IDA Pro 6.2 + 的Linux 版本提供了Qt 界面，可以在各大平台正常运行。买不起也有办法 ，使用 wine 可以很好地运行IDA Pro，显示效果基本OK，爱折腾的同学可以自行调整字体。

1

$ wine idag.exe

IDA Pro 6.1 成功运行.但是idapython 有些问题需要处理，引起idapython不能正常运行的原因主要有下面两个：

文件缺失

大概会报下面错误

1

err:module:import_dll Library python27.dll (which is needed by L"C:\\ida61\\plugins\\python.plw") not found

要解决这个错误，需要从windows下拷贝两个文件过来，这两个文件是 msvcr90.dll，python27.dll

环境变量

1

$ wine idag.exe

会报下面类似错误， ImportError: No module named site，发生这个错误的原因是找不到python安装路径，可以使用unix下的python使用shell命令设置环境变量

1
2

$ export PYTHONPATH=/usr/lib/python2.7/
$ wine idag.exe

Python 问题

在使用过程中发现idapython还是有一些问题，使用wine安装Windows的python后问题得到解决，主要是C语言写的python模块的问题。

参考链接

http://www.openrce.org/forums/posts/463

SQL Server 2005 中引入的 xp_cmdshell 选项是服务器配置选项，
使系统管理员能够控制是否可以在系统上执行 xp_cmdshell 扩展存储过程。

1. 如何在sql server 2005 中开启xp_cmdshell

1
2
3
4
5
6
7
8
9
10
11
12

-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO

2. 如何查询sql server 2005 拓展存储过程xp_cmdshell 状态

1
2

SELECT * FROM sys.configurations where name='xp_cmdshell'
GO

查看value的值， 1 为开启， 0 为关闭

3. 如何查看public角色对哪些拓展存储过程有执行权限

1
2
3
4
5
6

select sysusers.name, sysobjects.name, sysprotects.action from sysobjects, sysusers, sysprotects
where sysobjects.id=sysprotects.id and sysprotects.uid = sysusers.uid and 
sysprotects.protecttype=205 and sysprotects.action= 224 and (sysusers.name='public' or
sysusers.name='guest' ) and sysobjects.type='X'

GO

4. 如何去掉public角色对拓展存储过程的执行权限

1
2

deny execute on xp_dirtree to public
GO

关于%5c的暴库利用想已经不是什么新技术了，原因我只找到含糊的说法：的UNICODE是%5c当提交时,IIS无法正常解析,导致暴库。但我对 http://www.hoky.org 测试成功后（现在已经补上）问过hoky.pro，得知%5c与IIS的设置是有关系的。而在默认设置下是可以暴库的。还有很多人说不成功，我要说的三点：

1. 一般的错误返回页面是本地IE提供的,所以我们先得关了本地的错误页面,具体在菜单项的‘工具->internet选项->高级->显示友好信息’。
2. 对方数据库要是Access型。
3. %5c的暴库需要的是二级目录，一级目录无法成功。如：

http://www.sometips.com%5c1.asp?id=1 不成功
http://www.sometips.com/other%5c1.asp?id=1 成功

好了，上面说的大家都知道，当是废话。在暴库这么好用的东西下，如果一个网站只有一级目录的话，难道就没有办法了吗？说到重点，其实一级目录我们也同样可以成功的，我们可以通过构造一个多级目录来达到暴库的目的。

http://www.target.com/noexists/..%5clist.asp?id=1

这样大家就会有新的惊喜了，呵呵。

补救方法也很简单，在conn.asp里 加入数据库文件的位置后面加上这句：

1

On Error Resume Next

就可以了。

今天在黑基又看到了关于％5c暴库的文章，这招真的很管用，大概10个网站里会有一个会暴库吧。

关于这个漏洞。绿盟有相关的资料：
http://www.nsfocus.net/index.php?act=magazine&do=view&mid=952

呵呵。虽然这个我们这个漏洞呵暴库关系不是很大， 但是明眼人还是看的出相关的地方，IIS 二次解码。大家知道在 url中 \ 和 / 是一样的，也就是说 http://www.example.com/abc/123.asp?id=5 和 http://www.example.com/abc\123.asp?id=5 是一样的。

而 http://www.example.com/abc%5c123.asp?id=5 经过一次解码后变成 http://www.example.com/abc\123.asp?id=5 这里是不会出错的。

而经过 IIS 二次解码后就变成 http://www.example.com/abc%5c123.asp?id=5, 如果数据库连接文件用的相对路径的话。HOO, 找不到数据库文件，当然就出错了。还很老实呢，连物理路径都出来了。大家看。

1
2
3
4
5

Microsoft JET Database Engine 错误 '80004005'

'D:\wwwroot\hell\wwwroot\data\abc.asp'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。

/blog/conn.asp，行29

这个是我暴 Oblog 暴出来的，这个月的黑防大家都有看吧。(早知道我也去投稿了，我发现的比他早多了，郁闷)
很多人都在分析成功的条件，就象itbbs里的人讨论的一样。(itbbs最近我怎么上不去啊，知道告诉我)

sykkk 认为：

1. 是数据库连接中没有加入容错代码 所以导致错误不能跳过而活生生的把数据文件连接暴出来
2. 对方的IIS没有关闭错误提示 只要关了错误提示就算你怎么暴也没有用
3. 不一定要2级目录 可以自己够造个noexists/..%5C的2级目录
4. 还有就是 要成功一定要调用到数据库 不一定是5c1.asp?id=1 这种类别的

其实还有一个必要条件他忘了，数据库要相对路径，绝对路径是暴不出来的。还有我补充一点应该是 IIS 4.0 或者 IIS 5.0 ，IIS 6 应该是不行了。

关于二级目录，我同意sykkk的看法，有的人说一定是二级目录，呵呵，我可以告诉大家那是错误的。应该是最靠近的asp文件的那个 “/“ 改成 “%5c”, 只有有调用数据库都有可能暴库。哈哈，还有当然对方要没有屏蔽错误信息，要不然你是肯定看不到的。

总结：％5c暴库成功条件

1. 对方服务器用的是 IIS 4.0 或 IIS 5.0， 并且没有屏蔽错误信息。
2. 是数据库连接中没有加入容错代码 所以导致错误不能跳过而活生生的把数据文件连接暴出来 (On Error Resume Next)
3. 应该是Microsoft JET Database Engine 方式
4. 数据库文件调用用的是相对路径！！

不一定要求是二级目录。三级也是可以的(我有成功过), 二级目录有时候反倒没成功。至于还有构造二级目录，我是没成功过，嘿嘿，应该是错误的。：）

随便也告诉大家，aspx %5c 也有文章的，运用也很巧妙，想知道就 google吧。^_^

最近sql inject 可是说是红遍了整个中国，不知道多少网站在sql inject 面前轰然倒下，其实 Sql inject 在国外技术已经很成熟了，而国内则是在近一两年内慢慢走向成熟。在一个个惨痛的实例面前，脚本工作者不得不重视起来，最好的例子就是动网了。然而今天脚本是不是就很安全的呢。请看我对几个安全站点的测试结果。结果是令人吃惊的， 影子鹰， 华夏， 黑客动画吧 都存在着这个站内搜索的漏洞。

请看一段常见的站内搜索写法。

例一：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

<form name="form4" method="post" action="search.asp">
<tr>
<td height="25"> <div align=center>
<input type="text" name="txtfind" size="18" onMouseOver="javascript:this.select();" value="请输入待查信息" style="border:#333333 1px solid;">
</div></td>
</tr>
<tr>
<td> <div align=center><img height=5 src="../images/left_2.gif" width=186></div></td>
</tr>
<tr>
<td height="30"> <div align=center>
<select name="s1">
<option selected value='0'>所有类别</option><option value='1'>网站新闻</option>
<option value='2'>进阶教程</option>
<option value='3'>安全漏洞</option>
<option value='5'>系统防范</option>
<option value='6'>原创作品</option>
</select>

上面的这段来自影子鹰安全网, 也许看了人说没什么的啊，我也是这么写的，这和sql inject 有什么关系啊。
其实问题就出在这, 搜索类别的值是从客户端获得的，而且没有过滤。那么聪明的你是否想到了什么？

我们可以构造一个url http://www.cnhacker.cn/search.asp?s1=1 得到的结果是：

页面返回正常，得到一大堆的搜索结果。

提交 http://www.cnhacker.cn/search.asp?s1=1 and 1＝1 返回正常
提交 http://www.cnhacker.cn/search.asp?s1=1 and 1＝2 没有搜索到任何相关文章 ，请重新搜索

哈哈，可以注入！像这些安全站点密码一定n变态，还是用nb跑跑吧。后面也证明了我的想法是正确的密码n变态，还好没手工猜。拿到了管理员的密码，就是找不到后台郁闷。

例二：

1

<a href='Soft_Class.asp?ClassID=11'>安全扫描</a></li><br><li><a href='Soft_Class.asp?ClassID=12'>嗅探监听</a></li><br><li><a href='Soft_Class.asp?ClassID=13'>分析检测</a></li><br><li><a href='Soft_Class.asp?ClassID=14'>字典文档</a></li><br><li><a href='Soft_Class.asp?ClassID=15'>加密破解</a></li><br><li><a href='Soft_Class.asp?ClassID=16'>木马类</a></li><br><li><a href='Soft_Class.asp?ClassID=17'>QQ类</a></li><br><li><a href='Soft_Class.asp?ClassID=18'>综合工具</a></li>

上面代码来自黑客动画吧，令人吃惊的直接就是classID= 根本就没有过滤。分析完上面的代码，和其他的一些代码综合起来, 我们又可以构造这样的url:

http://www.hack58.com/Soft_Search.asp?Field=SoftName&ClassID=8

结果返回也是一定堆的搜索结果。。。

提交 http://www.hack58.com/Soft_Search.asp?Field=SoftName&ClassID=8 and 1＝1 返回正常
提交 http://www.hack58.com/Soft_Search.asp?Field=SoftName&ClassID=8 and 1＝2 产生错误的可能原因：

HOO，漏洞又出来了！

例三：

来个大家都知道的华夏黑客联盟，前段时间还被黑了一次。还是看代码吧，听说华夏用的是动力的商业版。可以华夏今天又上不去，反正原理是相同的。我把我构造好的url 给大家看

http://www.77169.org/soft1/search.asp?ss_name=winrar&sor=01

接下来要怎么发挥就看你们的了。

总结：这个漏洞应该有一定的普遍性，黑窝里安全站点都有这个问题，更别说是其他站点了。或许有些大虾早就发现了，
小弟就在这献丑一下了，第一次写文章，有所差错在所难免，欢迎和我联系。