demonalex的狂人日记

最近在做应急时碰到日常网站完整性检查工作方面的问题，所以写下了这篇文档：

http://www.i170.com/Attach/2238F5AC-C4C4-4F65-9C2D-00E087657932

inurl:"ViewerFrame?Mode="

inurl:"MultiCameraFrame?Mode="

intitle:"Live View / -AXIS"

inurl:"axis-cgi/mjpg"

intext:"MOBOTIX M1"

intext:"Open Menu"

inurl:"view/index.shtml"

2009-05过了CEH（312-50 in VUE），考试在广州嘉为（canway.net）进行。

考试时间：

由于是在广州考，所以考试时间有4个半小时（英文国家4小时，非英文国家4个半小时）。以前曾看过台湾考过这个考试的朋友说只需要两个半小时就搞定，结果我是用4个半小时...:(，主要原因是因为有很多情景题，每题的英文段落都很多--几乎一题就100-300字，所以如果英文不过关的朋友就建议先KK E文。

这两天的心情很沉重，因为两位无论是在工作上还是在生活上都给予我很多帮助的“大哥哥”要离我们而去了，我本人自知是个很情绪化的人（其实很多朋友都和我一样），所以这两天偶都没睡好，，，其中一位“大哥哥”对我这近三年的工作与生活有着很重大的影响，每当我看到可乐时我都会想起他对我的良性斥责--“小超不许喝可乐”，估计以后每次看到可乐时我都会想起他，，，也还记得因为我的工作错误导致项目陷入困局时，他拍着我的肩膀对我说“不怕，万大事有哥给你扛着...”，，，这两天我常后悔，以前为什么没做得更好~~

两位大哥哥，希望您俩位一帆风顺，我不会牢记您们的教诲继续前进的，因为我是未来的XXX。。。:)

writer: demonalex[at]dark2s[dot]org

在做应急响应的过程中我们经常会面对大规模的蠕虫泛滥事件，有时这些蠕虫是变种（做过免杀处理什么地），这时我们应该怎么办呢？可能我们需要在短时间内容做出一个PDCERF（应急处理流程）里的“C/抑制”手段，专杀工具是一个解决问题的好方向。如何做专杀呢？这是我们首先需要考虑的问题。

*谢谢同事盛哥介绍俺这个工具。

由著名NIPS鼻祖TippingPoint（现在是3COM的子公司）所维护的开源NIPS测试工具。

主页：

http://www.tomahawktesttool.org/index.html

sf.net主题：

http://tomahawk.sourceforge.net/

它的测试方法是通过把它安装在一台或多台有两张（建议为3张，多出来的一张网卡做管理网卡）的LINUX机器上，与NIPS设备做背靠背测试（有点像思博伦系列的设备了，如SmartBits、ThreatEx），不过发包还是要自己收集PCAP包，而且硬件性能个人觉得是个不定因素。没有Spirent这类型设备的同志，或是低成本的测试竞标可以考虑一下使用它。

参考资料：

http://monkey.org/~dugsong/fragroute/

http://insecure.org/stf/secnet_ids/secnet_ids.html

writer: demonalex[at]dark2s[dot]org

测试环境：Ubuntu 810 桌面版（Linux 2.6.27-10-generic #1 SMP i686）

1）首先需要安装模拟器qemu：
root@py-udesktop:/usr/local/sbin# apt-get install qemu qemuctl qemulator

2）配置zerowine。首先需要上sf.net上找到zerowine的项目组，并下载zerowine_vm到/usr/local/sbin，然后执行：
root@py-udesktop:/usr/local/sbin# tar -zxvf ./zerowine_vm-0.0.2.1.tar.gz
root@py-udesktop:/usr/local/sbin# chown -R root:root ./zerowine_vm
为保证zerowine能正常运行，这里需要两个设备文件（其中一个是目录文件），新建它们：
root@py-udesktop:/usr/local/sbin# touch /dev/fb0
root@py-udesktop:/usr/local/sbin# mkdir -p /dev/fb/0

3）运行zerowine：
root@py-udesktop:/usr/local/sbin# cd ./zerowine_vm
root@py-udesktop:/usr/local/sbin/zerowine_vm# mount -o remount,size=1040m /dev/shm
root@py-udesktop:/usr/local/sbin/zerowine_vm# vi ./start_img.sh
将原来的：
qemu -hda zerowine.img -boot c -m 1024 -redir tcp:8000::8000 -redir tcp:2022::22
替换为：
qemu -hda zerowine.img -curses -boot c -m 1024 -redir tcp:8000::8000 -redir tcp:2022::22
[:wq]
root@py-udesktop:/usr/local/sbin/zerowine_vm# ./start_img.sh
接下来就可以通过IE连接系统的http://IpAddress:8000/来进行操作了。

4）参考资料：
ZeroWine详细介绍：
http://www.searchsecurity.com.cn/ShowContent_17586_212.htm
WIN32 API查询：
http://msdn.microsoft.com/zh-cn/default.aspx
多引擎病毒特征在线分析：
http://www.virustotal.com/zh-cn/
http://www.evilfingers.com/projects/NoVirusThanks.php
http://virusscan.jotti.org/
http://www.virscan.org/
http://scanner.virus.org/

1）不要安装2.4以上版本的二进制安装包，因为2.4以上引入的动态引擎在snort.conf中的配置极其麻烦。
2）不要更改默认的安装路径，实验时发现如果更改后经常会出现奇怪的问题。

我个人用的版本是2.4.3，下载地址：
http://www.snort.org/dl/binaries/win32/old/Snort_243_Installer.exe

写了个小脚本给自己玩：

#!/usr/sbin/perl -w
print(`c:\\Snort\\bin\\snort.exe -W`);
print("您想要监控哪个接口 : ");
chop($intface=<STDIN>);
print("您要开启嗅探模式吗 ? (Y/N) :");
chop($answer=<STDIN>);
if(lc($answer) eq 'y'){
    system("c:\\Snort\\bin\\snort -A full -d -v -c c:\\Snort\\etc\\snort.conf -l c:\\Snort\\log -i $intface");
}else{
        if(lc($answer) eq 'n'){
            system("c:\\Snort\\bin\\snort -A full -d -v -p -c c:\\Snort\\etc\\snort.conf -l c:\\Snort\\log -i $intface");
        }else{
            print('错误回答! 退出...');
            system("pause");
        }
    }

不开启嗅探模式的原因是因为有些WINDOWS下的无线网卡在不禁用嗅探模式的情况是抓不了包的。

另外，看文本日志建议使用tail for windows：

http://tailforwin32.sourceforge.net/

#!/usr/bin/perl -w

#writer : demonalex[at]dark2s[dot]org

#usage:

#1)edit main function content as three example

#2)add this script path into /etc/rc.local

#!/usr/bin/perl -w
#Writer : demonalex[at]dark2s[dot]org

#Working platform : RedHat AS 4
#vsystem is default user .
#usage :
#1)Upload this perl script to BIN directory , and give it execute access permissions .
#2)Useradd a new User named ' vsystem ' , and modify uid and gid as 0 ( root permission ) .
#3)Usermod -s 'THIS SCRIPT PATH' vsystem

writer: demonalex[at]dark2s[dot]org

实验环境：RedHat AS4（2.6.9-34.EL）

nepenthes下载页面在http://nepenthes.mwcollect.org/download/。

{安装Nepenthes}
首先安装多个必要库：
[root@alex8 sbin]# yum install pcre-devel pcre curl curl-devel
[root@alex8 sbin]# wget http://www.chiark.greenend.org.uk/~ian/adns/adns.tar.gz
[root@alex8 sbin]# tar -zxvf adns.tar.gz
[root@alex8 sbin]# cd adns-1.2
[root@alex8 adns-1.2]# ./configure && make && make install
安装nepenthes：
[root@alex8 sbin]# tar -zxvf nepenthes-0.2.2.tar.gz
[root@alex8 sbin]# cd nepenthes-0.2.2
[root@alex8 nepenthes-0.2.2]# ./configure && make && make install

{配置}
[root@alex8 nepenthes-0.2.2]# cd /opt/nepenthes/etc/nepenthes
[root@alex8 nepenthes]# mkdir -p /opt/nepenthes/var/cache/nepenthes/geolocation
[root@alex8 nepenthes]# vi nepenthes.conf
更改路径信息：
########################################################
    moduledir               "/opt/nepenthes/lib/nepenthes";        // relative to workdir
    moduleconfigdir         "/opt/nepenthes/etc/nepenthes";                  // relative to workdir
        ring_logging_file               "/opt/nepenthes/var/log/nepenthes.%d.log";
        file_logging_file               "/opt/nepenthes/var/log/nepenthes.log";
        filesdir                    "/opt/nepenthes/var/binaries/";
        hexdump_path                "/opt/nepenthes/var/hexdumps/";
        cache_path                   "/opt/nepenthes/var/cache/nepenthes/geolocation/";
########################################################
[ESC]:wq

{运行}
启动：
[root@alex8 nepenthes]# /opt/nepenthes/bin/nepenthes -c /opt/nepenthes/etc/nepenthes/nepenthes.conf -r /opt/nepenthes -D
关闭：
[root@alex8 nepenthes]# killall nepenthes
预启动：
[root@alex8 nepenthes]# vi /usr/local/sbin/nepenthes.sh
写入以下内容：
########################################################
#!/bin/sh
/opt/nepenthes/bin/nepenthes -c /opt/nepenthes/etc/nepenthes/nepenthes.conf -r /opt/nepenthes -D
########################################################
[root@alex8 nepenthes]# chmod a+x /usr/local/sbin/nepenthes.sh
[root@alex8 nepenthes]# echo '/usr/local/sbin/nepenthes.sh&' >> /etc/rc.d/rc.local

{配置分析过程}
[root@alex8 nepenthes]# vi /opt/nepenthes/etc/nepenthes/nepenthes.conf
激活以下内容：
########################################################
  "submitnorman.so",              "submit-norman.conf",           ""
########################################################
[ESC]:wq
[root@alex8 nepenthes]# vi /opt/nepenthes/etc/nepenthes/submit-norman.conf
激活以下内容：
########################################################
        email   "demonalex@demonalex.3322.org";
//注意：demonalex@demonalex.3322.org是笔者的EMAIL地址。
########################################################
[ESC]:wq
重新启动nepenthes：
[root@alex8 nepenthes]# killall nepenthes ; /opt/nepenthes/bin/nepenthes -c \
                        /opt/nepenthes/etc/nepenthes/nepenthes.conf -r \
                        /opt/nepenthes -D
现在所有nepenthes获得的文件样本都会发到Norman沙箱平台作分析，然后再把报告发送至submit-norman.conf
中email字段的邮箱地址。
行为日志可以在/opt/nepenthes/var/log/logged_submissions文件内找到；二进制样本在/opt/nepenthes/var
/binaries目录下可以找到。

人总是非常的愚昧，本性促使他们不会珍惜身边那些看似平常、其实非常难得的东西，，，在我的记忆中，身为不肖子的我从未与您真真正正过过一次属于您的生日庆会。

今天不肖子因为在北方出差的缘故未能到您的墓前去上烛香，希望您不要介意，另外，我借他人之手给您献上的花不知道您喜欢吗？

希望今年与您在异地过的特别生日庆会您会喜欢，留下一张照片作个纪念：


带上一首每次我到K房都必须要唱的歌--《遥远的她》（遥远的‘他’），因为每次唱起这首歌都会令我想起您...
http://202.107.228.34/music6/%D2%BB%C8%CB%D2%BB%CA%D7%B3%C9%C3%FB%B8%E8%C7%FA(%B8%DB%CC%A8%B0%E6)(mp3%B0%E6)/03-%D2%A3%D4%B6%B5%C4%CB%FD%A3%A8%D5%C5%D1%A7%D3%D1%A3%A9.mp3
[ti:遥远的她]
[ar:张学友]

让晚风轻轻吹送了落霞
我已习惯每个傍晚去想她
在远方的她此刻可知道
这段情在我心始终记挂
在这半山那天我知我知
快要将别离没说话
望向她却听到她说不要相约
纵使分隔相爱不会害怕

遥遥万里心声有否偏差
正是让这爱试出真与假
遥远的她仿佛这风声跟我话
热情若没变那管它沧桑变化

但这天收到她爸爸的一封信
信里面说血癌已带走她
但觉得空虚的心仿佛已僵化
过去事象炮弹心中爆炸
在这半山这天我悲痛悲痛
不已在胡乱说话
夜雨中似听到她说不要相约
人无觅处心声有否偏差
遥远的她不可以再归家
我在梦里却始终只有她
遥远的她可知我心中的说话
热情若没变那管它沧桑变化

最近送上这两天为您而写的生日礼物，希望您会喜欢：
这两天整理的《AIX Checklist》（加密版），感谢同事们的帮助与Unix-Center的AIX测试机。
下去切蛋糕了...^_^

一句话..."男人真他妈的坏"(这句话不是为了说明'下辈子做女人...挺好')...

记得以前曾听黄沾说过"男人是四处留情的动物"...君不知,受伤害的人究竟是谁...各位男士自省一下(特别是磁力这样的同志),包括我自己...

厦门随缘网络新闻管理系统V1.0漏洞列表
writer: demonalex[at]dark2s[dot]org

源代码下载地址：
http://www.mycodes.net/soft/10614.htm

缺陷列表：
1）默认数据库为*.mdb后缀，可直接下载，地址在/data/data.mdb，且admin表的帐号、密码字段以明文方式显示。
2）根目录下的/sort.asp的bigclassname字段与smallclassname字段没有过滤，因此存在跨库类SQL注入缺陷缺陷，利用方式如：
http://127.0.0.1/sort.asp?bigclassname=国际新闻'%20and%200<(select%20count(*)%20from%20[admin])%20and%20'a'='a
http://127.0.0.1/sort.asp?bigclassname=国内新闻&smallclassname=媒体聚焦'%20and%200<(select%20count(*)%20from%20[admin])%20and%20'a'='a
3）另外，由于/sort.asp设计为可直接输出bigclassname字段的内容，因此直接引起XSS缺陷，利用方式如：
http://127.0.0.1/sort.asp?bigclassname=<script>alert(/hi/)</script>
4）由于厦门随缘网络新闻管理系统使用ewebeditor asp v2.8在线编辑中间件，因此可能被直接利用，利用方式包括：
*默认数据库路径为/admin/edit/db/ewebeditor1013.mdb；
*默认登陆入口为/admin/edit/Admin_Login.asp；
*默认管理员帐号/密码为：china/chinaboy；
*详细利用方式可以参照：http://demonalex.3322.org/ewebeditor/index.doc。

发现漏洞：
可通过google hacking以下关键字挖掘相关缺陷网站：
inurl:"sort.asp?bigclassname"

核心设备一览。。。

本次属于扩容工程，更换了原来的3COM 3C16980交换机，替换为CISCO 2924EN；同时将核心路由下移至CISCO 2620路由器，通过DOT1Q划分安全域（没有移动那个那么大），在区域间加入ACL；DMZ区依然要经过NETSCREEN 5GT进行通讯保护。

我心爱的JUNIPER NETSCREEN 5GT。。。

所有核心设备的近照：

迟些写篇自家的安全域划分说明文档：）