----------------------------------------------------------------------------

# oldjun注：帮朋友打下广告，新书上市。

官方连接：http://hi.baidu.com/%D3%C7%D3%F4%B5%C4%BA%DA%D3%A5/blog/item/c46335d2f291df0c3bf3cf07.html

书名：《黑客攻击实战入门》 作者：BlAck.Eagle &&冰Sugar

----------------------------------------------------------------------------

很多技巧从国外的paper学到的，不过国内没有多少人使用，所以发出来，笔记下~

一、order by 的参数注入技巧：
两种方法，思路都一样。

example. “select username,pas...

不知道该说什么好了，以前拿了很多shell，一直懒得提权，一是没那个必要，二是提权太累了，三是服务器类型的肉鸡多了也没啥用。不过要是能让我一下子就成功提权，何乐而不为呢？

于是360本地提权来了，最近已经沸沸扬扬的了，不多发表过多评论，只是觉得做公司更要厚道；本人菜另外还有很多兄弟在360，不说什么了，发了本地提权的利用程序吧。friddy那里已经有一份了，是用来替换5下shift为cmd.exe的：360本地提权webshell下测试程序。

瑞星说是“bregdrv.sys和bregdll.dll”出的问题，然后http://www.sebug.net/exploit/19048/这个poc也是直接load这个dll的，于是这个利用程序也是基于这个的。webshell下使用，guest权限即可，需要Wscript.shell支持，功能主要是：

1.开启终端服务，端口为3389；用法：360.exe port

2.替换5下shift为cmd；用法：360.exe...

很多人有了，流传出来了，然后发出来。现在的漏洞，如果主动公布的，肯定是“无鸡肋不公布”，否则肯定是藏着，除非别人公布了。DZ的鸡肋在于需要创建者的权限（创建者的密码一般比较难搞），pw的鸡肋在于需要截断（或者linux旁注写一个shell到tmp下）。

一、discuz后台settings.inc.php中写shell漏洞：

漏洞详情：

首先说一下，漏洞是t00ls核心群传出去的，xhming先去读的，然后我后来读的，读出来的都是代码执行，1月5日夜里11点多钟，在核心群的黑客们的要求下，xhming给了个poc，我给了个exp，确实发现的是同一个问题。截止夜里2点多种我下线，还只有t00ls核心群里几个人知道我给出的exp，可我怎么也想不到，经过半天时间，exp就满天飞了，而且确实出自昨天我的那个版本。

不难想象，exp流传的速度，A与B关系好，A发给B；B与C是好朋友，B发给C...总有人耐不住性子，泄露点风声，于是就人手一份。最受不了的是，竟然有些SB在群里拿来叫卖；实在不想说什么，要叫卖什么时候轮到你？人心不古，以后有的话还是自己藏着吧。

上午漏洞告诉了Saiy，DZ官方的补丁很快就出来了吧。

特别说明：产生漏洞的$scriptlang数组在安装插件后已经初始化，因此有安装插件的用户不受影响。

漏洞介绍：

Discuz！新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。

漏洞分析：

下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直...

这个注入从1.2版本就存在，08年末在大家广泛使用1.5版本的时候要搞个uchome的站，于是看了下源码找到这个点，写了个没用的exp藏一年多了一直丢硬盘没发，前几天看了下2.0版本看到依旧存在，还跟flyh4t说要不要公布呢。既然xhming公布了，我也说下吧。估计很多大牛也做为后备0day雪藏很久了吧。

首先说鸡肋，两个原因导致：
1是漏洞的存在必须开启全局变量，即register_globals为on；
2是基于ucenter本身产品的安全性，即使注入得到密码，又有几个能破的了的。

然后说漏洞，其实很容易就可以看到：