oldjun’s blog

看《文化中国》，品中国文化

oldjun — Sun, 16 Nov 2008 12:58:36 +0000

上高中以后的日子里，电视就逐渐走出了我的生活，取而代之的是电脑。确实，有了电视，谁还高兴去看电视啊。可是，电视应该还是不会被社会所淘汰的，自从买了电视，新闻联播一般我得看；另外一个我认为受益匪浅的就是通过电视我发现了《文化中国》。

国庆那段时间很无聊，把不知道多少年前的电视剧《康熙王朝》拿出来看，通过电视剧我有感于康熙的丰功伟绩，惊羡于康熙的雄才大略；另外电视剧给我们以额外的感动，我不知道是否是史实，可有三处我是着着实实被感动的流泪：一是周培公鞠躬尽瘁编辑的中国第一张地图；二是康熙将自己最喜欢的蓝齐儿送给仇敌葛尔丹做王妃；三是最后康熙将容妃发配去洗马桶。看完电视剧，我感觉我太肤浅了，对历史简直一无所知，说真的，我学过历史，知道康熙是史上在位时间最长的皇帝，可是我根本不知道康熙因何流芳百世。

事有凑巧，不经意的调台的时候，《文化中国》出现在我眼前，我惊叹于今波的口才与故事的生动以及历史的诱人，于是我连续看了很多个《文化中国》的系列，比如前面我要知道的康熙王朝，然后雍正王朝，看了明朝那些事儿，看了汉武大帝，看了唐太宗李世民的创业，看了历史上的女人，看了孔子老子...每一部都是一本书。这本书，在那里你不会去看，但他通过谈话通过影视图片生动的讲述给你，你会深深的被其吸引，然后品味一段段历史，然后获取一点点感悟。

说真的，读了十几年的书，对于中国的几

more...

PhpCms2007 sp6 SQL injection 0day (wenba)

oldjun — Mon, 10 Nov 2008 01:49:40 +0000

早前在phpcms 0day频发的时候写的这个exp，藏着这个exp藏了一个多月吧，也没有拿它去打站，一直丢在我硬盘里，今天看到11期的黑防公布了，于是我也丢出来吧：


print_r('
--------------------------------------------------------------------------------
Phpcms2007 (wenba)blind SQL injection / admin credentials disclosure exploit
BY oldjun[S.U.S](http://www.oldjun.com)
--------------------------------------------------------------------------------
');
if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0]. host path
host: target server (ip/hostname),without"http://"
path: path to php<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/32/" title="Permalink to PhpCms2007 sp6 SQL injection 0day (wenba)">more...a>p>3>

有关山寨版绿盟，不得不提一下

oldjun — Fri, 24 Oct 2008 18:41:53 +0000

好久不写日志了，最近也没玩多少站，大站不好写出来，小站不好意思写，于是这边只有留空白...可是今天碰到这个小站，还又不得不说...

下午在sunwear那群里，有人扔出个链接：www.dtd1.cn，说是山寨版绿盟，我一点进去，猛地发现这个山寨版绿盟居然来自东台，怪不得域名前两个字母是dt呢...于是有一种感觉叫无语...

一、拿shell拿系统权限：

初看这个站，asp小站，拿下肯定很容易的，于是都没找注入，直接尝试后台，一试/admin存在，于是尝试登陆，用or试了下，不行，换成admin,admin，进去了，再次无语，这管理员是白养了...

大体看了下后台，操作FSO的地方还蛮多，除了编辑器的上传，还有自带的上传，另外还有备份恢复操作数据库，还有生成首页...我们一个个看能否成功：

1.编辑器ewebedito

more...

PhpCms2007 sp6 SQL injection 0day

oldjun — Wed, 01 Oct 2008 15:00:47 +0000

这个漏洞是我8月份发现的，当时写的exp只是get管理员的账号密码；但现在这个漏洞已经被他人发现并且公布，而且有了update管理员密码的利用，因此我公布我当时写的这个exp，庆祝国庆~


print_r('
--------------------------------------------------------------------------------
PhpCms2007 sp6 "digg" SQL injection/admin credentials disclosure exploit
BY oldjun(www.oldjun.com)
Thx for flyh4t^_^
--------------------------------------------------------------------------------
');

if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0]. host path
host: target server (ip/hostname),without"http://"
path: <p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/30/" title="Permalink to PhpCms2007 sp6 SQL injection 0day">more...a>p>3>

三鹿网站漏洞（待发）及黑页

oldjun — Fri, 12 Sep 2008 14:37:10 +0000

先留个图片，事情过去后视情况写网站的二处漏洞（也许可以更多，甚至整个内网）！

图一：
图二：

QQ客户端网站链接过滤不严可导致网址欺骗

oldjun — Wed, 10 Sep 2008 15:54:08 +0000

漏洞说明：
QQ是我们使用的最多的聊天工具，QQ安全中心从2006正式版推出了网站链接保护功能：QQ2006正式版优化了对不安全链接屏蔽、举报功能，限制这些钓鱼网站、恶意网站等不安全链接的传播，大大提高了QQ用户在聊天时接收链接和访问链接的安全性。于是平时聊天时，对于QQ聊天中传播的网站，我们基本都能有个清醒的意识，知道哪些该点哪些网址不能点。但是由于URL对于特殊字符的截断，导致QQ对于网站链接过滤可以很容易突破。

漏洞分析：
浏览器解析URL的时候，可能会截断某些特殊字符，比如#，其实这个大家很早就知道，很多mdb数据库前加#，就是为了被浏览器截断使某些低水平的hacker无法下载，于是，我们可以用#构造特殊的链接，可以绕过QQ网站链接过滤的审核，成为安全网址！

漏洞测试：
构造网址：http://oldjun.com#.qq.com，在QQ里测试：

可以看到两个网址前的区别，而两个网址均指向：http://www.o

more...

记一次艰辛的提权过程(旧文回发二)

oldjun — Thu, 04 Sep 2008 09:42:42 +0000

此文写于三个月前，同样谈的是思路：

下午随便访问一个服装集团的网站，无意间发现网站后台的弱口令，于是稍微搞了下，webshell到手了（与主题无关，简单略过），这个服务器是某某科技的虚拟主机，可是我asp的webshell权限居然蛮大的，我兴奋了下：有戏了！

服务器是windows2000的系统，各个盘都可以访问，于是我一个盘一个盘的转悠，在c盘下看到了php文件夹，原来这服务器还支持php，不管怎样，php的权限应该比asp大吧，于是我上传了个php的webshell，开始想办法提权了。

一、 Serv-U提权：
我在服务器的M盘(管理员蛮有意思，D、E盘是光驱，C、M、N盘是本地磁盘)里的Program Files下发现了Serv-U，一看version，是6.0的，高兴了下，那还不轻松搞定…于是用webshell自带的Serv-U提权工具提权，显示如下图：

Recv: 200 EXEC command successful (TID=33).意思是成功了，可是命令下行下net user一下，却没有见到我应该看见的oldjun…

我无语了，难道

more...

对某IT大卖场的渗透(旧文回发一)

oldjun — Tue, 02 Sep 2008 12:44:06 +0000

5月份写的一篇文，其实那段时间搞了很多站，有的过程比这艰辛的多，但只留下两篇文了，寒，虽然说入侵有记录的习惯了，可是搞完就忘了。以下是原文，写自四个月前：

这段时间失业，于是每天停留在各大招聘网站上，我习惯性的投一个简历检测一个站，该IT大卖场在南京在全国都是有名的，他们招维护网站的程序员，于是我一不小心去他们网站溜达了下，又一下子得到了系统权限，现在把过程写下来，重在思路。

一进首页，随便点个新闻进去加个1=2：
http://www.sxxxxxxe.com/2007/news.asp?c=0&id=30%20and%201=2返回错误，1=1都不要检测了，直接拿domain跑跑看吧，ACCESS的库，跑到username跟password的时候domain假死了，显示111条记录，貌似太多了点…换啊D试试，一样…

貌似注入这条路行不通…不管了，先找找后台，一下子扫到了：
http://www.sxxxxxxe.com/admin
试试or漏洞跟弱口令，都不行，登不进去…检测陷入僵局了，不过貌似这个站还有很多页面我没注意，于是又慢慢翻了一下，找到个

more...

dfcms后台拿webshell，只谈思路

oldjun — Sat, 30 Aug 2008 13:56:54 +0000

下午群里人扔出个网站：http://www.sz-zxdz.com，深圳某骗子公司的网站，mop大杂烩（http://dzh.mop.com/topic/readSub_8736802_0_0.html）上公布的一个骗子站点，然后他给出后台地址与用户名密码，让大家帮忙拿webshell，我无聊中，于是决定帮他看看。通过后台看出该网站由dfcms构建，不过我没听说过这个cms...

群里很多人都在看，大家的目标都在那个上传以及fckeditor上，貌似还有ewebeditor，不过没登录地址，我开始也以为这个这是很古老版本的fckeditor，可以直接上传的，后来根据他们的反应，肯定不行；再看看后台那upload的源文件，没有filepath，十有八九是提交页面定义的filepath，对filename的审核我没看到源代码，所以我决定放弃这条线索。

整理下思路：前台我没看，不过既然大家这么忙活，肯定不是mssql了，既然是acc，思路很少的，上传用不起来，只剩两个思路了：1.暴库，如果是asp后缀的库，shell直接来了；2.写入，很多网站提供写入配置文件的，比如早年我搞得风讯。于是我仔细检查了下

more...

拿下DVBBS php官网

oldjun — Fri, 29 Aug 2008 16:11:32 +0000

文章作者：oldjun[S.U.S]
信息来源：oldjun's blog（www.oldjun.com/blog）

注意:文章已经发表在2008第7期《黑客防线》上,转载请注明出处。（最近拿站比较多，没来得及写日志，拿这篇文章凑数！）

几个月前，DVBBS php2.0暴了一个可以直接读出管理员密码的sql注入漏洞，当时这个漏洞出来的时候，我看的心痒，怎么还会有这么弱智的漏洞，DVBBS php2.0这套代码我还没仔细看过，于是5月中旬我down下来粗略看了下，接着我花了三天的时间，拿下p.dvbbs.net，即动网php的官方网站，并得到了webshell。总的来说，这次入侵凭的是二分技术加一分运气。

一、 SQL注入漏洞：
晚上检查了好久，终于在topicother.php中发现了一处sql注入漏洞，但是并不像前段时间暴的漏洞那么简单，因为不能把密码直接读出数据库并显示出来，这是个活动帖子的报名主函数，我简单搜索了下，1.0好像后来就增加了这个功能。好了，来看具体函数：

function PostActive_Main(){
……
$TopicID = $GLOBALS['id'];
$activeid = trim($_GET['activeid']);//activei

more...