Weil Jimmer's Blog

Taskbar Progress 工作列 進度條 C# .NET

如上圖所示，工作列可以有進度條。本方法需要較底層，所以必須調用外部API。

請先下載參考：WindowsAPICodePack

載點一：
https://sites.google.com/site/1456wbff/home/WindowsAPI.7z?attredirects=0&d=1
載點二：
https://mega.nz/#!0J9BSbYB!4svqcg8liM6fRGDc9Zk-D_NjNzdMF5GEHY6vzLt13rY
載點三：
http://cht.tw/h/nrkw9

下載完畢後匯入參考，並使用代碼：

public void set_status_taskbar ( int value_, int max_ ) {
    if ( Microsoft.WindowsAPICodePack.Taskbar.TaskbarManager.IsPlatformSupported ) {
        var taskbarInstance = Microsoft.WindowsAPICodePack.Taskbar.TaskbarManager.Instance;
		taskbarInstance.SetProgressState(Microsoft.WindowsAPICodePack.Taskbar.TaskbarProgressBarState.Normal);
        taskbarInstance.SetProgressValue(value_, max_);
    }
}

public void set_status_finish () {
    if ( Microsoft.WindowsAPICodePack.Taskbar.TaskbarManager.IsPlatformSupported ) {
        var taskbarInstance = Microsoft.WindowsAPICodePack.Taskbar.TaskbarManager.Instance;
        taskbarInstance.SetProgressState(Microsoft.WindowsAPICodePack.Taskbar.TaskbarProgressBarState.NoProgress);
    }
}

僅此作為筆記。

淺談 HTTP、HTTPS、HSTS 安全 MITM、SSLStrip

眾所皆知要監聽帳號密碼已經不是難事，如上圖所示已經取得了"非HTTPS"加密連線的帳號密碼。最近研究少有成果，來寫篇文章留個紀念，當作我已經懂了原理。若有錯還請各位高手指正。

正常HTTP連線是不會有任何駭客可以侵入，例如手機網路(不談破譯基站或偽造基站)、非共用的私人網段。

一旦在區域網路上有他人的存在，就可能造成資安漏洞被MiTM（中間人）攻擊，竊聽信用卡、帳密…等資訊，例如：公用電腦、公用WiFi。所以很多重要網站（如：Google、FB）都有透過加密連線。如下圖所示，綠色鎖頭 https。

HTTPS的誕生就是預防被竊聽，它的加密現在有兩種形式，一個是RSA、另一個是ECC，都是利用數學難題作為基礎來加密資訊。

由上圖可知，每台電腦在出廠時，都會有"證書"存在自己電腦，不需要經過網路傳輸。也就是 CA Root 。所有證書的簽發都是一層一層向下簽，CA簽發給CA下的單位如DV、OV、EV證書驗證機構，再簽發給域名。而瀏覽器默認信任CA Root，由於來源可靠，故此域名就跟著被一塊信任。

當攻擊者想要竊聽 HTTPS 時會造成問題，因為攻擊者沒有私鑰，無法解密訊息，導致此監聽就無意義了，故只能偽造證書。但是偽造證書會出現一個問題，瀏覽器會警告用戶此證書不可信任（域名錯誤、來源不可信…等）！

所以攻擊者需要監聽HTTPS的辦法就是，想辦法讓瀏覽器不要透過HTTPS連線，利用SSLStrip可以達到此目的，假設此伺服器是強制HTTPS的情況，就會變成駭客與伺服器做安全連線，而真實用戶與駭客間採用HTTP連線。

因為這種情況的發生，所以進而加入一個新功能HSTS，嚴格HTTPS連線，一旦連上了HTTPS，就會發送HSTS頭部訊息，瀏覽器接收後，此後不管任何到此域名的連線都會變強制在本地端做307導向。使攻擊者只能接受並原封不動的傳送此連線資訊，而無法被監聽。

但不少用戶在瀏覽器網址框都是直接打 域名 或是 打 http:// 而不是 https:// ，所以普遍用戶都是 301 轉跳到 HTTPS，在第一次連接時的頭部訊息，如果發動了攻擊，就可以偽造後續所有連線，所以…SSLStrip還是略勝一籌阿。

基於此緣故，現行網際網路又推行了一個新東西：HSTS preload，顧名思義，預先載入，各網站的擁有者可以登入自己的域名到 preload list，等日後瀏覽器更新時，就會把這些網站列表編譯進瀏覽器內。此後瀏覽器，不用透過 301 轉向，直接查詢網站是否在清單裡，如果存在，則直接強制HTTPS連線，就算用戶輸入 http:// 開頭，還是一樣強制307轉跳到https連線。

這已經是終極預防措施，不過，經過我去查網路上某資訊得知，這個清單在Chrome瀏覽器中並非靜態，造成可以利用Delorean時間竄改工具(參考)，攻擊瀏覽器，使之 preload 清單的 域名 過期，回到原本 先訪問 HTTP 再 轉跳 HTTPS 的模式，造就了 駭客再次入侵。SSLStrip 還是贏了……防不勝防！上網時要注意看是不是綠色鎖頭喔～

不用寄信 檢查 Email 是否 真實 存在 PHP

最近很常研究 Email，由於是自己架設伺服器，比較麻煩，所以更深入研究了一下下。

今天想到就寫一篇，真實檢查 Email 的方法，因為這個不是驗證 Email 格式與否，而是直接驗證 此Email是否存在，並且無須寄信即可以檢查。

首先先查詢 Email @後域名的MX紀錄，再查此IP，得到 IP 後即可透過 TCP 連線至該 SMTP 伺服器驗證以確立此 Email 確實存在，而不是亂打的。

//Check email is exist
var_dump(check_is_email_real_exist("test@example.com"));

function check_is_email_real_exist($email_address){
	if ((!filter_var($email_address, FILTER_VALIDATE_EMAIL)===false) and strlen($email_address)<=254){
		$emailxx=explode('@',$email_address);
		$dns_lookup_result=dns_get_record($emailxx[1],DNS_MX);
		if (count($dns_lookup_result)==0){
			return false;
		}else{
			$address=gethostbyname($dns_lookup_result[0]['target']);
			if ($address!=''){
				$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
				if ($socket === false) {
					echo "socket_create() failed: reason: " . socket_strerror(socket_last_error()) . "\n";
					return false;
				}
				$result = socket_connect($socket, $address, 25);
				if ($result === false) {
					echo "socket_connect() failed.\nReason: ($result) " . socket_strerror(socket_last_error($socket)) . "\n";
					return false;
				}
				$in = "HELO hi\r\n";
				socket_write($socket, $in, strlen($in));
				if(substr(socket_read($socket, 2048),0,3)=='220'){
					$in = "MAIL FROM:<thisistest@gmail.com>\r\n";
					socket_write($socket, $in, strlen($in));
					if(substr(socket_read($socket, 2048),0,3)=='250'){
						$in = "RCPT TO:<$email_address>\r\n";
						socket_write($socket, $in, strlen($in));
						if(substr(socket_read($socket, 2048),0,3)=='250'){
							$in = "QUIT\r\n";
							socket_write($socket, $in, strlen($in));
							if(substr(socket_read($socket, 2048),0,3)=='250'){
								return true;
							}else{
								return false;
							}
						}else{
							return false;
						}
					}else{
						return false;
					}
				}else{
					return false;
				}
			}else{
				return false;
			}
		}
	}else{
		return false;
	}
}

代碼醜陋，請各位看官不要介意。

Bash 自動備份網站與異地備份

這是我現在所用的方法，直接分享出來，備份壓縮網站資料與資料庫十日，自動刪除近十日之外的檔案。

建立一個 backup.sh 檔案，內容如下：(FTP地址帳密、網站路徑、資料庫密碼…要自己修改一下)

#!/bin/sh

THESITE="example.com"
THEDATE=$(date +%Y-%m-%d_%H_%M_%S)

mysqldump --defaults-file=/home/user/secret.cnf --user=root --host=localhost --all-databases | gzip > /var/www/$THESITE/backup/db_$THEDATE.sql.gz

tar czf /var/www/$THESITE/backup/site_${THEDATE}.tar /var/www/$THESITE/public_html/
gzip /var/www/$THESITE/backup/site_${THEDATE}.tar

find /var/www/$THESITE/backup/site* -mtime +10 -exec rm {} \;
find /var/www/$THESITE/backup/db* -mtime +10 -exec rm {} \;

echo "OK"

ftp -n 31.170.xxx.xxx <<End-Of-Session
user USERNAME "PASSWORD"
binary
cd /public_html/backup/secret_path
put "/var/www/$THESITE/backup/db_$THEDATE.sql.gz" "db_backup.sql.gz"
put "/var/www/$THESITE/backup/site_${THEDATE}.tar.gz" "site_backup.tar.gz"
bye
End-Of-Session

wget http://backupsite.com/ -O /tmp/keep_online
rm /tmp/keep_online

創一個文檔在 /home/user/secret.cnf (或你喜歡的地方)，然後設定權限 400 或 600 內容填入如下。

[client]
password="MYSQL_PASSWORD"

最後 在終端機 打指令

crontab -e

在最下面加入：（設定定時任務，零時零分自動備份網站並透過FTP外寄出去）

0 0 * * * sh /the_path_you_want/backup.sh

這樣就可以完成幾乎全自動的備份。

淺談Telegram開發機器人

我做了一個很簡單的計時器，為了某群組裡面的高中生而設計，這也是我首次製作 tg 的機器人。我才做兩個而已，所以有些功能我真的不知道的我也沒辦法為您解答。

以下是講我的經歷：

首先必須先註冊個telegram帳號(廢話)，然後搜索聯繫人@BotFather 這很重要，加入這個機器人之後，首先輸入：/newbot ，然後再輸入你想要取的名子(可以是中文)，接著系統會提示你再輸入用戶名稱，結尾必須是 bot ，而且僅英文數字以及下畫線，接著你的機器人就創立了，BotFather會告訴你，你的Token，這很重要，因為等下傳送或是接收訊息都要用到這組文字。

開始就是程式設計的部分，我個人是比較熟PHP，所以用PHP開發。而且還是改寫自官方的腳本。但我現在已經明白原理了。

<?php

define('BOT_TOKEN', 'BotFather給你的Token');
define('API_URL', 'https://api.telegram.org/bot'.BOT_TOKEN.'/');

//這些AppFunction和處理資料有關係，我是覺得直接Copy就好了。
function apiRequestWebhook($method, $parameters) {
  if (!is_string($method)) {
    error_log("Method name must be a string\n");
    return false;
  }

  if (!$parameters) {
    $parameters = array();
  } else if (!is_array($parameters)) {
    error_log("Parameters must be an array\n");
    return false;
  }

  $parameters["method"] = $method;

  header("Content-Type: application/json");
  echo json_encode($parameters);
  return true;
}

function exec_curl_request($handle) {
  $response = curl_exec($handle);

  if ($response === false) {
    $errno = curl_errno($handle);
    $error = curl_error($handle);
    error_log("Curl returned error $errno: $error\n");
    curl_close($handle);
    return false;
  }

  $http_code = intval(curl_getinfo($handle, CURLINFO_HTTP_CODE));
  curl_close($handle);

  if ($http_code >= 500) {
    // do not wat to DDOS server if something goes wrong
    sleep(10);
    return false;
  } else if ($http_code != 200) {
    $response = json_decode($response, true);
    error_log("Request has failed with error {$response['error_code']}: {$response['description']}\n");
    if ($http_code == 401) {
      throw new Exception('Invalid access token provided');
    }
    return false;
  } else {
    $response = json_decode($response, true);
    if (isset($response['description'])) {
      error_log("Request was successfull: {$response['description']}\n");
    }
    $response = $response['result'];
  }

  return $response;
}

function apiRequest($method, $parameters) {
  if (!is_string($method)) {
    error_log("Method name must be a string\n");
    return false;
  }

  if (!$parameters) {
    $parameters = array();
  } else if (!is_array($parameters)) {
    error_log("Parameters must be an array\n");
    return false;
  }

  foreach ($parameters as $key => &$val) {
    // encoding to JSON array parameters, for example reply_markup
    if (!is_numeric($val) && !is_string($val)) {
      $val = json_encode($val);
    }
  }
  $url = API_URL.$method.'?'.http_build_query($parameters);

  $handle = curl_init($url);
  curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
  curl_setopt($handle, CURLOPT_CONNECTTIMEOUT, 5);
  curl_setopt($handle, CURLOPT_TIMEOUT, 60);

  return exec_curl_request($handle);
}

function apiRequestJson($method, $parameters) {
  if (!is_string($method)) {
    error_log("Method name must be a string\n");
    return false;
  }

  if (!$parameters) {
    $parameters = array();
  } else if (!is_array($parameters)) {
    error_log("Parameters must be an array\n");
    return false;
  }

  $parameters["method"] = $method;

  $handle = curl_init(API_URL);
  curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
  curl_setopt($handle, CURLOPT_CONNECTTIMEOUT, 5);
  curl_setopt($handle, CURLOPT_TIMEOUT, 60);
  curl_setopt($handle, CURLOPT_POSTFIELDS, json_encode($parameters));
  curl_setopt($handle, CURLOPT_HTTPHEADER, array("Content-Type: application/json"));

  return exec_curl_request($handle);
}

//上面的程式碼都建議直接Copy拿來用

//我自己的程式碼開始

$target_times=1465772400;
$msg = '距離【畢業典禮】還有'."\n".floor(($target_times-time())/86400).'天'.floor((($target_times-time())%86400)/3600).'時'.floor(((($target_times-time())%86400)%3600)/60).'分'.(((($target_times-time())%86400)%3600)%60).'秒！';

if (time()>$target_times){
	$msg="";
}

$target_times=1467327600;
$msg .= "\n".'距離【指考】還有'."\n".floor(($target_times-time())/86400).'天'.floor((($target_times-time())%86400)/3600).'時'.floor(((($target_times-time())%86400)%3600)/60).'分'.(((($target_times-time())%86400)%3600)%60).'秒！';

if (time()>$target_times){
	$msg="";
}


//處理開始函數，傳入$msg是因為我這個程式的功能所需，並非必要
function processMessage($message,$msg) {
  // process incoming message
  $message_id = $message['message_id'];
  $chat_id = $message['chat']['id'];
  if (isset($message['text'])) {
    // incoming text message
    $text = $message['text'];

    if ($text === "/start" or $text === "/start@botusername"){
		if ($msg!=""){
			apiRequestJson("sendMessage", array('chat_id' => $chat_id, "text" => $msg."\n聊天室ID：".$chat_id));
		}
    } else if ($text === "/show" or $text === "/show@botusername") {
		if ($msg!=""){
			apiRequestJson("sendMessage", array('chat_id' => $chat_id, "text" => $msg));
		}
    } else if (strpos($text, "/stop") === 0) {
	// stop now
    } else {
	// 其他指令或訊息
    }
  }
}

if (php_sapi_name() == 'cli') {
  // if run from console
  //這是為了定時任務的區別，如果是從Crontab跑，就從這邊
	if ($msg!=""){
		apiRequestJson("sendMessage", array('chat_id' => '00000000000', "text" => $msg));
	}
  exit;
}


$content = file_get_contents("php://input"); //讀取資料 (In)
$update = json_decode($content, true); //JSON解析

if (!$update) {
  // receive wrong update, must not happen
  // 接收到錯誤訊息
  exit;
}

if (isset($update["message"])) {
  //接收到正確訊息，調用處理函數
  processMessage($update["message"],$msg);
}

程式碼都獻上了，現在開始講原理。

首先必須要有一台服務器，來執行WebHook，把你寫好的PHP檔案上傳到伺服器上面，注意檔名最好建立很特殊的名稱，讓一般使用者無法猜到你用什麼檔名，以預防惡意人士直接訪問你的程式。(洪水轟炸，或偽造請求之類的。)

上傳後，請直接訪問 https://api.telegram.org/bot{TOKEN}/?method=setWebhook&url=https://www.example.com/{secret}bot.php

例如：
https://api.telegram.org/bot123456789:AAAAAAAAAAAAAAAAAAAAAA/?method=setWebhook&url=https://www.example.com/secret_random_path/bot.php

參數url後面接的就是你要接收的位置，僅支援https，完畢後一旦直接對bot講話輸入指令，telegram就會立刻送出對話內容傳到你的程式，而你的程式處理完之後再回傳給telegram，這就是它的工作原理。

得到的內容長得像：(已經被解析的Object["message"])

(
    [message_id] => 01
    [from] => Array
        (
            [id] => 123456789
            [first_name] => Nickname
            [username] => username
        )

    [chat] => Array
        (
            [id] => -123456789
            [title] => test
            [type] => group
        )

    [date] => 1464504645
    [text] => /say I just say?
    [entities] => Array
        (
            [0] => Array
                (
                    [type] => bot_command
                    [offset] => 0
                    [length] => 17
                )

        )

)

簡單明瞭，這只是message的部分，有可能會出現其他資料，例如傳圖片，有人加入群組時，就會不同了，請參閱 telegram 文檔，https://core.telegram.org/bots/api。

而我的設計是當使用者輸入 /start 時，就會回傳 聊天室 id，因為我需要 id 才可以讓我直接發訊息回去，否則必須每次都是被動型傳輸，這樣我就可以主動傳送了，因為我不需要依靠對方先傳訊息給我才可以取得 id 回傳。

而我設定輸入指令 /show 時 就會彈出距離目標時間還有多久。而且利用 cron job 定時任務，每天都會 run 這程式發送一次倒數訊息。這就是整個簡單的概念。

接下來，在 tg 上就可以直接操作並直接顯示結果了，唯一缺陷就是沒有指令選單。這時可以再向 BotFather設定，輸入 /setcommands，再輸入 @botname，指令(英文)+空格+簡介。(可以多行輸入)

最終預防機器人被濫用亂加入群組，可以設定鎖定，/setjoingroups → @botname → Disable。

這樣就大功告成了。其他功能自己探索，其實很簡單的。