标签 ‘PHP’ 下的日志

零魂PHP一句话木马客户端(一键提交版)

2009/10/28 17:56 | 鬼仔 | 工具收集 | 5 个回复

Author:零魂(zerosoul)

V0.2
2009-11-11(正好是光棍节,晕~)更新内容:
—————————–
1.修补了下原始版本有些服务器不能正常运行的大Bug。
2.去掉了提交后的登陆密码验证,提交后直接进入大马界面。
阅读全文 »

Tags: ,

php+mysql5半自动注入工具

2009/10/15 12:31 | 鬼仔 | 工具收集 | 11 个回复

作者:Mikawawa

经常碰到这样的注入环境,但有的时候网上给的工具并不能完全应付所有的环境。比如有的会有过滤啊啥的,为了方便我特意写了这个工具。基本上可以应付所有的 php+mysql5的注入环境,因为自己可以直接修改注入语句,所以只要手工能绕过的过滤,该工具都可以。而且我添加了最新使用 group_concat获取数据的方式,可以大大降低注入时提交的语句量和获取数据的时间。先看看界面吧:
阅读全文 »

Tags: , ,

安全模式下exec等函数安全隐患

2009/05/28 14:36 | 鬼仔 | 技术文章 | 消灭0回复

当safe_mode=on且safe_mode_exec_dir为空时[默认为空],php在处理这一过程中存在安全隐患,在windows下exec()/system()/passthru()可以通过引入\来执行程序,绕过安全模式

author: 80vul-B
team:http://www.80vul.com
date:2009-05-27
updata:2009-6-19
阅读全文 »

Tags: , ,

当magic_quotes_gpc=off

2009/05/24 23:40 | 鬼仔 | 技术文章 | 消灭0回复

# 鬼仔注:文中有一个ECShop SQL injection 漏洞。

Pstzine0x03里”[0x06] 高级PHP代码审核技术”一文中关于 “5.3.6 变量key与魔术引号” 部分的php源代码分析

author: ryat#www.wolvez.org
team:http://www.80vul.com
date:2009-04-10

一、综述

magic_quotes_gpc是php中的一个安全选项,在php manual中对此有如下描述:

When on, all ‘ (single-quote), ” (double quote), \ (backslash) and NULL characters are escaped with a backslash automatically. This is identical to what addslashes() does
阅读全文 »

Tags: , , , , ,

关于magic_quotes_sybase

2009/05/24 23:21 | 鬼仔 | 技术文章 | 消灭0回复

当php.ini设置magic_quotes_sybase为on时会覆盖magic_quotes_gpc为on的处理,然而magic_quotes_sybase仅仅是转义了nullbyte和把’变成了” :)

author: ryat#wolvez.org
team:http://www.80vul.com
date:2009-04-14

一 描叙

magic_quotes_gpc为on时,php在注册变量时会调用addslashes()函数处理[既转义单引号、双引号、反斜线和nullbyte],但php.ini中还有另外一个选项影响着magic_quotes_gpc和addslashes()函数:当php.ini设置magic_quotes_sybase为on时会覆盖magic_quotes_gpc为on的处理,然而magic_quotes_sybase仅仅是转义了nullbyte和把’变成了”
阅读全文 »

Tags: , ,

mb_ereg(i)_replace()代码注射漏洞及其延伸出的正则应用安全问题

2009/05/07 21:28 | 鬼仔 | 技术文章 | 消灭0回复

author: ryat#wolvez.org
team:http://www.80vul.com
date:2009-04-30

一 描叙

mb_ereg_replace()是支持多字节的正则表达式替换函数,函数原型如下:

string mb_ereg_replace ( string $pattern , string $replacement , string $string [, string $option= “msr” ] )

当指定mb_ereg(i)_replace()的option参数为e时,replacement参数[在适当的逆向引用替换完后]将作为php代码被执行,但php在处理这一过程中,存在安全隐患,可能导致绕过程序的逻辑执行任意代码,另外程序员对正则匹配替换认识不够[包括preg_replace等函数],容易饶过安全限制,导致安全漏洞.
阅读全文 »

Tags: , , ,

php pear mail包任意文件读写漏洞

2009/05/07 21:25 | 鬼仔 | 技术文章 | 1 个回复

来源:80sec

漏洞介绍:PEAR是PHP的官方开源类库, PHP Extension and Application Repository的缩写。PEAR将PHP程序开发过程中常用的功能编写成类库,涵盖了页面呈面、数据库访问、文件操作、数据结构、缓存操作、网络协 议等许多方面,用户可以很方便地使用。它是一个PHP扩展及应用的一个代码仓库,简单地说,PEAR就是PHP的cpan。但是80sec发现,Pear 的Mail模块存在安全漏洞,某些情况下将导致用户以webserver权限在主机上读写操作系统任意文件,继而控制主机执行php代码等。
漏洞分析:PEAR的Mail包错误地使用escapeShellCmd来过滤传入到sendmail命令的用户参数,用户提交精心构造的参数即可调用sendmail的其他参数,即可在操作系统上读写任意文件。
阅读全文 »

Tags: , , , ,

php mail function open_basedir bypass

2009/05/07 21:21 | 鬼仔 | 技术文章 | 消灭0回复

来源:80sec

漏洞介绍:php是一款被广泛使用的编程语言,可以被嵌套在html里用做web程 序开发,但是80sec发现在php的Mail函数设计上存在问题,可能导致绕过其他的如open_basedir等限制以httpd进程的身份读写任意 文件,结合应用程序上下文也可能导致文件读写漏洞。
漏洞分析:php的Mail函数在php源码里以如下形式实现:
阅读全文 »

Tags: , , , ,