博文
一个赌鬼背后的故事:2005-07-04 ≮孤心泪≯(2005-07-05 11:30:00)
摘要:在大唐边境的旷野,我仿佛是一滴失意的融雪,投入山涧,投入溪河,流过平原,流过大湖,走过难耐的岁月。沧桑一世,总想起那时洛阳城内喧闹的赌场。那一个深夜又一个深夜的金色月光里充斥着我激昂的声音,而如今那声音已变的沉闷,在无人的山谷我会将心中的忧郁化作千条瀑布,从痛苦撕裂的胸中奔涌而出。向远方呼唤、呼唤我那失去的激情。铮铮男儿已然饶指柔。
岁月就像无情的流水,把记忆冲刷得滚圆滚圆,模糊不清。就仿佛流沙河边的一块块鹅卵石。可岁月残蚀的我对赌场永难释怀。
我已忘却当初是因何而沉迷于赌博,依稀还记得初来洛阳时是并没有这么个好玩的地方。之后便沉迷其中。因此后来便有了“恶赌鬼”这个称号。
我向来是不屑于几两或几十两的。每当我从袖子里取出一大把银子的时候,黄大小总是那么着急的冲我喊到:“这位爷,您最多只能压一万两。这可是我们这儿的规矩,您可别把我们的场子给砸了。”对此我总是不屑的笑一笑。然后无所谓的将一万两银子扔在彩星上。再然后就是等着输钱。我机械的重复着两个动作“扔”与“等”,等待银两输光,我就离开。然而没有一个人可以看出我的心思。只有我自己知道我是快乐的,当所有人羡慕于我的赌量与从容的时候。我总会有一中感觉——一种完全的解脱与超然。
不知从何时起兴起了一阵赌外围的风气,对我这个寻求刺激的恶赌鬼来说,是再好不过了。“无情100万大,冷血50万小,舞舞舞50万大。”
熟悉的声音,熟悉的节奏。又清晰的从耳畔滑过。这时的我已学会了释放,释放心中的情感。
我和所有人一样声情并貌的大声吼叫。用静儿的话来说:“你就是一头吃人的狮子。”
静儿………静儿呢?
我时常想起她的眼睛,那是一双真挚而深情的眸子。她总是一眨不眨的盯住我,审视我的灵魂。让我感到一种无地自容的羞愧和不安。
她有着一张温柔的脸,耳旁纤细的秀发随风飘动着,那浓而细长的眉毛下扑闪着一双密布着长睫毛的大眼睛,笔直的曲线,露出一丝淡淡的笑,让人心旌摇拽。
每夜我都会输得连20两路费都付不起,但我却并不担心,因为静儿总会在车夫那里等我。然后陪我回去。她已是我精神的依托。但我却不能表达自己的感情。因为我的至交好友郎一直都深深地爱着她,并且他是那么的优秀,那么的英俊,那么的才华横溢,最重要的是他懂得照顾自己所爱的人,似乎注定她是他的。所以每次我都会将自己的冷漠摆在她的面前,然而她却一......
局域网入侵(2005-07-03 21:55:00)
摘要:局域网(local area network),简称LAN,是处于同一建筑、同一大学或者方圆几公里地域内的专用网络。局域网常被用于连接公司内办公室或工厂里的个人计算机和工作站,以便共享资源,节约费用。但是,很多人认为处在局域网内就可以高枕无忧,其实那是大错特错的。
局域网多数是通过一个代理服务器或网关连上Internet的,所以,如果我们能够入侵那台服务器(或网关),我们就有可能入侵到它的内部网络。
作为代理服务器(或网关)通常有两个或两个以上的IP地址。一个是Internet上的真实IP(如218.14.156.8),这个IP在Internet上是能够访问的,另一个是内部IP(如192。168.0.1),这个IP是虚拟的,在Internet上并不存在,我们不能直接访问。也就是说,局域网里的分机都会受到代理服务器或网关的保护。
例如,有这样一个局域网服务器的IP为202.99.1.1,其内部有一些分机,内部分机的IP我们暂不知道(不过通常为192.168.0.x)。
首先,假如我们已经取得202.99.1.1的Administrator的密码,通过IPCS打开Telnet服务并Telnet上202.99.1.1。执行ipconfig命令,得出其两块网卡的IP分别为192.168,0.1和202.99.1.1,那么其他的机器的IP应该就在192.168.0.X这个网段。在202.99.1.1上安装流光4.7的sensor(其实x-scan也可以,而且x-scan能够扫描的漏洞比流光多。不过操作起来就有点麻烦,你要先上传X-scan到主机,再telnet上去利用x-scan的命令行模式扫描,所以这个telnet终端不能断开,也就是说你要等到x—scan扫描完了才能断开telnet,否则就会中断扫描),主要是寻找内部网的漏洞。根据我的经验,内部网的机器的安全性极差!administrator的密码很弱智,多数为空或123、123456等!而且有许多分机的guest账号都是Administrators组的成员,总之就是漏洞重重!
分析内部......
删SAM文件的后果(2005-07-03 21:29:00)
摘要:事实上发这个贴子也是无奈.许多人对于我另外所转的一个名为"注意。清空administrator密码可不能用这种方法。 "的贴子抱有疑问.(贴子链接:_blank>http://itbbs.pconline.com.cn/tra ... e.jsp?topic=1301112有人自称已试过N次有效.见他说试了N次..我也就不妨多试这N+1次.毕竟.让人心服的最好方法就是事实.我也不想有太多网友相信这种方法而使自己的爱机蒙受重装的命运!
测试系统:Windows XP professional SP2
我C盘装的是Windows XP,D盘装的是Windows Server 2003.因此.要做这个
实验非常的简单.我在Windows Server 2003环境下把C:\WINDOWS\system32\CONFIG下
面的SAM文件剪切到D盘.等于从该文件夹中删除.然后重启.发生了什么情
况?开始一路下去都非常顺利.到快出现欢迎界面的时候.会跳出一个对话
框.对话框的内容是
Lsass.exe-系统错误.
安全帐户管理器初始化失败.原因是以下错误.连到系统上的设备没有发挥作用.错误状态.oxc0000001.请单击确定.关闭这个系统并重新回到安全模式中.有关详细情况.请查阅系统日志!
(sorry.由于我没有数码相机.所以不能上传图片给大家看了)
而事实上这个时候要面对的情况是.系统在开始时无论是正常模式或是安全模式都需要加载SAM文件也就是安全帐户管理器要读取里面的内容.不行的话必然报错..所以.你连安全模式也是进不去的.也就是说整个系统启动崩溃了.只能重装了.
大家也可以在网上进行搜索.大家都在说删除SAM文件是有用的.却没一个人把XP删除SAM文件都能正常进入系统的事情说出来.用一件事情来说明是最好了.大家可以想一想.这一招在windows 2000时就大行其道了.微软就算再怎么闭目塞听也不可能不知道这个漏洞.试想一下.微软会令这个漏洞存在达到5年以上吗?
好.连最基本的欢迎界面都进入不了.试问你如何登录?我想请声称试了N次的某人出来解释一下你试了N次后的结果.有时间的话.我会再用Virtual PC 2004虚拟一个打过补丁的2000系统上进行类似的测验.
现在我拿出了我的实验结果.也请某些人......
#1 入侵间谍卫星系统技术(2005-07-03 21:08:00)
摘要:1.VAX: VAX的全称是Virtual Address Extension。VAX计算机是由于硬件条件的限制,被设计
来储存地址的,使它能够很简便的操作一些很大的适合于储存的程序。 VAX计算机系统是
DES(Digital Equipment Corporation)公司设计的。普遍的VAX系列的包括一些桌上型VAX系统使用
的是大型机上的处理器。这些系列的计算机变得越来越小,如MicroVAX计算机逐渐升级,像一些中
等大小的11/7XX系列到最新的6000系列的。这些计算机系统普遍的使用一种开放型的系统VMS。
VMS: VMS全称Virtual Memory System.VMS操作系统非常类似于其他的开放型的系统。DEC公司
利用这种系统将他们公司的计算机应用于商业和工程行业,在这之前,VMS系统仅仅被应用于单机系
统中。VMS公司构思了一条发展之路,将他们的VMS系统融入一些基本的计算机管理应用于个人家庭
用户和一些其它的计算机系统。
DCL: DCL全称Digital Command Language.它使VMS系统的基础语言。你们那些人中有IBM系统
,你能想象DCL程序类似于批处理文件。你能够用它做很多事情。(比PC-DOS或者MS-DOS更多)但是
它的工作都是使用一些基本而又相同的方法。有一个差别就是你在DCL程序里想要显示任何文件之前
必须在提示符前面输入“$”符号。DCL程序通常调用COM为扩展名的文件时是很快捷的。当你没有执
行一个COM或DCL程序的文件时,几乎在DCL处理器里总是显示某些文件。
2.
当你进入一个VAX系统的时候,你将会看到一些类似于下面的界面:
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
WELCOME
TO THE
AT&T MICROVAX II SYSTEM
Username: (username here)
Password: (password here... does not echo)
$ (<-- this is your prompt)
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
GETTI......
注册表禁用IP(2005-07-03 21:00:00)
摘要:利用注册表管理IP地址
笔者负责公司的网络管理,每隔几日,就有部门打电话来“报案”,称他们的计算机出现“IP地址冲突”的提示,而且无法访问互联网。看来又有人私自修改了自己计算机的IP地址从而造成IP地址冲突。笔者要经过好一番查找,才能抓到“元凶”,非常麻烦。要是能够把网内用户的计算机的IP地址统统锁住就好了。
在此笔者告诉大家一个好办法:在自己的计算机上点击“开始→运行”,输入regedit命令运行注册表编辑器,然后在注册表菜单中选择“导出注册表文件”,在弹出的对话框中输入要保存的文件名,例如“lockip”,导出范围选择“选择的分支”,输入:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”,接着点击保存,然后选定lockip文件,用右键点选“编辑”命令将它打开,可以看到所选分支下面有一行键名和键值“"NoNetSetup"=dword:00000000”,把键值00000000改为00000001。如果没有这一行,就在所选分支下一行加入“"NoNetSetup"=dword:00000001”就行了。
然后在局域网内用户的计算机上,双击lockip文件把该文件中的内容加入注册表。如果谁再想改IP,那么对不起,计算机“网上邻居”属性已经被禁用。
想恢复也简单,只要把lockip文件编辑一下,把00000001改成00000000再运行一下就行了。
......
黑客最起码要懂的16个问题(2005-06-29 20:28:00)
摘要:问:什么是网络安全?
答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
问:什么是计算机病毒?
答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
问:什么是木马?
答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
问:什么是防火墙?它是如何确保网络安全的?
答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
问:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
问:什么叫入侵检测?﹖
答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
问:什么叫数据包监测?它有什么作用?
答:数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
问:什么是NIDS?
......
telnet协议(2005-06-29 20:27:00)
摘要:一 摘要
二 远程登录
三 Telnet协议
四 Win2000的Telnet服务
五 在telnet中该做什么
六 结束语
一 摘要
Telnet的应用不仅方便了我们进行远程登录,也给hacker们提供了又一种入侵手段和后门,但无论如何,在你尽情享受Telnet所带给你的便捷的同时,你是否真正的了解Telnet呢?
二 远程登录
Telnet服务虽然也属于客户机/服务器模型的服务,但它更大的意义在于实现了基于Telnet协议的远程登录(远程交互式计算),那么就让我们来认识一下远程登录。
1 远程登陆的基本概念
先来看看什么叫登录:分时系统允许多个用户同时使用一台计算机,为了保证系统的安全和记帐方便,系统要求每个用户有单独的帐号作为登录标识,系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令,这个过程被称为'登录'。
远程登陆是指用户使用Telnet命令,使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器,它只负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。
2 远程登陆的产生及发展
我们可以先构想一个提供远程文字编辑的服务,这个服务的实现需要一个接受编辑文件请求和数据的服务器以及一个发送此请求的客户机。客户机将建立一个从本地机到服务器的TCP连接,当然这需要服务器的应答,然后向服务器发送键入的信息(文件编辑信息),并读取从服务器返回的输出。以上便是一个标准而普通的客户机/服务器模型的服务。
似乎有了客户机/服务器模型的服务,一切远程问题都可以解决了。然而实际并非你想象的那样简单,如果我们仅需要远程编辑文件,那么刚才所构想的服务完全可以胜任,但假如我们的要求并不是这么简单,我们还想实现远程用户管理,远程数据录入,远程系统维护,想实现一切可以在远程主机上实现的操作,那么我们将需要大量专用的服务器程序并为每一个可计算服务都使用一个服务器进程,随之而来的问题是:远程机器会很快对服务器进程应接不暇,并淹没在进程的海洋里(我们在这里排除最专业化的远程机器)。
那么有没有办法解决呢?当然有,我们可以用远程登录来解决这一切。我们允许用户在远地机器上建立一个登录会话,然后通过执行命令来实现更一般的服务,就像在本地操作一样。这样,我们便可以访问远地系统上所有......
十大入侵检测系统高风险事件及其处置对策(2005-06-29 20:26:00)
摘要:内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。
事件1 Windows 2000/XP RPC服务远程拒绝服务攻击
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。
[对策]
1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。
2、彻底解决办法:打安全补丁。
事件2 Windows系统下MSBLAST(冲击波)蠕虫传播
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
[对策]
1、下载完补丁后断开网络连接再安装补丁。
2、清除蠕虫病毒。
事件3 Windows系统下Sasser(震荡波)蠕虫传播
蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
[对策]
1、首先断开计算机网络。
2、然后用专杀工具查杀毒。
3、最后打系统补丁。
事件4 TELNET服务暴力猜测用户口令
TELNET服务是常见远程登录仿真服务,用户可以使用TELNET远程登录系统,执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令,如果成功,攻击者可以登录到系统执行各种命令甚至完全控制系统。
[对策]
密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
事件5 TELNET服务用户认证失败
TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登......
Web服务器记录中查找黑客踪迹(2005-06-29 20:25:00)
摘要:摘要:本文主要讲述如何分析Web服务器记录,在众多记录里查找黑客攻击的蛛丝马迹,并针对当今流行的两类Web服务器给出具体的一些实例。
现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会造成木桶效应,使得整个安全系统虚设。本文从分析Web服务器的logging记录来找出漏洞,防范攻击,从而加强Web服务器安全。
Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。
1、默认的web记录
对于IIS,其默认记录存放在c:\winnt\system32\logfiles\w3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GET or POST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499和500-599表明客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。
Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输的字节数等。
2、收集信息
我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows,Web服务器ip为10.22.1.100,客户端IP为:10.22.1.80。
C:>nc -n 10.22.1.100 ......
用Winsock实现对网站数据库的数据注入(2005-06-29 20:23:00)
摘要:在写这篇文章之前,有必要对“注入”一词阐述一下。区别于通常的SQL注入,这里的注入实际上只是构造HTTP请求报文,以程序的方式代替WEB提交页面,实现数据的自动提交。嘿嘿,说到这,我看到你诡异的笑容了,我们只要写个循环,用什么语言你说了算,向特定的WEB页面发送HTTP报文,只要几分钟,呵呵他的本本就爆了,而且……嘿、嘿、嘿……偶喝杯茶,接下再写。
首先,还是温习一下HTTP协议吧。我们在打开一个网站时,比如说http://www.163.com,实际上IE作为一个客户端,它将向服务器发送如下的请求报文(偶用sniffer截得的):
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.163.com
Connection: Keep-Alive
Cookie: NETEASE_SSN=jsufcz; NETEASE_ADV=11&22; Province=0; City=0; NTES_UV_COOKIE=YES
我们看到在以上的报文中,有很多字段,当然其中有很多并不是必须的,如果我们自己编程,只关心必要的就行了。在HTTP/1.1协议中规定了最小请求消息由方法字段(GET/POST/HEAD)和主机字段(HOST)构成。如上面的
GET / HTTP/1.1
HOST:www.163.com
但在HTTP/1.0中,HOST字段并不是必须的,这里为什么不能省,相信你也知道,不晓得的话也不打紧,接下来看。
为了向服务器发送数据,浏览器通常采用GET或POST方法向服务器提交报文。服务器在收到报文之后,解码分析出所需的数据并进行处理,最后返回结果。通常......