atppp’s Blog

翻出来一篇旧帖子，不过这个 37 楼现在已经拆了。

发信人: bigband (翻山过河走九州), 信区: PKU
标　题: 偶也回忆一把37楼[1]
发信站: The unknown SPACE (Thu Feb 22 17:20:34 2001) WWW-POST

……
据说37楼是个闹鬼的楼, 313房间
曾经出过闹鬼的事, 鬼是文革时的冤鬼,
被红卫兵打死的, 于是这房间在大一时,
没有安排任何人住, 是房产处决定的, 如果
这里有94化学的弟兄, 一定知道这段公案,
大三时, 有化学系的哥们不知道从哪里弄
得钥匙, 偷偷住了进去. 穿着大裤衩子
被房产处的北京大妈堵到门口, 一吨大骂.
……

发信人: QFT (wuxinan转世/ATP), 信区: Physics
标 题: 保留一下我的战果
发信站: 北大未名站 (2002年05月25日18:14:04 星期六), 转信

便于我自己转载

1755 QFT May 25 ● 来，我来回忆一把我们敬爱的苹果姐姐
1756 QFT May 25 ● 当我收到苹果姐姐第一封信的时候
1757 QFT May 25 ● 我感觉苹果姐姐好可爱哦。一定是个腼腆的小女生
1758 QFT May 25 ● 后来。。。苹果姐姐给我发信就越来越肆无忌惮了
1759 QFT May 25 ● 最开始尊称我Mr.Wu，后来就直接叫我猪
1760 QFT May 25 ● 后来在一个伸指不见五手的夜里，我见到了苹果
1761 QFT May 25 ● 飘动的长裙让我在29楼前面流连忘返
1762 QFT May 25 ● 只可惜yunyun姐姐在，让我欲言又止
1763 QFT May 25 ● 然后，苹果姐姐就飞走了~~~~~~~~~~~~~
1764 QFT May 25 ● 再后来，苹果姐姐就一天比一天无聊
1765 QFT May 25 ● 因为苹果姐姐思念在远方的老鼠~~~~
1766 QFT May 25 ● sorry，临时插入puke10个
1767 QFT May 25 ● 在一个阳光明媚妇女开大会的大喜日子里
1768 QFT May 25 ● 苹果姐姐对我说，她现在开始灌水啦~~~~
1769 QFT May 25 ● 我小声问了一句，姐姐您在哪里喷水？
1770 QFT May 25 ● 苹果姐姐说，有一个天堂，它叫未名
1771 QFT May 25 ● 于是我就来了，然后遇见了我的最爱even先生
1772 QFT May 25 ● 垃圾，你就不能等我灌完么
>
1780 QFT May 25 ● 激情复燃，不过刚刚写苹果姐姐的激情都没了
1781 QFT May 25 ● 那就让我来回忆一下我亲爱的even吧
1783 QFT May 25 ● 后来军训的时候我和even分在了一个连
1784 QFT May 25 ● 这种好事真是让我求之不得呀。
1785 QFT May 25 ● 我和even开始了亲密接触（对，就是正式开始拍拖
1786 QFT May 25 ● even在军训的时候被奉为齐步走标兵
1787 QFT May 25 ● even向左向右转的时候并脚声音无比响亮
1788 QFT May 25 ● even的功夫让教官都叹为观止
1789 QFT May 25 ● 有一次，我被荣幸的请到了和even并列的位置上
1790 QFT May 25 ● 我和even一起带领大家齐步走
1791 QFT May 25 ● 走的时候，我红着脸偷偷的看了一眼even
1792 QFT May 25 ● even满脸横肉挤成一团，一脸正气，丝毫没有看我
1793 QFT May 25 ● 我好失望。。。不过心里面还是美滋滋的
1794 QFT May 25 ● 后来，even对我说，其实他当时比吃了蜜糖还甜
1795 QFT May 25 ● 我们这样就算表白了
1796 QFT May 25 ● 直到现在，我仍旧记得那个清新的早晨，even
1797 QFT May 25 ● 红着脸对我说，你真的要去美国了？我舍不得你
1798 QFT May 25 ● ====结束====

–

发信人：atp（Big Mouse），信区：网络安全
标　题：利用文件上传脚本的漏洞——最最简单的http攻击
发信站：安全焦点（2001-07-30 10:41:37）

314被黑全过程
漏洞在文件上传的功能
系统服务器：Win32, Apache, PHP, mySQL 

本来没打算要黑的，但是因为他们开了FTP服务器，而其中一个用户的密码我又刚好知
道，所以就把他们主页上论坛的代码偷出来看了一下，mySQL的处理不很严密，$id之类
的变量都没有加引号，普通的字符串加了引号但是没有用mysql_escape_string处理，
我一开始就朝这个方向努力。有一个地方是这样写的： 

$result=mysql_query("select * from article where flag='' and id="
                 .$father,$db); 

我在一片id是347贴子里面写了个PHP，然后我post了这么一个father:
347 into outfile 'f:/htdocs/cmd.php'
这样就能把贴子的内容写到php里面。注意，我熟悉他们的文件系统，web文件在
"f:\htdocs\"下面我事先是知道的。
但是没有成功，我开始以为是mysql把文件的权限去掉了，过了一会儿才想起来一定是
他们的php.ini里面设置了
magic_quotes_gpc=On
这样引号到了php脚本里面就自动加上了反斜杠，这么基本的概念我忘了，惭愧惭愧 

于是我认为他们的论坛是无懈可击的，但是后来我注意到论坛上的一个上传的功能。我
试了一下，禁止了.php的上传，我觉得没有漏洞，但是出于好奇，我把它处理上传的
php拿下来看了一下，最关键的代码是这样的： 

else if (file_exists("upload/".$file_name))
  $upload_error="已经存在一个叫$file_name 的文件。";
else if (strtolower(substr($file_name,-4))==".php")
  $upload_error="不能上传.php 文件。";
else if (preg_match("/\//i",$file_name)) $upload_error="你在干什么？";
else if (!copy($file,"upload/".$file_name)) $upload_error="原因不明。"; 

看起来判断很严密，因为在windows文件系统里面，最后一个字符是不能为空格的（相
应的材料可以在linux处理vfat的那个模块里面查到）。但是作者没有用
is_uploaded_file来判断，这个漏洞很久远了，我试了下面的URL：
upload.php?file_name=a.txt&file=c:/autoexec.bat
autoexec.bat就可以用浏览器看见了。我觉得不知足，上传了一个instruction.txt的
文件，文件内容如下：

如果这个文件是.php的话就可以用来执行任何的php命令。我用了这样一个URL：
upload.php?file_name=cmd.php%20&file=f:/htdocs/weed/upload/instruction.txt
作者提示了上传以后文件的位置，所以我很容易知道我传上去的instruction.txt的绝
对路径。注意这里我在cmd.php后面加了一个空格，骗过了作者的php脚本，copy函数
忠实的为我服务了。
这样cmd.php就已经在服务器上了。 

然后就是直接发命令了，我先上传了一个我自己的首页，然后依次往cmd.php POST了
两个cmd上去：
rename("f:/htdocs/index.php", "f:/htdocs/index.old.php");
rename("f:/htdocs/weed/upload/mypage.html", "f:/htdocs/index.html");
好了，首页已经被改掉了。然后就是很老套了，服务器上有了后门，操作就容易了：
system("dir c:\\");
这个列出了服务器上c:\下面的文件
system("type f:\\htdocs\\weed\\forum.php");
这个列出了论坛的一个PHP的源码。

忠告：做大站点很难保证代码没有一点问题，但是要注意的是，即使是很小的一个漏
洞，也可能可以毁了整个站点。 

wuxinan@wuxinan.net
ATP
攻击方法都是很老套的了，可以自由转载 

--
※ 来源:·安全焦点讨论区 www.xfocus.org·