分类目录归档:作品发布

WebshellAutoCheck 1.0 Webshell自动检查工具 for windows

WebshellAutoCheck 1.0 Webshell自动检查工具 for windows

主要功能说明:

1.webshell检查,支持任意后缀的脚本检查,包括asp/php/jsp/***等;

2.敏感文件检查, 如bak/sql/log/***文件;

3.白名单功能,排除误报,报告处理的最大问题;

4.自动定时扫描,支持window定时任务和服务形式启动;

5.邮件自动通知,扫描完成自动邮件提醒;

使用说明:

1.文件说明:

WebshellAutoCheck.exe 主程序

config.xml 配置文件

2.主要参数:

D:\>WebshellAutoCheck /?

WebshellAutoCheck 1.0 By:Neeao

http://neeao.com

WebshellAutoCheck /install      Install services.

WebshellAutoCheck /uninstall    Uninstall services

WebshellAutoCheck /start        Start services

WebshellAutoCheck /stop Stop services

WebshellAutoCheck /scan Only scan once.

/install 安装为服务形式,默认为自启动服务.

/uninstall 卸载服务(有个小bug,卸载完毕不能立即从服务管理里消失,等会就好了,不影响使用)

/start 启动服务自动检查(启动前请跟进config.xml文件中说明进行相关配置再启动)

/stop 关闭服务

/scan 仅仅进行扫描

3.config.xml文件说明:

<?xml version="1.0" encoding="gb2312"?>
<root>
  <server>
	<!--scan_dirs节点需要扫描的目录,多个目录使用;分割-->
	<scan_dirs>d:\wwwroot</scan_dirs>
	<!-- speed,数值越大扫描越快,占用资源也越多 -->
    <speed>8</speed>
	<!--cycle节点自动扫描间隔,单位秒,修改后需重启服务-->
	<cycle>60</cycle>
  </server>
  <!-- 自动邮件通知 发送send=1,不发留空-->
  <mail is_send="1">
	<username>testmail</username><!--邮件发送帐户名-->
	<password>testmail</password><!--邮件发送密码-->
	<stmp>smtp.neeao.com</stmp><!--邮件服务器地址-->
	<sender_name>Check</sender_name><!--邮件发送者名称-->
	<sender_address>neeao@neeao.com</sender_address><!--邮件发送者邮箱地址-->
	<receiver_name>Neeao</receiver_name><!--邮件接收者名称,多个接收者名称用;分割-->
	<receiver_address>neeao@neeao.com</receiver_address><!--邮件接收者邮箱地址,多个用;分割,顺序和接收者对应-->
	<subject>WebShell检查通知邮件</subject><!--邮件通知的标题-->
  </mail>
<!-- 扫描规则,lang节点为标记扫描规则名称,filetype为扫描的文件类型,支持windows通配符,多个用;分割-->
<!-- 特殊文件扫描,主要通过is_file节点值区分,为1则是仅扫描文件名 -->
<!-- webshell扫描,is_file为空-->
<!-- 扫描规则设置,关键词采用tr1正则表达式,regexp为匹配规则, exclude为排除规则,desc为对此条规则的通知描述-->
  <language>
    <list lang="bak" filetype="*bak*" is_file="1"/>
	<list lang="asp" filetype="*.asp;*.asa;*.cer" is_file="">
      <keyword regexp="(WScript\.Shell|72C24DD5-D70A-438B-8A42-98424B88AFB8|F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)+" exclude="1" desc="发现WScript.Shell组件"/>
      <keyword regexp="(Wscript\.Network|093FF999-1EA0-4079-9525-9614C3504B74)+" exclude="Wscript.Network" desc="发现Wscript.Network组件调用"/>
      <keyword regexp="(Shell\.Application|13709620-C279-11CE-A49E-444553540000)+" exclude="" desc="发现Shell.Application组件"/>
      <keyword regexp="(Scripting\.FileSystemObject|0D43FE01-F093-11CF-8940-00A0C9054228)+" exclude="" desc="发现FSO组件调用"/>
      <keyword regexp="(adodb\.stream|00000566-0000-0010-8000-00AA006D2EA4)+" exclude="" desc="发现adodb.stream组件调用"/>
      <keyword regexp="(MSXML2.XMLHTTP|Microsoft.XmlHttp|88D969C5-F192-11D4-A65F-0040963251E5|88D969EA-F192-11D4-A65F-0040963251E5)+" exclude="" desc="发现Microsoft.XmlHttp组件调用"/>
      <keyword regexp="LANGUAGE\s*=\s*(vbscript|jscript|javascript).encode" exclude="" desc="发现脚本加密函数encode1"/>
      <keyword regexp="[^\.](Eval|Execute|ExecuteGlobal)\s*[\(]?\s*(request|session)" exclude="" desc="发现Eval|Execute函数书写的一句话webshell."/>
    </list>
    <list lang="jsp" filetype="*.jsp" is_file="">
      <keyword regexp="Runtime\.getRuntime\(\)\.exec" exclude="" desc="发现jsp命令执行方法"/>
      <keyword regexp="java\.io\.FileOutputStream\(application\.getRealPath\(" exclude="" desc="发现jsp一句话webshell"/>
    </list>
    <list lang="aspx" filetype="*.aspx" is_file="">
      <keyword regexp="Environment\.(OSVersion|MachineName|GetEnvironmentVariables)" exclude="" desc="发现Environment对象调用"/>
    </list>
  </language>
  <!-- 白名单设置,添加白名单:在white中添加新的list节点,如下,path节点为白名单路径,md5借点为文件的md5值-->
  <white>
   <list path="d:\wwwroot\2006.asp" md5="a6c21f051e354846b3080e9c0549b89d"/>
  </white>
</root>

4.debug模式

在程序当前目录创建一个debug.log的空文件,重启服务,debug信息将写入此文件。

注意使用完删除此文件。

附件:webshellautocheck.20121124.rar(211323 Byte)

TR1正则表达式:http://msdn.microsoft.com/zh-cn/library/bb982727.aspx

Bambook微博分享

Bambook 微博分享,可直接通过云端分享至新浪微博。

开发环境:Windows7+VC2010。

使用方法:

1.点击链接至Bambook,会自动读取设备自有书信息。

2.要分享的书上右键,即可弹出分享到新浪微博按钮。

3.修改默认内容,点击发布。

4.第一次发布时,会弹出窗口在新浪网站授权下使用此应用,并输入新浪api返回的PIN码,以后无需再输入。

5.分享成功。

bambook1.jpg

bambook2.jpg

附件:bambookshare.rar(1115350 Byte)

SQL Server 口令弱密码检查工具

Sql Server 2005之后版本做了防远程暴力破解的限制,之前的远程弱密码检查的工具不管用了,查了点资料,写了这个检查工具。

使用说明:

0.需在要检查的SQL Server服务器上执行本程序。

1.系统要求:需要.net 2.0环境支持。

2.对于检查的SQL Server服务器,需要采用混合模式安装才能使用。

3.在SQL Server2000/2005/2008版本下测试可用。

4.目录下的password为密码文件,可自行扩充,每行一个密码。

下面为测试截图:

sql2000.jpg

sql2005.jpg

sql2008.jpg

http://neeao.com/attachments/SQLServerPasswordCheck.rar

谷歌音乐试听歌曲下载工具 20100102版

自从谷歌音乐上线以后,再也没到其他地方下载过歌曲,不过这两天帮朋友下载一些歌曲的时候,发现谷歌音乐对某些歌曲并不提供下载服务。

比如:欧美热歌 中的第一首:后街男孩的Shape Of My Heart就不提供下载,如图:

google.jpg

但是它还是提供试听的,本想通过试听地址下载下来,不想google对音乐文件地址进行了简单的加密处理。通过分析html页面还不好找到,经过一番分析后,终于发现了,google隐藏地址的原理,在这里就不啰嗦了,有兴趣的自己研究下。为了方便以后下载,用C#写了个小工具,不敢独享,放出来给需要的朋友用下了。

google2.jpg

使用方法:

0.此软件基于.net2.0开发,因此如果是XP的系统,运行的话,需要安装Microsoft .NET Framework 2.0 版可再发行组件包 。Windows7的系统,默认支持.net2.0了。

1.点击打开试听地址,输入到试听地址中,然后点击GET,即可获取到歌曲的信息,如果获取不成功则报错,地址栏变红色,成功,则会输出歌曲信息,地址栏变绿色。

2.点击保存地址的按钮选择保存的路径,如果不选则默认保存在程序允许的目录下面。

3.开始下载,等待下载完成,点击重来,重新下载其他歌曲。

本地下载

 

 

 

 

SQL通用防注入程序 20091206版

本不打算对这个小东东做更新了,不过还是经常收到一些朋友的咨询,以及在使用中遇到了一些问题,今天又收到朋友来信问关于这个东东的问题,正好今天公司值班也没啥事情,就顺手更新一下了。顺便统一在对以前一些朋友提出的问题做下解答。

主要解决了以下几个问题:

  1. 更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故,如果有的网站统计了访问来源的话,就有可能导致搜索引擎过来的访客报sql注入,无法访问,20091206版中删除了对于%和*的过滤。
  2. 修改数据库访问路径为绝对路径。原来的是采用虚拟路径访问数据库的,如果有的朋友部署的目录比较奇怪的话,可能会导致找不到sql防注入的数据库,20091206版本不会有这个问题了,可以支持将数据库放之非web目录。
  3. 修改原来的安全页面功能为安全表单。原来的安全页面功能是为了防止后台添加数据的时候,存在sql注入过滤关键字字符而设置了,本版本修改了安全页面功能为安全表单,将误报白名单细化到了表单。使用方法:如果发现本系统影响了你的网站正常的添加数据,可以将你认为安全的表单添加至安全表单,可通过管理页面查看影响的参数,然后将其添加至后台管理-》参数设置中的安全表单,并启用安全表单即可。
  4. 对后台界面做了优化,实在看不下去以前的后台界面了,太丑了。

代码继续托管至Google,访问地址:http://code.google.com/p/defencesqlinject/

本地下载:/attachments/sql_20091206.rar

如果使用过程中发现问题,请留言或者Email给我。

此为免费程序,可随意使用,不过由于本人已工作,时间有限,恕不提供免费服务,请见谅。

NOD32病毒库自动下载工具20091106版

之前的文章发布过一个demo,定制性不是太好,需要安装winrar才能解压缩。今天抽空写了一个无需winrar就可以直接解压缩的版本,顺便编译了一个exe,放上来,需要的朋友可下载下。

一、主要功能有:

1.无需winrar支持即可加压缩,主要是采用winrar官方发布的unrar.dll来实现的。

2.可修改需要下载病毒库的url,这个主要考虑是官方如果修改url的话,就不用修改主程序了,修改下配置文件就行.注意:不同版本的nod32升级病毒库的url不同。

3.可修改要解压缩的目录,可随意存放磁盘的任意目录了,修改下配置文件就OK。

二、文件说明:

主要有三个文件:

1.主程序:NOD32update.exe

2.unrar.dll库文件:unrar.dll.

3.config.xml文件,url为病毒库路径,path为要存放的本地磁盘目录。

  1. <?xml version="1.0" encoding="gb2312"?> 
  2. <root> 
  3.     <url>http://down1.eset.com.cn/eset/offlinev2.rar</url> 
  4.     <path>D:\\offlinev2\\</path> 
  5. </root> 

三、程序使用方法:

修改下上面的config.xml文件中的path路径与nod32程序本地更新目录一致即可使用,怎么设置见nod32官方。

以下为程序运行界面,下载完成并解压缩后会自动退出,方便定时设定后台自动下载。

nod32.jpg

四、下载地址:

http://neeao.com//attachments/nod32downloadupdate.rar

声明:本程序仅供个人学习、测试、体验和研究使用,请勿用于任何商业目的,如果你喜欢ESET(NOD32)请购买正版软件或使用360安全中心提供的免费半年激活码!