2009-03-31

Plurk Time Jumper - 可跳至指定日期河道的Greasemonkey外掛.

隨著Plurk河道越來越長,朋友越來越多,要往前找過去的噗都會特別累人.
plurkhistory 又只能看自己的噗,總是覺得缺少了點什麼..
要是能直接指定河道時間的功能就好了,不過PLURK官方一直沒有出現這功能,那就自己來幹吧..

上網查了一下,去年七月有位 YungSang 寫了 Plurk Time Machine 有符合這需求,不過因為之後Plurk改變部分變數的名稱跟處理方式,使得這外掛失效了,
後續也沒人修正,那就來給他改改看好了.
目前改好的檔案就先取名叫Plurk Time Jumper,位置在 http://userscripts.org/scripts/show/45523 ,原始碼 .
需配合 Greasemonkey 使用.
Greasemonkey的安裝可參考 我們的放浪人生 - 噗浪(Plurk)台灣的非官方部落格:幫你的噗浪加上外掛turbo!(上)

雖然改的有點二二六六,不過還能用,安裝啟用後,在PLURK的最上方會出現一個SelectDate JumpTo的選項.
按下後會跳出輸入日期的提示,確認後便會開始處理跳轉.不過目前跳轉機置處理的有點糟..經常會跳失敗.XD
v0.2改為開新視窗,確保參數帶入生效,所以此版本已無跳轉失敗問題.
v0.3直接呼叫Plurk的function來做河道時間切換.

也可以直接在URL網址列後面輸入 #2009/02/20 (想要跳轉的日期).後將整個頁面重新載入即可.
跳轉成功後河道最左邊就是所指定的時間,接下來可以往前拉來找噗.

後續就有待高手們協助完善囉..

PS: [PLURK] 2009/03/31 Plurk Time Jumper @ 040's Box :: 痞客邦 PIXNET ::: 這篇介紹寫的比較詳細,有興趣的噗友可以參考看看~

2009-04-01 update: Plurk Time Jumper v0.2 改了一點小地方,把原本的SelectDate按鈕改成**JumpTo** , 然後是按下確定後會開新視窗(比之前原視窗reload的方式好些,可確保100%成功)
2009-04-03 update: Plurk Time Jumper v1.0直接呼叫Plurk的function來做到河道時間的跳轉,而且不管是自己還是別人的河道都能轉.這原則上算是完成版了

2009-03-11

非廣告: WEBI 開站了~~ @20090311

在歷經千辛萬苦之後,WEBI http://webi.cc/ 終於小有所成了,整個首頁也換新了~

目前整體操作&效能跟之前相比有很大的進步了...

身為創辦人大姊頭的前同事,當然要給他情意相挺一下的啦..
附上簡單的操作影片,告訴大家 WEBI該怎麼玩~~


另外也試試嵌入號稱HD高畫質的Vimeo.

WEBI.CC 20090311 OPEN

WEBI怎麼玩? 上傳照片隨意拖拉,愛放哪放哪, 放大縮小,釘在桌面~~ 就是這樣玩~~
現在還有拉攏PPT鄉民的活動呢~~


PS: Youtube要等他把影片轉成HD還不知道要等到民國哪一年,原始影片1280x720在沒轉之前實在有點糊..
試試便當狗的也會清楚些.. http://www.badongo.com/vid/640x480/1052980

2009-03-10

ARP 掛馬的作業模式觀察

這是拿網上隨手搜到的ARP掛馬工具測試

環境說明

VM HOST 192.168.1.2 (Windows2003) VMware Server 1.08

VMNAT 192.168.200.0/24 HOST GW 192.168.200.2
VMNAT Port Forward Host Port 80 => 192.168.200.100:80

VM WEB 192.168.200.100 tcp:80 (Debian Apache2)
MacAddress 00:0c:29:a7:a3:c6

VMARPATTACK 192.168.200.128(DHCP) (Windows 2003)
MacAddress 00:0c:29:4d:a8:bd


正常情況,在此環境內連結http://192.168.1.2/ 會經由VMNAT轉至VM內的 192.168.200.100:80
顯示結果如下 Wireshark紀錄 http://www.swm.idv.tw/20090310_A.pcap


在那台VMARPATTACK 192.168.200.128上面執行ARP掛馬工具 (當然這台肉雞上是沒有任何防護的)
測試工具下載位置 http://soft1.hackdos.com/soft/2008713arp.rar
(這種工具不需要特意去找,GOOGLE一挖就有一堆的..取得上一點難度也沒有)
不過那些被放出來的東西裡面通常都藏了些有的沒的,沒事的話不建議隨便以身試法..XD


其中設定插入代碼給一個便於識別的 1.1.1.1/mm.js (當然目前這個是不存在的)
執行以後安裝,從Wireshark上面就可以看到這個ARP spoofing開始運作了
Wireshark紀錄 http://www.swm.idv.tw/20090310_B_ARP.pcap


此時再去看 http://192.168.1.2/
Wireshark 紀錄 http://www.swm.idv.tw/20090310_C_ARP.pcap


由title來看可以確定已經成功被掛馬了
IE得到的網頁原始檔

Wireshark針對VMNET的封包擷取過程
連線建立時就有抓到重複的封包
而在第六個封包發出GET 時,目的地MacAddress 00:0c:29:4d:a8:bd
已經是 VMARPATTACK 192.168.200.128(DHCP) (Windows 2003) 偽裝成 192.168.200.100了




第10個封包,是VM WEB正常吐回的respond,但是目的地MacAddress 00:0c:29:4d:a8:bd 卻是 VMARPATTACK 192.168.200.128




然後在第12個封包才由MacAddress 00:0c:29:4d:a8:bd VMARPATTACK 192.168.200.128
將插入過的html返回

因為測試的環境是在內部NAT做port轉發,所以可能跟實況會有誤差.

不過理論上如果拿到外網環境應該也是可以通的,

這種攻擊模式的現成程式很多,每一款實作上可能也有些許差異,不過基本概念都是類似的.
等於是從同網段gateway/router之前攔截了http的封包硬插代碼後再送出.

這代表了什麼?代表我不需要實際去入侵每一台機器,

只要在IDC機房內同網段內抓出一台給他搞一下,
其他同網段沒有作ARP綁定防護的WEB SERVER就都會被插惡意代碼了..
管你是APACHE還是IIS..通通都會有..XD

而且被插的網站就算把整個網站程式碼翻到爛也找不到哪裡被插..

恐怖嗎?.....

相關閱讀:去年(2008)聖誕節時的舊文 MSN SHELL 所在SERVER遭ARP掛馬??

另外這模式初步看起來似乎跟

大規模網頁綁架轉址:威脅未解除,但專家都猜錯了:
&
破解新型態大規模網頁轉址攻擊

裡面提到的封包偽造特徵有點類似..看來也是從中間攔截封包硬插..不過目前手邊缺乏實例進行比對..不知道此特徵與此次的網頁轉址攻擊有無關聯

2009-03-10 19:25 Update: 再看了下並且經過交叉比對後發現似乎又跟這次的大規模網頁轉址有些不同,用這種掛馬工具出了gateway後並不會有兩個重複封包,而是直接修改封包後發出.
看來與這次的大規模轉址事件在實作方式上有些許不同,而且arp掛馬侷限性較高,若是從某個骨幹節點直接攔截造假封包送出,影響更為嚴重.

2009-03-13 update:
另外附上2008-12-24發現MSN SHELL 所在SERVER遭ARP掛馬??時用wireshark錄到的封包樣本 http://www.swm.idv.tw/20081224_cap.zip 有興趣或是手上有2009-03大規模轉址封包樣本的朋友可以抓回去分析比對看看.