Robert's blog

PasswordsPro.v2.4.2.1 Cracked

over@live.cn(admin) — Wed,20 Aug 2008 17:01:58 +0800

PasswordsPro是罗刹鬼开发的一个password recover tools
还算强大吧
至少在win下能混个名次
很多功能大家都没好好利用罢了
本来今天有一堆的md5要破解的
娘的，好不容易国外论坛扒回来个比较新的版本的破解版
居然不能破解16位的md5
既然扒回来
就给需要的同学吧
省的大家再去扒

下载

dedecms tag.php注入漏洞分析与利用

over@live.cn(admin) — Wed,20 Aug 2008 14:29:09 +0800

author:toby57 [www.toby57.cn]
date:2008-08-18

Dedecms算是使用比较广泛的PHP整站系统了，在被使用的同时系统的安全性也被人们关注。在以前dedecms也爆过不少漏洞，官方都很快出了补丁，前几天80sec公布了注射漏洞
http://www.80sec.com/dedecms-sql-injection.html，其实这个系统也受最近很流行的多字节编码漏洞影响。不过今天说的这个漏洞与多字节编码无关，倒跟URL编解码有关系，

呵呵。仅测试了DedeCms2007(DedeCms V5.1 [sp1])。
目录下的tag.php文件对变量$tag处理不当，导致注入漏洞的形成，话不多说，贴代码：

if(isset($_SERVER["QUERY_STRING"])){
   $tag = trim($_SERVER["QUERY_STRING"]); //得到GET的参数
   $tags = explode('/',$tag); //以“/”分隔为数组$tags
   $tag = $tags[1]; //取数组$tags的第二个元素
   if(count($tags)>3) $PageNo = intval($tags[2]);
}else{
   $tag = "";
}
$tag = urldecode($tag); //对变量$tag做URL解码处理，%27解码后就成了“'”
//如果没有Tag或Tag不合法，显示所有Tag
if($tag=="" || $tag!=addslashes($tag) ){ //如果$tag为空或有'、"、\等字符则执行
   $dlist = new TagList($tag,'tag.htm'); //创建类TagList的实例,$tag传给其构造函数，此时$tag可能包含“'”
}
//如果有Tag，显示文档列表
else{
   $dlist = new TagList($tag,'taglist.htm');
}

类TagList相关代码：(./include/inc_taglist_view.php)

class TagList
{
   ..
   var $Tag;
   ..
   //php5构造函数
   function __construct($keyword,$templet) //$keyword=$tag
    {
        ..
        $this->Tag = $keyword;       //$this->Tag=$tag
       ..
        if($this->Tag!='')
    {
            $this->TagInfos = $this->dsql->GetOne("Select * From `#@__tag_index` where tagname like '{$this->Tag}' "); //查询执行，漏洞产生！
   }

以上就是代码的分析，可能说得不太清楚，这样的漏洞因为可以使用“'”,所以如果条件可以的话可以直接into file得SHELL。
利用方面大家自由发挥。为了方面我自己写了一个利用程序(http://www.lovettl.cn/tf/dedeExp.rar)

当File_priv为YES并得到了物理路径的时候就可以直接Get the shell了。其中得到物理路径的方法是利用了./include/htmledit/index.php的一个漏洞，我们提

交./include/htmledit/index.php?modetype=basic&height[]=toby57就可能得到路径。

如果这样得不到的话，还可利用重新安装漏洞，提交./install/index.php?step=2可以重新安装系统，当然也可以得到物理路径。

因为不能union查询，所以运气差的只有自己Get the hash再破解进后台拿SHELL了。

选择

over@live.cn(admin) — Sat,16 Aug 2008 13:43:38 +0800

选择了就义无反顾,就不在有遗憾了..
you just choice 。
这听起来像是在诱导,但是确是不得不面对的现实.

用ASP 按修改时间读取文件夹中文件并排序

over@live.cn(admin) — Thu,07 Aug 2008 09:04:52 +0800

Option Explicit

Private Type typFlieDate
Name As String
CreatedDate As Date
AccessedDate As Date
ModifiedDate As Date
End Type

Private myFiles() As typFlieDate '包含文件的数组
Private Sub Command1_Click()
Dim n As Integer
n = GetFolderFiles( "d:\" , 1)
End Sub

Private Function GetFolderFiles(Path As String, orderBy As Integer) As Integer
'path 文件夹路径
'orderby 排序依据 1：按创建时间 2：按访问时间 3：按修改时间 4：按名称
'返回文件夹中文件的个数
'如果要计算子文件夹可以通过 fldr.SubFolders 访问，方法类似

Dim tmpFile As typFlieDate
Dim n As Integer, i As Integer, j As Integer
Dim fso As New FileSystemObject
Dim fldr As Folder
Dim fls As Files
Dim fl As File

'读去文件
Set fso = CreateObject("Scripting.FileSystemObject")
Set fldr = fso.GetFolder(Path)
Set fls = fldr.Files
n = fls.Count
If n > 0 Then
ReDim myFiles(n - 1)
i = 0
For Each fl In fls
myFiles(i).Name = fl.Name
myFiles(i).AccessedDate = fl.DateLastAccessed
myFiles(i).CreatedDate = fl.DateCreated
myFiles(i).ModifiedDate = fl.DateLastModified
i = i + 1
Next
'排序 --- 升序
For i = 0 To n - 1
For j = i + 1 To n - 1
Select Case orderBy
Case 1 '创建时间
If myFiles(i).CreatedDate > myFiles(j).CreatedDate Then
tmpFile = myFiles(i)
myFiles(i) = myFiles(j)
myFiles(j) = tmpFile

' tmpFile.Name = myFiles(i).Name
' tmpFile.AccessedDate = myFiles(i).AccessedDate
' tmpFile.CreatedDate = myFiles(i).CreatedDate
' tmpFile.ModifiedDate = myFiles(i).ModifiedDate
'
' myFiles(i).AccessedDate = myFiles(j).AccessedDate
' myFiles(i).CreatedDate = myFiles(j).CreatedDate
' myFiles(i).ModifiedDate = myFiles(j).ModifiedDate
' myFiles(i).Name = myFiles(j).Name
'
' myFiles(j).AccessedDate = tmpFile.AccessedDate
' myFiles(j).CreatedDate = tmpFile.CreatedDate
' myFiles(j).ModifiedDate = tmpFile.ModifiedDate
' myFiles(j).Name = tmpFile.Name
End If

Case 2 '访问时间
If myFiles(i).AccessedDate > myFiles(j).AccessedDate Then
tmpFile = myFiles(i)
myFiles(i) = myFiles(j)
myFiles(j) = tmpFile
End If
Case 3 '修改时间
If myFiles(i).ModifiedDate > myFiles(j).ModifiedDate Then
tmpFile = myFiles(i)
myFiles(i) = myFiles(j)
myFiles(j) = tmpFile
End If
Case 4 '名称
If UCase(myFiles(i).Name) > UCase(myFiles(j).Name) Then
tmpFile = myFiles(i)
myFiles(i) = myFiles(j)
myFiles(j) = tmpFile
End If
End Select
Next j
Next i
End If
GetFolderFiles = n
End Function

彩票算法

over@live.cn(admin) — Tue,05 Aug 2008 20:14:29 +0800

转自：yuange1975
哈哈
好像还不错
baidu两度删帖
算法不错
本来保存在本地的
不过后来一想
应该流量也不错的，baidu才这么恨啊！
发出来吧！！

彩票赌博算法

设彩票的赔付率为f(0
，其实是个很不好的游戏。六合彩的特码f=40/49,平码f=42/49。

号码买全的最小投入是t，我们每次买s个号码，保证中奖率Z=z*s，不中奖下次N倍投注。连续n次的投入如果中奖，投入本钱B=tZ(N^n-1)/(N-1)，中奖J=tfN^(n-1)，那么收入

T=tfN^(n-1)-tZ(N^n-1)/(N-1)=tN^(n-1)/(N-1)*(f(N-1)-ZN)+tZ/(N-1)。

我们的回报率的大约h=tN^(n-1)/(N-1)*(f(N-1)-ZN)/(tZN^n/(N-1))=N/Z*(f(N-1)-ZN)，显然我们需要h>0，所以f(N-1)>ZN，Zf/(f-Z)。

由于大约投入本钱B=tZN^n/(N-1)，可以看出和N的指数关系，所以N不能太大，需要n尽量小。要尽快中将,也就是中奖率Z要尽量大，Zf/(f-Z)，Z

不能过于接近f，否则容易扩大N。满足Zf/(f-Z)的情况下，兼顾Z和N，让Z尽量大，N尽量小。每次中奖率Z，连续n次不中奖的概率是(1-Z)^n。

对于排列3：

f=0.5 t=1000*2=2000

如果取N=2,Z=0.2,连续20次不中的概率=1.15%，本钱B=2000*0.2*2^20=4.19亿，明显风险太大。

如果取N=2,Z=0.24,连续15次不中的概率=1.63%，本钱B=2000*0.24*2^15=1573万，风险还是太大。

所以这个号称有漏洞的显然没有经过认真计算。主要是返奖率 0.5太低，和号码空间大，如果10个号还能玩玩。

对于六合彩的平码：

f=42/49=0.857，t=49*5(不知道最小买几块，假设5块）

如果取N=2，Z=0.4，h=28.6,%连续15次不中的概率=0.047%，本钱B=49*5*0.4*2^15=321万，风险不大。

300多万连续玩100次，遇到爆了的可能大约是4.7%。不过继续玩很可能就爆了。不过此计算是在庄家无任何耍赖等情形下，所以真实情况完全可能不是这样。

如果取N=1.8，Z=0.35，h=28.7%,连续15次不中的概率=1.56%，本钱B=49*5*0.35*1.8^15/0.8=72.3万，风险不太大。

如果取N=2.5，Z=0.5，h=17.9%,连续10次不中的概率=0.098%，本钱B=49*5*0.5*2.5^10/1.5=77.9万，这个数据还可以，本钱再大点的情况下，能够概率更有保障。

买彩票是小钱小概率赢大钱，此算法转换为大钱大概率赢中钱。但返奖率f<1决定了总概率是赔钱的，只是我们设计了小概率赔大钱，本钱足够的情况下让这小概率不要发生，也就赢了钱。长期这样玩下去如果本钱不够或者庄家作弊将导致你死得很惨！

声明：此只是数学探讨，任何参与赌博行为与此无关。

地下六合彩的玩法和说明
玩法赔率说明
平码 1∶7 香港六合彩“搅珠”出来的前6个数为平码
包大小约1∶1.6 01—24号为小，25—49号为大
包单双约1∶1.6 02、04、06……48为双，01、03、05……49为单
包波色约1∶2.4 49个数分“蓝波”、“红波”、“绿波”
包生肖约1∶10 49个数对应12生肖，本命年对应5个数字，其它为4个数
特码 1∶40 香港六合彩“搅珠”出来的最后一个号码
二联码 1∶55 单注买中两个平码
三联码 1∶250 单注买中三个平码

reverse-ip DNS反向查询域名站点个人收集

over@live.cn(admin) — Tue,05 Aug 2008 09:54:58 +0800

http://www.yougetsignal.com/tools/web-sites-on-web-server/

http://www.114best.com/ip/

http://www.myipneighbors.com/

http://whois.webhosting.info/

http://www.rootkit.net.ru/tools

http://ip.wen.la

附带赏月早期开发的一个工具，半完成品
附带源代码
点击下载此文件

暴力破解NEEAO的防范注入管理界面的WVS 4 FUZZER脚本

over@live.cn(admin) — Tue,05 Aug 2008 09:49:55 +0800

autor:demonalex

点击下载此文件

xnibi.com病毒分析

over@live.cn(admin) — Tue,05 Aug 2008 09:47:20 +0800

部分来自网络
最近服务器中了arp病毒
查看来源是xnibi.com的
网上找了下，好象还没有很多的资料
其实这个病毒还算是牛B的吧！
至少arp方面还强
先贴出病毒分析
如下：

行为概述

1、修改系统时间、编辑指定文件和文件夹的访问权限。

2、去除指定文件的文件保护。

3、使用指定buffer覆盖beep.sys驱动文件。

4、恢复SSDT。

5、结束进程。

6、注入iexplore.exe进程执行下载并运行下载后的文件。

7、添加注册表启动项。

8、覆盖系统文件（dllcache下的也被覆盖）。

执行流程

Sin6C源文件

1、调用GetFileAttributes获取当前目录的autorun.inf文件，成功则获取病毒运行时路径，截取前3个字符调用ShellExecute打开。

2、创建互斥名称为“Alerter COM+”的互斥对象。失败则退出。

3、当前进程提权（SeDebugPrivilege）。

4、设置系统时间年份为2004年。

5、通过SheelExecute执行cacls编辑以下文件和文件夹的用户权限：

      a. cacls.exe c:\windows\system32\packet.dll /e /p everyone:f

      b. cacls.exe c:\windows\system32\pthreadVC.dll /e /p everyone:f

      c. cacls.exe c:\windows\system32\wpcap.dll /e /p everyone:f

      d. cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f

      e. cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f

      f. cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f

      g. cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f

      h. calc.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f

6、通过LoadLibrary加载sfc_os.dll，获取其序号为5的导出函数并调用，对以下文件去除Windows文件保护：

      a. %sys32dir%\drivers\beep.sys

      b. %sys32dir%\wuauclt1.exe

      c. %sys32dir%\dllcache\wuauclt.exe

7、停止系统beep服务，读取系统原来beep.sys的内容保存至一全局Buffer。病毒使用自身一Buffer写beep.sys，重新启动beep服务。

8、通过“\\.\RESSDTDOS”符号连接与驱动通信，恢复SSDT。方法：调用ntdll.dll的导出函数NtQuerySystemInformation。第一个参数为SystemModuleInformation，返回的是一个System_Module_Information结构的数组。加载数组的第一个System_Modul e_Informatio就是ntkrnlpa.Exe（2000下是ntoskrnl.Exe），得到KeServiceDescriptorTable的地址（RVA）。然后对ntkrnlpa.exe或ntoskrnl.exe进行重定位。计算重定位项，取与KeServiceDescriptorTable的RVA相等，并且[RVA-2]等于"5C7h"的RVA，取其[RVA+4]的RVA(KiServiceTable)。通过控制码22E14B发送原始函数地址至驱动恢复。

9、停止beep服务，将第7步保存的全局Buffer重新写回beep.sys后重新启动beep服务。

10、通过CreateToolhelp32Snapshot->Process32First->OpenProcess（PROCESS_TERMINATE）->TerminateProcess->Process32Next函数组合结束以下进程：

      360Safe.exe

      360tray.exe

      360rpt.exe

      Runiep.exe

      RAv.exe

      CCenter.exe

      RAVMON.exe

      RAVMOND.exe

      GuardField.exe

      Ravxp.exe

      GFUpd.exe

      Kmailmon.exe

      Kavstart.exe

      Kwatch.exe

      UpdaterUI.exe

      Rfwsrv.exe

      rfwProxy.exe

      Rfwstub.exe

      RavStub.exe

      Rfwmain.exe

      TBMon.exe

      KASARP.exe

      Scan32.exe

      VPC32.exe

      VPTRAY.exe

      ANTIARP.exe

      KRegEx.exe

      KvXp.kxp

      Kvsrvxp.kxp

      Kvsrvxp.exe

      KVWSC.EXE

      Iparmor.exe

      Avp.exe

      VsTskMgr.exe

11、停止以下服务名的系统服务：

      Sharedaccess

      Mcshield

      KWhatchsvc

      KPfwSvc

      Symantec AntiVirus

      Symantec AntiVirus Drivers Services

      Symantec AntiVirus Definition Watcher

      McAfee Framework 服务

      Norton AntiVirus Server

12、把自身覆盖复制至%sys32dir%\wuauclt1.exe，自身覆盖复制至%sys32dir%\dllcache\wuauclt.exe。

13、打开进程ID为4或8的进程(2000系统下进程ID为8的是system进程，XP系统下进程ID为4的是system进程)，将当前进程通过CreateFile（病毒运行时文件）打开的句柄复制至system进程里。

14、运行iexplore.exe，通过FindWindow查找类名“IEFrame”，将其返回的句柄调用GetWindowThreadProcessId得到iexplore.exe的进程ID。调用VirtualAllocEx->WriteProcessMemory将执行下载的代码写至iexplore.exe的进程空间后通过CreateRemoteThread让其运行。

15、感染系统上C至Z盘（本地磁盘和可移动磁盘），让每个磁盘根目录下生成MSDOS.exe和autorun.inf文件。MSDOS.exe为病毒自身复本，autorun.inf内容指向当前目录下的MSDOS.exe。

16、创建注册表启动项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run项下的test键值。test键值指向的文件路径为“%sys32dir%\wuauclt1.exe”。

17、创建注册表映像劫持项，劫持大量安全软件。

18、将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall项下的CheckedValue键的值修改为2，导致无法显示隐藏文件。

19、删除以下注册表项：

      a. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

      b. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

注入iexplore.exe的功能

1、复制%sys32dir%\urlmon.dll至%sys32dir%\w1ninet.dll。

2、分别调用LoadLibrary加载Shell32.dll和w1ninet.dll获取ShellExecute和URLDownloadToFile两个Api地址。

3、从以下网址下载木马程序并执行：

      http:/ /mmm.xnibi.com/dd/x.gif保存为C:\Program Files\Internet Explorer\x.pif

      http://mmm.xnibi.com/dd/1.exe保存为C:\Program Files\Internet Explorer\1.pif

      http://mmm.xnibi.com/dd/2.exe保存为C:\Program Files\Internet Explorer\2.pif

      http://mmm.xnibi.com/dd/3.exe保存为C:\Program Files\Internet Explorer\3.pif

      http://mmm.xnibi.com/dd/10.exe保存为C:\Program Files\Internet Explorer\3.pif

      Ps:中间省略，下载地址后缀从1~10.exe与保存路径的后缀1~10.pif相对应。

驱动文件

在IRP_MJ_DEVICE_CONTROL派遗例程里判断是否控制码22E14B，是则置Cr0的写保护位设为0，将传入的数据恢复SSDT，恢复后重置Cr0的写保护位设为1。

解决方案：
断网-先在用大成天下-数据安全实验室的-U盘免疫，在所有盘建立autotrun.inf文件夹
然后手动删除msdos.exe已经system32下的wuauclt1.exe，并在相关目录建立同名文件夹，即建立wuauclt1.exe类似的名字的文件夹(xp以上有效),利用超级巡警，结束相关进程
删除temp目录所有文件，注意是C:\Documents and Settings下面的temp
开启杀软杀毒，安装360安全卫士，查杀插件
修改hosts文件

BLOG升级

over@live.cn(admin) — Sun,20 Jul 2008 14:08:17 +0800

BLOG升级到最新版本。。PJBLOG 3.0