只有根據1. 中的文章內容改寫過一些類似於其中的範例而已 > > 因此我" 主觀 "的認為這種技術可行!!!! > 主觀的認為可行與實作出 exploit 是有差異的, > 此外, 你的原始文章內容的確會令人誤以為這種技術在 2002 就廣為使用, > 事實上卻只是 Idea 階段. 這地方的確是我的不是我那時看到許多人都提到這個Idea 加上在實作上的誤判讓我以為這已廣為流傳........ 是我孤陋寡聞了在此向各位看官說聲抱歉..... > > 我承認我沒有仔細鑽研過ptrace在Linux Kernel中的實作細節 > > 閣下自詡在ptrace這部分比我精通這當然也無可否認 > > 那想必閣下一定研究過ptrace在Linux Kernel中的實作細節!!! > > 請閣下詳細解釋 arch/i386/kernel/ptrace.c裡頭程式碼的設計原理和每一個 > > Assembly指令的運作(包括主函式和所有調用的函式)!!!! > > 不要跟我說你不知道怎麼跟蹤程式運作!!!!!! > > 並實作出一個ptrace的exploit出來!!!!! > 你提的這些並不難, 如果你夠 luck 也許你有天會看到 > 我寫的 ptrace 相關文章或 exploit. 既然你認為不難那也罷..... 若真如此到時我一定好好的拜讀幾遍如有什麼疑問還請不吝指點 > > 並解釋在2002年後新版本的Linux kernel實作出的Chroot為何不能用以往的 > > 把 chdir("../../../../../../../../../../../")這段函式寫成Assembly code > > 用GDB削減修改(削掉\x00和不必要的部分) 可以跑後再用objdump找出它的機器碼 > > 加到shellcode中(不要再跟我說這不可能!!!!! 網路上一堆現成的範例自己去找!!!!) > > 讓exploit執行而是要用我講的那種Ptrace手法請具體說明!!!!!!! 這部分我認為也很重要如果說我講的Ptrace手法目前不可行那也請指點指點為何這一段所提到的這個老方法在新版的Linux Kernel上無法達到預期效果原理上概述即可..... > > 好讓我和其他在這板上所有不懂ptrace的人好好地領教領教!!!! > > 更讓我覺得奇怪的是閣下和樓上那位前輩 > > 我都已經說如果有任何荒謬錯誤請批評指正 > > 可倒也沒說我蓋世無敵歡迎你們來挑戰我這種話!!!!! > > 如果我有錯也請明白說明錯在什麼地方? 為什麼錯? > > 如果懶得花這功夫也可叫我回去多看幾本書再來!!!! 或叫版主直接砍掉!!!! > > 用不著用這種口氣對我講話(這裡指T開頭的那位閣下)!!!!!!! > > 況且我前面幾篇有關RDP的那些文章不更是錯得更離譜!!!! 更沒根據嗎?!!! > > 我這篇文章的用意是在幫助這個人希望能對他派上用場 > > 那麼除了ptrace這部分之外其他部分若還有錯請一併指出來 > > 如果其他部分都還堪稱可用你們兩個就要這樣全盤否定我嗎???!!! > 我那句話全盤否定你了呢? > 而我那句話又講錯了呢? 你既然提不出你所謂的實際例子, 而只是 Idea, > 那就算了啊, 我又沒強迫你要 *請具體說明!!!!!!!* > 再說, 你丟一句 google:ptrace 是怎樣? 以為其它人都不知道 ptrace 嗎? 哈我叫人直接去找google的原因是不希望我直接把某幾篇文章給人後那些人就像我以前一樣就只是了解上面講到的內容其他相關連的部分或基礎都忽略了再說那些也都是很舊的東西了可能並不適用在今年(2002~2004耶.....) 如果他們能找到更新更好的文章那不是更好嗎??? 我可沒說這裡的人不懂Ptrace 我更沒說我很懂Ptrace!!!!! 倒是某人自詡比我更精通Ptrace 看來不知道是誰說誰不懂Ptrace???!!! 不過口說無憑既然自認還能發表正式的技術文章那到時就請大家一起評鑑評鑑...... 到時可千萬不要食言阿...... > 要人解釋東解釋西, 自己提出的一些見解又令人困惑, 或者講一堆以為多技術 > 的內容要人具體說明, 這叫作 "任何荒謬錯誤請批評指正"? 那你就直接講我講得不清楚嘛!!!!!!! 講的不清楚這才是你該指正的地方阿!!!!! 就像那些大學教授一樣批: 文章脈絡不清重點處解釋不明報告不及格退回重寫...... 不就好了嗎!!!!! 我就是因為不懂不清楚才要問這些問題來看你能不能解答阿!!!!!! 你認為那些東西沒啥技術那是你家的事!!!!! 我還是認為在這點上我的作法沒有錯!!!!!! > > 以上只是我所知道的相信各位如果用Google會找到更多也更詳細 > > 我本來還蠻喜歡ISS的產品也很崇拜嚮往" X-FORCE "那些人 > > 今天我想幫助人卻到遭如此待遇!!!!!! > > 請各位看官自己在心中評個公道吧...... > 既然都 Google 得到, 你就直接丟一句 google:iss 不就得了? 貼一些 > Google 到的新聞讓 ISS 出醜? (...) > 你何不提出自己發現的問題或漏洞, 這樣或許會讓人對你提起些敬意. 我自付我未來一年內我無法提出什麼我自己發現的漏洞....... 況且我現在的重點也根本不是鑽漏洞寫exploit這些東西而是如我之前說過的是那些根據系統核心(kernel)特性和機器架構運作 (如:Intel x86和SUN Sparc) 設計出來的那些偵測和防護機制這些才是我現在認為有用的東西!!!! 你這樣問我你不妨也拿出些自己發現的問題和漏洞或自己寫的exploits 最好能加上一些能繞過現有防護機制的技術..... 讓我和這裡的人對你提起些尊敬崇拜和畏懼!!!!!!! -- * Post by EIPhunter from 61-226-102-127.dynamic.hinet.net * Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>