2007年4月 - 查皮博客@blogbus - 博客大巴

2007年04月30日

局域网IP地址的非法使用问题解决方法 - [安全资讯]

局域网IP地址的非法使用问题解决方法

作者：Vlan9.com　来源：Vlan9.com

引言

在大多数局域网的运行管理工作中，网络管理员负责管理用户IP地址的分配，用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。

但在Windows操作系统中，终端用户可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。

a. 非法的IP地址即IP地址不在规划的局域网范围内。

b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。

c.冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。

1 IP地址非法使用的动机

IP地址的非法使用问题，不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况：

a. 干扰、破坏网络服务器和网络设备的正常运行。

b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的，就是因特网访问权限。

c. 因机器重新安装、临时部署等原因，无意中造成的非法使用。

2 非法使用方法

2.1 静态修改IP地址配置用户在配置TCP/IP选项时，使用的不是管理员分配的IP地址，就形成了IP地址的非法使用。

2.2 同时修改MAC地址和IP地址

非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。

2.3 IP电子欺骗

IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程，发送带有假冒的源IP地址的IP数据包

3 管理员的技术手段

3.1 静态ARP表的绑定

对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。

该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。

3.2 交换机端口绑定

借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒绝。

3.3 VLAN划分

严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。

3.4 与应用层的身份认证相结合

避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低IP地址非法使用所带来的危害。

4 管理建议

a.普通用户明白非法使用IP地址所产生的危害和处罚措施，制定并实施严格的IP地址管理制度，包括：IP地址申请和发放流程，IP地址变更流程，临时IP地址分配流程，机器MAC地址登记管理，IP地址非法使用的处罚制度。

b.非法使用IP的行为，总是内部网络少数人的行为。因此，对于已经建成的网络，管理员要根据当前存在的问题，有针对性的运用技术措施，重点阻止个别用户的非法行为。

c. 划分VLAN时，兼顾可管理性和易用性。在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将权限相近的用户划分到同一个VLAN内，弱化非法使用同网段IP地址所带来的利益。

d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能，可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源。同时，网络管理员还可以借助网管系统，很方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。

e. 与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似，用户名和口令也属于容易盗用的资源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度。

5 结束语

内部人员非法使用IP地址，并不是为了进行侵入和破坏，而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段，还拥有各种内部管理手段。如果单纯使用技术手段来防范IP地址的非法使用，必然产生高昂的系统投资成本和人员开支。因此，只有综合运用管理手段和技术手段，来处理IP地址非法使用问题，才能实现高可靠性的系统运行与低成本的管理维护的统一。

关于MAC地址与IP地址绑定策略的探究

作者：redcat　来源：中国信息安全网

1 引言

对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。

1.1 为什么要绑定MAC与IP 地址

影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理

IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

2 破解MAC与IP地址绑定策略

2.1 IP地址和MAC地址简介

现行的TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

Ethernet协议是链路层协议，使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志，网卡生产时将其存于网卡的EEPROM中。网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。

Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层，使用的地址为IP地址。使用IP协议进行通讯，每个IP报文头中必须含有源IP和目的IP地址，用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报文时，IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP地址。MAC地址和IP地址之间并不存在一一对应的关系。

MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet报文时，并不从EEPROM中读取MAC地址，而是在内存中来建立一块缓存区，Ethernet报文从中读取源MAC地址。而且，用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。既然MAC地址可以修改，那么MAC地址与IP地址的绑定也就失去了它原有的意义。

2.2 破解方案

下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器；主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版，网卡是3Com的。

试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。首先，在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。

然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址：将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1

如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。

盗用内部服务器IP地址：将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。

因为在实际的实验中主机1与主机2连在同一个HUB上，主机2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1提供的内容。更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在后面的分析中我们将进一步对此进行阐述。

盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器；如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1来说则是一览无遗了。

3 破解成功的原因

上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。接下来，将从理论上对该缺陷进行详细的分析。

缺陷存在的前提是网卡的混杂接收模式，所谓混杂接收模式是指网卡可以接收网络上传输的所有报文，无论其目的MAC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的修改成为可能；否则，就算修改了MAC地址，但是网卡根本无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。

MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。

如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而且还会接收到目的为另外一台同MAC主机的内容。

按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了；但是，在实验中地址被盗用之后，各台实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。

目前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP或者UDP之上。例如，实验中Web服务器采用的HTTP协议就是基于TCP的。在TCP或者UDP中，标志通信双方的不仅仅是IP地址，还包括端口号。在一般的应用中，用户端的端口号并不是预先设置的，而是协议根据一定的规则生成的，具有随机性。像上面利用IE来访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的几率非常小，恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的；所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。

当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是交给协议来随机的生成。那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常工作了呢?其实不尽然。

如果下层使用的是UDP协议，两个应用将互相干扰无法正常工作。如果使用的是TCP协议，结果就不一样了。因为TCP是面向连接的，为了实现重发机制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接收，否则，会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的，以后每个报文的序列号依次加1。

窗口的大小有16位，也就是说窗口最大可以是216，而序列号的范围是232，主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216，可谓小之又小。 TCP的序列号本来是为了实现报文的正确传输，现在却成了地址盗用的帮凶。

4 解决MAC与IP地址绑定被破解的方法

解决MAC与IP地址绑定被破解的方法很多，，主要以下几种。

交换机端口、MAC地址和IP地址三者绑定的方法；代理服务与防火墙相结合的方法；用PPPoE协议进行用户认证的方法；基于目录服务策略的方法；统一身份认证与计费软件相结合的方法等。在这里笔者尤其推荐最后一种方法，这种方法是将校园网办公自动化系统和网络计费软件结合在一起而实现的，这在校园网信息化建设的今天具有很强的实践性。

同时设置网桥和ICS 导致IP地址冲突

故障现象

网络上有4台机器:两台Windows XP和两台Windows 98通过hub连接组成对等网。并通过其中一台Windows XP机器通过ADSL共享上网 (通过Windows XP的网桥功能)，前一段时间一直运行良好。

前两天，直接连接Internet的那台机器在 "网络邻居"中看不见其他任何机器，通过检查发现与其他机器IP地址冲突，都是192.168.0.1。无论如何都无法改过来!经过用iPscan软件检查，发现另一台Windows XP的机器居然占用两个IP地址 (192.168.0.1和192.168.0.15，其中192.168.0.15是我设置的，主机名都是另一台机器的名称)!但是该计算机只有一个网卡:用ipconfig检查也只有一个网卡用的192.168.0.15地址。现在。如果拔下网线并开机后再插上网线或者先屏蔽连接Hub的网卡并上网后再启用，就能一切和正常一样。

诊断过程

计算机为什么会自动获取一个192.168.0.1地址呢?在什么情况下,计算机才会目动获取192.168.O.1地址呢?第一，网络内存在一个DHCP服务器，由该DHCP服务器为网络内的计算机动态分配IP地址;第二,DHCP服务器的IP地址池范围是192.168.0.1~192.168.0.254。

就目前情况来看，作为只有4台计算机的对等网络，肯定没有也没有必要使用专用的DHCP服务器。还有谁会提供DHCP服务呢?很自然，我想到了Windows的ICS服务。

Internet连接共享(ICS)使用一个 Internet连接将多台计算机连接到Inernet。一台称为ICS主机的计算机直接连接到Internet，然后与网络上的其余计算机共享其连接。客户计算机依赖于ICS主机提供对Internet的访问。启用ICS可以增强安全性:因为只有ICS主机对Internet是可见的。所有从客户计算机到Internet的通讯都要经过ICS主机，此过程使客户计算机的地址在Internet上得到隐藏，由于无法从该网络以外看到客户计算机，所以客户计算机受到保护。从公共方看见的只有运行ICS的计算机。另外，ICS主机还管理网络编址。ICS主机为自己指派一个永久地址，同时为每台ICS客户机提供了为其指派唯一地址的动态主机配置协议DHCP)，这样就为网络上的计算机提供了相互通讯的方式。

很简单，这台计算机被设置为ICS主机了。Internet连接共享主机本身拥有一个DHCP服务，将本地计算机的局域网端口设置为192.168.0.1，并自动为网络内的其他计算机动态分配IP地址，网段为192.168.2~192.l68.254。所以，计算机启动后:就会为自己分配一个IP地址。然后，为那些没有IP地址的计算机也分配一个IP地址，从而实现网络连接和Internet共享。

所以,在网络内设置ICS主机后:所有的计算机都不要分配IP地址。原因如下:

第二，当ICS主机开机后:所有的计算机都会自动从ICF主机中获得一个IP地址进行通讯;

第二，如果ICS主机没有开机，那么，Windows计算机会自动使用APIPA(Automatic private IP Addressing，自动专用IP寻址)给计算机分配一个私有IP地址。这个地址来自于保留的授权私有地址段169.254.0.1，169.254.255.254,子网掩为：255.255.0.0。计算机之间仍然能够正常通讯。

因此，ICS的第二块网卡，以及网络内的所有计算机都不要设置IP地址，所有的计算机都设置为自动获取IP地址即可。当然，跟ADSL M0dem连接的那块网卡一定要设置IP地址哦，需要它跟Internet连接呢。也就是说，整个网络中，只有跟Internet连接的那块网卡才需要设置IP地址，其他的所有网卡都不需要设置IP地址。

经检查发现，作为Internet连接服务器的计算机同时设置了网桥和Internet连接共享，去掉网桥:只保留Internet连接共享，网络恢复正常。

排除心得

网络内只能有一个网络管理员，否则，大家都对服务器随意设置，就非常容易导致网络服务的失败，而故障的检查和排除也将非常困难:因为通常情况下，作为普通的计算机用户，很难知道从哪里下手，往往是在不得已的情况下，重新安装服务器。

解决LAN环路引起的广播风暴

笔者公司局域网采用的是星型拓扑结构千兆以太网技术，中心机房配备一台三层路由交换机，各楼层采用接入核心交换机，各部门计算机通过直接接入或用级连方式通过接入层交换机接进网络。中心的服务器有多台，提供FTP、文件服务、Web等多项服务。

全网分为5个VLAN，根据业务不同为不同网段定义了IP地址。

随着接进网络PC的不断增多及信息流量的增加，在网络维护中遇到过各类问题及故障，现在分析其中影响较大的一个故障，谈谈在管理与维护上的一点经验和体会。

◆故障现象

某日有多个用户反映网络连接情况时通时断，有时同一楼层的计算机都无法互相Ping通，故障用户分布在多个楼层，故障点不集中。对个别端口做互换测试，故障仍然存在。在故障计算机上进行测试，发现可以Ping通网络中的部分服务器或计算机，Ping核心交换机的IP地址常出现不通、丢包、时延大的现象。利用网络软件对可管理的交换机做检查，没有明显的报错。

◆故障排查

首先怀疑为核心交换机物理故障，观察交换机的指示灯状态以及各端口的状态，显示正常。对核心交换机清除缓存、关闭重启，并检查交换机的配置情况，没有改变。

经过以上的检查和测试，分析故障应该不在硬件部分，利用Sniffer抓包分析软件将网络中的数据包抓下来分析，发现有大量数据包来自同一个MAC地址，目的地址是根本不存在的IP，怀疑是类似于“冲击波杀手”一类会造成网络堵塞的蠕虫病毒。根据网络正常时建立的IP地址及MAC地址对应表查出该机属于某层的一台PC，初步确认故障点后将MAC地址对应的计算机从网络中断开并升级杀毒软件，然后重新接入网络，此时故障仍然存在。

为了确定具体故障点，要求该单位提供其接入拓扑图分析，发现该单位将分属于两个不同VLAN的连线分别连接两个不同的Hub，当天为了使用方便，将两个Hub用级联的方式连接到了一起，将其连线断开后，故障彻底排除。

◆故障原因

此次故障原因分析主要是由于网络中有环路存在，造成每一帧都在网络中重复广播，引起了广播风暴。要消除这种网络循环连接带来的网络广播风暴可以使用STP协议（生成树协议），以网络中一台交换机为节点生成一棵转发树，而树是没有环路的，这样所有的数据都只在这棵树所指示的路径上传输，就不会产生广播风暴，但由于SPT算法的开销非常大，所以交换机上都未启用该协议。

为避免在接入层出现同样的故障，从而影响整个局域网络用户的使用，所以在接入层启用树生成协议是必要的，或者在诊断故障时可以打开SPT协议协助确定故障点。

◆经验总结

在故障发生时，应首先了解故障前网络的改动，建立完善的网络文档资料。包括网络布线图、IP及MAC对应表等，否则在确定MAC地址端口时会消耗大量的时间。现在有很多局域网工具软件都可以通过扫描获取网络中的计算机的这些信息，如LanExplorer等。

Tag：局域网 IP 解决冲突广播风暴

查皮发表于23时58分12秒 | 阅读全文 | 评论 0 | 编辑 | 推荐
2007年04月30日

BBSXP最新漏洞简单分析以及利用 - [IT业界]

BBSXP最新漏洞简单分析以及利用

PS:天涯那看到的.没经过测试.又是伪装木马上传.文章早出来了.转来.大家测试下.!

无意间发现一个BBSXP的0day，经过我自己测试，有80%左右的成功率，现在已经隔了1个月了，你们能不能利用我不保证。不过估计还有很多没有打上补丁的。以下介绍仅为学习交流使用，请勿用于非法用途。

这个漏洞存在于bbsxp的最新版本（官方的不是最新版）漏洞估计比上次某人发的bbsxp注入漏洞更加严重。很简单，我这个是上传，而且是杀access和sql版，直接就可以拿到webshell，至于拿到webshell后……

首先大家看一段代码，这个是我从网上下的一套bbsxp最新版，我先简单分析以下三段代码：

if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起，管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")

if Sitesettings("WatermarkOption")="Persits.Jpeg" and FileMIME="image/pjpeg" and UpClass<>"Face" then
Set Jpeg = Server.CreateObject("Persits.Jpeg")
Jpeg.Open Server.MapPath(""&SaveFile&"")

'判断用户文件中的危险操作
sStr="getfolder|createfolder|deletefolder|createdirectory|deletedirectory|saveas encode|function|UnEncode|execute|重命名|修改|属性|新建|复制|服务器|下载"
sNoString=split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel=server.CreateObject ("Scripting.FileSystemObject")
filedel.deletefile server.mappath(""&SaveFile&"")
response.write "你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，我们将会把你的数据向海南省公安部及海口网警报告!"
response.write "<br>"
response.write "时间:"&date()&" "&time()&""
response.write "<br>"
response.write "I P:"&request.servervariables("remote_addr")&" "
set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
set wfile=myfiletemp.opentextfile(server.mappath("ypsql.txt"),8)
wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
Response.end
end if

其中：文件保存类型是通过FileMIME判断FileMIME="image/pjpeg"，也就是说上传类型要是图片，然后第一段代码，if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起，管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")的意思是：出错时候检查后缀.如果后缀是asa或者asp或者cdx或者cer的时候他就会提示错误。然后FileExt=文件后缀第三段代码的意思是：如果文件中有getfolder，createfolder等等特征的话。他就提示错误.错误类型在下边自己看了。

Bssxp是通过这3段代码来过滤上传类型的.可这却造成了一个逻辑性的漏洞.聪明的读者可能已经发现了.他过滤的后缀只有asa、asp、cdx、cer如果我们传的文件的后缀不是这4个呢？嘿嘿,不是这4个也不能传.为什么？因为后边还有个FileMIME="image/pjpeg"。好,我们让文件是image/pjpeg。具体怎么实现呢？很简单。在我们的马马头部加上gif89a。也就是文件头欺骗。我们测试下一下看看：

成功了！然后你想干什么就可以干什么了。不过千万别非法入侵别人的系统哦~

Tag：BBSXP 漏洞分析利用

查皮发表于23时54分09秒 | 阅读全文 | 评论 0 | 编辑 | 推荐
2007年04月30日

剿灭木马：零距离试用瑞星Vista体验版 - [软件学院]

剿灭木马：零距离试用瑞星Vista体验版

出处：PConline

作者：任宏伟

　　前不久，瑞星公司的一款“瑞星Vista体验版”杀毒软件开始面向全国用户公测。据称，该版本在保持了瑞星2007诸多优点的同时，还专门针对于Vista系统做了很多优化，能够使其更好地运行在Vista环境之中。那么，新版本究竟都有哪些地方的改进呢？笔者随后进行了一番零距离体验。

软件名称： 瑞星杀毒软件2007Vista体验版

软件版本： 19.18

软件大小： 44.9 MB

软件授权： 共享（测试期免费）

适用平台： Windows 98/Me/2000/XP

下载地址：点击这里下载

二、软件兼容性实测

　　如果大家曾经在Vista系统中安装过瑞星2007，那么一定知道，Vista的安全中心是无法完全识别瑞星杀毒软件的。比如，像病毒库升级这样的操作，只有通过手动方法才能完成，如图3所示。

图3

　　而在Vista版瑞星软件中，这一问题依旧没有得到解决。在Vista安全中心里，我们同样无法使用“立即更新”按钮启动病毒库升级程序。不过，如果我们通过瑞星自带的工具，自行将其升级为最新版本之后，安全中心也能发现这个变化，同时停止发出“警告”提示，如图4所示。

图4

三、软件性能实测

　　作为一款杀毒软件，性能的好坏显然直接影响到用户的感受。针对这方面原因，我们特意从扫描速度、病毒查杀、资源占用等三个方面，对标准版和Vista版瑞星2007进行了一番深入对比。

　　1. 文件扫描速度实测

　　文件扫描速度将直接影响到杀毒软件的工作效率，因此，我们首先就要对两款杀毒软件进行速度实测。

　　测试方法：为了更贴近于日常使用环境，在本环节测试项目中，我们将分别对“单独文件”和“压缩包文件”进行扫描，并将两个项目的测试成绩全部计入到表格之中。

　　【注】  本表所登数据，均在Vista环境中测试取得。待测试杀毒软件均保持默认设置，开启“智能加速”选项，“搜索时长”数据取自病毒查杀报表。

图5

　　【小结】  测试结果显然令我们十分吃惊，在扫描文件数完全相等的情况下，Vista版瑞星2007竟要比标准版多花费近一倍多的时间。显然，从第一轮效率测试中，Vista版瑞星便开始不占优势了。

　　2. 病毒查杀能力实测

　　那么，扫描时间的延长，会不会是因为Vista版瑞星在病毒查杀方面做得更加细致呢？带着这个疑问，我们开始对两款杀毒软件的病毒查杀能力进行实测。

　　测试方法：在压缩包扫描模式下，我们将分别使用两款杀毒软件，对同一病毒包进行扫描，最终结果将取自两款软件各自的病毒查杀报表。

　　【注】  两款杀毒软件在测试前均已升级为最新版本，以保证测试结果的权威性。

图6

　　【小结】  从上表中我们可以看到，Vista版瑞星2007在该环节的测试中，同样没有给我们带来意外的喜悦。无论是文件扫描总数，还是查杀出来的病毒数量，两款软件完全一致。因此，Vista版瑞星杀毒软件在此轮的较量中，同样没有过人的表现。

3. 资源占用情况实测

　　除了上面两点以外，软件的资源占用情况也是我们非常关注的一个问题。那么，在这个环节中，已经连败两阵的Vista版瑞星2007，能否在这一局中“一雪前耻”呢？我想，咱们还是一起来拭目以待吧。

　　测试方法：为了更贴近于日常使用环境，在本节测试中，我们也将分别在“单独文件”模式和“压缩包文件”模式下进行测试。同时，为了尽可能减少误差，CPU占用率及内存占用率将分别读取5次计数，以平均值计入下列表格。

图7

　　【小结】  从上表中，我们可以清楚地看到，Vista版瑞星2007无论在CPU占用率，还是内存占用方面，都要远远优于标准版本。甚至，在整个测试过程中，CPU占用率峰值竟然没有超过5%。而这样的成绩，对于以往任何一个版本来说，都是难以想像的。最终，Vista版瑞星2007终于搬胜一局。

　　写在最后

　　文章写到这里，相信大家已经对这款Vista版瑞星杀毒软件有了个初步认识。应该说，作为一款老牌的杀毒软件产品，这款Vista版瑞星2007显然不能令我们满意。虽然，它在资源占用方面可以说已经“傲视群雄”，但慢如蜗牛的查杀速度和无法与安全中心完美结合的问题，依然难以匹配“Vista体验版”这个名字。

　　在这里，我们也仅能希望随后发布的正式版本，能够很好地解决这些问题。因为只能这样，才能让更多的用户喜欢和使用上国产杀毒软件。

Tag：试用瑞星 Vista 体验杀毒软件

查皮发表于23时47分06秒 | 阅读全文 | 评论 0 | 编辑 | 推荐
2007年04月30日

手机装上GGLive 让你天天快乐游 - [软件学院]

手机装上GGLive 让你天天快乐游

天极yesky

作者：Vivian

又到“五∙一”黄金周，这回可一定要好好娱乐一把!好久没看电影了，第26届金像奖最佳电影《父子》听说很不错哦;在家收看湖南卫视的《快乐男声》也是个好选择。但是，这难得的假期，不出去旅游散心，又实在可惜。怎么办呢?

别担心，鱼与熊掌可以兼得!

现在，手机就能帮你搞掂这一切——只要手机能上网、支持流媒体播放，不花一分钱服务费，你的手机就是电视机、电影院、收音机……

这一切，都缘于最大的手机上网门户3G门户(3g.cn)新推出的手机流媒体

播放器GGLive，她不仅囊括了原版GGTV的全部功能，可以随时手机看电视电影，还整合了GGRadio的全部功能，能在线收听全国范围的多个电台节目;还能与明星亲密接触，手机看

演唱会现场视频直播呢!这样，火车上、被窝里、山顶……GGLive真正让你实现随时随地想听就听，想看就看。那种感觉，只能用超爽来形容!

OK，现在就来教你，如何玩转GGLive。

[点击下载：GGLive]

一、手机开通上网，必备条件

目前手机上网有CMWAP和CMNET两种接入方式。CMNET资费较高，建议使用前在“网络接入设置”处修改过来，只用CMWAP，有20元包月优惠套餐哦!

二、登陆3G门户

进入“功能表”，选择互联网(网络服务/WAP);选择地址，输入3g.cn，成功登录3G门户首页。记住：将当前页设置为书签，下次登陆直接从书签进入即可，方便很多哦。

登录3G门户首页

三、下载GGLive

登录3G门户首页，点击“影院”频道，进入GGLive下载专区，选择适合你手机型号的GGLive，下载安装。

下载安装适合你手机型号的GGLive

该软件需要首先绑定3G号才能使用，如果已经是3G门户的用户，拥有3G号，打开软件后，系统将提示你选择“选项”→“绑定”，接着输入3G号和密码即可成功绑定。

如果暂时还没有3G号，直接选择“绑定”按钮，系统将自动分配，再按以上操作进行绑定即OK。而且第一次绑定成功之后，下次使用就不必再重复操作了。

“绑定”3G号

此外，在看电视电影之前，还要进行参数设置。通过GGLive进入流媒体频道，接着按“选项”→“设置”，将“默认接入点”设置为“WAP over GPRS”，“直播模式”设置为“正常”以保证视频能流畅地播放，再将“缓冲区大小”设置为“600KB(最大)”。

参数设置

四、GGLive八大招式，让你尽享影音娱乐

好啦，万事俱备，开始享受GGLive带给你的无穷乐趣吧。

1、3G直播

随时随地同步收看CCTV、凤凰卫视等30多个电视频道;林一峰、黄耀明、萧亚轩、郭品超、贾樟柯等先后做客3G门户，通过GGLive观看现场视频直播;奥斯卡颁奖典礼、香港金像奖颁奖典礼、NBA等各类直播……同时参与投票、抽奖等互动节目，并随时返回直播现场。操作呢，当然也简单啦!

通过GGLive进入流媒体频道，选择你想看的电视台，比如“星空卫视”，建议节目“流畅版”收看，需要的流量较小，对网络的依赖较低。这个版本大概每小时产生12MB的流量。当然，如果是对音质画质要求非常高的同志，网络环境也够好，清晰版也不妨一试了。

接着点击“播放”，缓冲之后，就开始流畅地看电视啦!

流畅看电视

此外，还能用手机看演唱会现场直播呢。4月27日，中国具代表的个性唱作女歌姜昕面世后的首场小型个唱《姜昕@3G门户北京唱游——一场公开的排练》，用GGLive看感觉挺新鲜哦;很快，“林一峰@3G门户中国唱游”音乐会，5月起唱游全国，带上你的手机，与一峰一起快乐唱游吧!

更令人惊喜的是，新版GGLive整合了GGRadio的全部功能，能在线收听全国范围的多个电台节目呢。

在流媒体频道中选择“网络电台”,进入电台列表，佛山电台飞跃924、广州电台交通1061、中央人民广播电台中国之声等多个电台供你选择。之后，选择“收听”→“播放”，缓冲之后就开始收听电台节目啦。

收听电台节目

2、3G影视

在线观看热门电影、剧集、动漫作品。如果你听说《越狱》、《火影》最新一集已经发布了，打开GGLive查找，绝对不会失望——你甚至在午餐时间或者旅游的大巴上，就把它们看完了。

进入流媒体频道，点击“电影”，选择想看的影片，按照以上的方法收看即可。

此外，新版GGLive还有其他几个更令人惊喜的功能，让你用了之后，绝对爱不释手。不信?来瞧瞧!

3、3G视频：与千万无线网民共同分享网络视频短片，很快还将支持视频上传分享，让你实现用手机即可成名的快感。

4、最近播放：自动记录所有最近观看过的影视节目。

5、我的收藏：本地收藏喜爱的影视作品链接，比如追看中的热门剧集，下次直接点击即可到达。

6、GG：链接即时聊天工具GG的下载页面，通过GGLive直接下载GG，和千万G友跨越手机、电脑随时在线聊天。

7、GGMusic：链接领先的手机音乐软件GGMusic，通过GGLive一键到达，在线试听和下载超过60000多首歌曲和各类搞笑、唯美铃声——只要你想得到，就能搜得到。

8、影视论坛：通过GGLive直接登录3G门户影视论坛，投入讨论热门剧集、电影花絮，聊天、交友，和百万影视发烧友一起“发烧”。

怎么样，够丰富多彩吧，GGLive的魅力就是这么大，“五∙一”黄金周出游带上手机，你就不必担心错过任何精彩电视电影了，体育比赛照样看，娱乐综艺当然也少不了，旅行路上，有了GGLive相伴，自然是快乐无限。还等什么，赶快去下载吧!

附：支持机型(很快将支持更多系列的机型):

【Symbian S60系列】

Nokia 6600

Nokia 7650/3650/3620/3660/3600/NGage/QD

Nokia 3230/6670/7610/6260/6620/6680/6681/6682/6630/N70/N72

松下X700/X800

Tag：手机 GGLive

查皮发表于23时43分34秒 | 阅读全文 | 评论 0 | 编辑 | 推荐
2007年04月30日

QQ输入正确密码却验证错误的解决办法 - [软件学院]

QQ输入正确密码却验证错误的解决办法

近期收到部分用户反馈：在腾讯软件中心下载最新的QQ版本或升级当前QQ版本后，发现输入正确的登录密码，却出现验证错误的提示，但该帐号可以顺利登录QQ论坛。请遇到此类问题的用户查看以下原因，我们希望可以帮您解决这个问题：

1、QQ安全中心发现一类木马病毒（Win32.QQPsw.LrscD.v001等）会引起此问题，以下是木马程序的详情：中毒症状：

中此木马后，用户的机器上会增加一个“SVCHOST.EXE　”（注意全角空格）进程。同时，打开QQ登录窗口将出现如下异常现象：现象一：QQ登录窗口无法使用鼠标正常拖动；现象二：打开了登录窗口，且存在历史QQ号码时，光标却停在号码输入栏（默认应该停在密码输入框，如下图）；

现象三：输入密码显示的“*”符号显示要比真实QQ密码输入框显示的略小，而且在密码输入框输入密码时登录窗口没有焦点（如下图）；

木马盗号原理：该木马通过以下方式窃取用户的密码信息，进行盗号：

第一步：伪造密码输入框。木马程序在QQ密码输入框上粘贴了一个伪造的输入框：

使不知情的用户向伪造的密码输入框输入密码，木马程序再将用户输入的信息转移到指定的地址，从而达到盗号的目的。

第二步：向真实的输入框复制密码：木马程序为了迷惑用户，把密码信息同时复制到真实的QQ密码输入框，使QQ能够顺利登录，用户无法发现密码泄露，给窃取者充足的时间修改密码并转移帐户中的财产。

最新更新的QQ版本在密码输入框采取了防护技术，能够阻止木马程序向真实的输入框复制密码，有利于用户及时发现并解除异常。解决办法：用户可使用QQ医生最新版本(软件下载地址：http://safe.qq.com/product/)或专业杀毒软件查杀盗号木马。同时应尽快修改密码以避免潜在的威胁。 QQ安全中心欢迎您举报新的木马样本，如果确认来自新发现的其他木马导致此问题，请您使用QQ医生上传样本文件或在QQ产品论坛（http://im.qq.com/bbs/）留下联系方式，以方便我们尽快联系您。 2、我们发现一个QQ版本存在不支持系统软键盘输入问题：使用Windows自带的软键盘输入登录密码会导致密码验证错误。更新的QQ版本将修复这个问题，建议您使用QQ登录窗口附带的软键盘输入QQ密码。使用方法如图：

如果以上说明不能帮助您解决问题，欢迎访问腾讯产品论坛http://im.qq.com/bbs/反馈您遇到的问题。如果您还需要进一步的咨询，请随时联络腾讯客服中心http://service.qq.com。

腾讯公司

二OO七年四月三十日

用新版MSN添加好友对方身份一目了然

天极yesky

作者：Chris

　　当我们收到Windows Live Messenger添加好友邀请时，你往往无法确认对方的真实身份。因为你无法确认email地址，无法从名字上得到更多信息。

无法确认email地址

　　你不得不作出判断对方是否友好，是否该接受邀请。这是一种很痛苦的经历。如果对方并不是真正的用户，而只是个自动垃圾信息发送机器。即使你可以在事后阻止此人，但最理想的还是在添加时就能确定对方的身份。

希望添加时确定对方身份

　　现在最新的Windows Live Messenger 8.1 Beta就提供了解决方案。使用最新版的Windows Live Messenger(测试版)，邀请者就可以在添加好友的时候，附上一条个人邀请信息，这样当收到邀请时你就可以从附带的邀请信息上了解对方身份。更多的附加信息将使你更容易的作出判断是否添加此人。

新版本用户附加信息

　　下面介绍您如何才能在发送邀请时附加邀请信息。首先，获取Windows Live Messenger 8.1 Beta；其次，像往常一样“添加联系人”，除了在“即时消息地址”中填入联系人地址外，下方还增加了新的“Personal Invitation(个人邀请)”，你可以在其中输入你的邀请信息；输入完毕后，只要按“保存”按钮即可：)不过需要注意的是，能收到邀请信息的必须是Yahoo的联系人或 WLM 8.0 以后版本的联系人，但只有 8.1 Beta 版有发送邀请信息的功能。

Tag：QQ 密码验证解决 MSN 好友

查皮发表于23时38分30秒 | 阅读全文 | 评论 0 | 编辑 | 推荐

共42页 1 2 3 4 5 6 7 8 9 10 下一页最后一页

Lessons by English, baby!