oldjun’s blog

PHPCMS2008 sp3、sp4 SQL注入漏洞 & exp

oldjun — Mon, 26 Jul 2010 17:29:34 +0000

很简单的小漏洞，很早就发现了，5月初丢t00ls核心了，又两个多月过去了，咋就没人公布呢。。。算了，最近没啥文章，把这个发上来凑凑数。

看代码的时候是sp3、sp4都存在问题，不过刚刚下了一份最新的sp4版本，已经修复此问题了！

又是未初始化，又是全局...国内的程序很多就是模拟全局，于是带来问题...想当初那个dz不也是么...还有很多php程序这样...对于程序员来说也许方便，但安全...漏洞文件是：fckeditor/data.php ，由于$where_time没初始化，所以可以直接union select 读想要读取的数据~先看看问题代码：

...
switch($action)
{
case '':
if($data == '') exit;
if(CHARSET != 'utf-8') $data = iconv('utf-8', CHARSET, $data);
$db->query("INSERT INTO ".DB_PRE."editor_data SET userid='$_userid', editorid='$editorid', ip='".IP."', created_time='".TIME.
more...

Dedecms v5.6的鸡肋本地包含漏洞

oldjun — Mon, 21 Jun 2010 03:05:59 +0000

还是前段时间看dede代码的时候看到的，虽然很鸡肋，但也有点用，于是拖着没发；很无语的发现在t00ls被公布了，于是我稍微说一下之类本地包含漏洞的利用方法。

一、漏洞介绍
Dedecms V5.6 Final版本中的plus/carbuyaction.php文件中当dopost为return时，$code变量没有初始化，直接被带入了require once 语句中，由于后面限制了.php，从而只能导致本地包含漏洞。

二、漏洞细节
1、 plus/carbuyaction.php文件：

//漏洞出现下$dopost 为return的时候，$code变量没有被赋值，由于dedecms的全局机制可以任意给其赋值，从而带入包含，导致本地包含漏洞。


…
elseif($dopost == 'return'){
//$code直接引入，from www.oldjun.com
require_once DEDEINC.'/payment/'.$code.'.php';
$pay = new $code;
$msg=$pay->respond();
ShowMsg($msg,"javascript:;",0,3000);
exit();
}
…

2、 include/common.inc.php：more...

Dedecms v5.6的鸡肋注入的可行性分析

oldjun — Wed, 09 Jun 2010 16:00:30 +0000

----------------------------------------------------------------------------

# oldjun注：帮朋友打下广告，希望大家不要介意。。。

庞大的脚本安全字典，《黑客脚本全本》隆重上市（Tommie等编著），本人感觉，这本书非常非常适合初学者入门，如果有新手有志学习脚本，成为脚本黑客，建议买本学习学习！

官方链接：：http://bbs.nohack.cn/thread-114886-1-1.html

淘宝预定地址：点击这里

黑客手册在线商城购买地址：more...

黄白花杂，四小猫，猫猫寻家

oldjun — Mon, 31 May 2010 13:15:22 +0000

一直很喜欢猫，小时候家里有养，非常非常的喜欢...猫非常可爱，小时候由于学业紧不能一直跟猫玩，于是默默道：长大了一定自己养着玩...

为了满足我的愿望，去年5月份，老婆从西祠猫版给我找回了第一只猫：黄小咪，是只被收养的流浪猫，黄白相间、非常的可爱，不过很怕人，与人不亲，一回家就躲在电视柜里不敢出来...

回来一两个月后的黄小咪：

09年6月份，为了防止黄小咪太孤独，老婆又从猫版找回来我们的第二只猫：小白，顾名思义，浑身洁白的毛，也是只被猫版里好心人收养的流浪猫，给我的第一印象是瘦小，据收养人讲，小白从小身体很虚，要我们回来好好照顾...

养大了的小白：

我那么爱猫，自然不会亏待它们，可是城市里养猫跟农村里不一样，吃要吃猫粮（我们家的猫鱼混着饭它们能挑出里面的鱼，放弃饭），拉要拉到猫砂盆里（有土地的地方不多，家里很不方便）。

可是由于资金一直很紧张，始终没来得及给他们

more...

贺friddy新婚，发布ECSHOP 2.7.X 后台鸡肋本地包含漏洞

oldjun — Sun, 16 May 2010 14:22:05 +0000

今天5.16日，大好日子，Friddy牛新婚大喜，发个鸡肋0day庆祝下。晚上Sec@NJ的兄弟们再聚首参加friddy同学的婚礼，flashsky与alert7等前辈悉数到场，比较开心，喝了不少酒，希望大家以后多多聚会、交流:-(

好了，这个小漏洞很鸡肋，去年除夕回家的火车上随便看代码看到的，因为是后台本地包含，一般用处不大，因为后台已经能够拿shell了，但对于极少数全站封死写权限的站点，还是小有点用处的~

很简单的本地包含，稍微看下源码：


...

elseif ($_REQUEST['act'] == 'second')
{
    admin_priv('shop_config');

    $shop_name = empty($_POST['shop_name']) ? '' : $_POST['shop_name'] ;
    $shop_title = empty($_POST['shop_title']) ? '' : $_POST['shop_title'] ;
    $shop_country = empty($_POST['shop_country']) ? '' : intval($_POST['shop_country']);
    $shop_province = empty($_POST['smore...

SQL注入中获取数据的一些技巧

oldjun — Wed, 28 Apr 2010 06:36:19 +0000

最近接触了好多欧美日韩台数据库的数据搬运工，很多目标站想拿下来很难很难，不过大家看中的只是数据而非webshell，webshell只是为了搬运数据方便一点。于是试问下，只存在注入时，您还在一条条搬么？

一、MSSQL获取数据：

用的比较多的就是for xml raw了，MSSQL2000都支持的！

注入中显示数据的两个办法均可以使用，一是union select、二是显错，以MSSQL2005为例：

select username from members where 1=2 union select top 3 username from members for xml raw
返回（如果username重复，自动去除重复值）：

select username from members where 1=(select top 3 username from members for xml raw)
返回：

Msg 245, Level 16, State 1, Line 1
Conversion failed wmore...



Mysql 另类盲注中的一些技巧
oldjun — Mon, 19 Apr 2010 10:28:34 +0000
----------------------------------------------------------------------------
# oldjun注：帮朋友打下广告，新书上市。
官方连接：http://hi.baidu.com/%D3%C7%D3%F4%B5%C4%BA%DA%D3%A5/blog/item/c46335d2f291df0c3bf3cf07.html
书名：《黑客攻击实战入门》 作者：BlAck.Eagle &&冰Sugar
----------------------------------------------------------------------------
很多技巧从国外的paper学到的，不过国内没有多少人使用，所以发出来，笔记下~
一、order by 的参数注入技巧：
两种方法，思路都一样。
example. “select username,pas
more...


Blog挂靠T00ls.Net服务器
oldjun — Wed, 31 Mar 2010 07:49:01 +0000
年初，天朝一片和谐之声，Blog躲躲藏藏一直无处安家，由于资金短缺，最后沦落到用家里电脑ADSL上线...后来经过t00ls核心群大伙的支持，寄居在t00ls的服务器。
目前而言，t00ls.net是国内发展与氛围都比较好的研究黑客技术或者网络安全的论坛，优点有二：一是牛人比较多，一开始我所了解的基本都是渗透的牛人，后来，方方面面的高手加进来，论坛的范围比较广；二是讨论的氛围比较好，大家可以自由交流，不像某些同类大论坛，限制发言或者一旦有大牛开口了其他人不敢各抒己见；当然，t00ls也存在与其他论坛相似的特性：一是虽然论坛一直在限制注册，但依旧鱼龙混杂，什么样的人都有，这里的什么样不是说技术，而是说RP；二是没有强有力的后台，跟大大小小的论坛一样，依旧是流落在民间前途未卜的小组织。所以说论坛一直是“低调求发展”。
论坛是核心群里诸位大牛们的心血，我只是来学习的；博客挂靠在t00ls服务器上，就生死共存亡了，于是很感谢大家的支持，惭愧也没帮服务器的维护做出啥贡献。
挂靠三个月，相安无事，顶多没有规律的DDOS或者CC。由于平时很忙，也没时间写文章，于是blog更新的很缓慢，更别说去备份数据库了。
接着杯具来了，由于一些原因，服务器数据库丢了，其实丢数据不可悲，可悲者有二：一是数据库丢失不是因为服务器被黑；二是t00ls的库与我bl
more...


360安全卫士本地提权漏洞的webshell利用程序
oldjun — Tue, 02 Feb 2010 13:54:19 +0000
不知道该说什么好了，以前拿了很多shell，一直懒得提权，一是没那个必要，二是提权太累了，三是服务器类型的肉鸡多了也没啥用。不过要是能让我一下子就成功提权，何乐而不为呢？
于是360本地提权来了，最近已经沸沸扬扬的了，不多发表过多评论，只是觉得做公司更要厚道；本人菜另外还有很多兄弟在360，不说什么了，发了本地提权的利用程序吧。friddy那里已经有一份了，是用来替换5下shift为cmd.exe的：360本地提权webshell下测试程序。
瑞星说是“bregdrv.sys和bregdll.dll”出的问题，然后http://www.sebug.net/exploit/19048/这个poc也是直接load这个dll的，于是这个利用程序也是基于这个的。webshell下使用，guest权限即可，需要Wscript.shell支持，功能主要是：
1.开启终端服务，端口为3389；用法：360.exe port
2.替换5下shift为cmd；用法：360.exe
more...


Discuz!7.0-7.2 & Phpwind7.5 后台鸡肋漏洞
oldjun — Fri, 15 Jan 2010 13:51:34 +0000
很多人有了，流传出来了，然后发出来。现在的漏洞，如果主动公布的，肯定是“无鸡肋不公布”，否则肯定是藏着，除非别人公布了。DZ的鸡肋在于需要创建者的权限（创建者的密码一般比较难搞），pw的鸡肋在于需要截断（或者linux旁注写一个shell到tmp下）。
一、discuz后台settings.inc.php中写shell漏洞：
漏洞详情：

if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {
        $ucdbpassnew = $settingsnew['uc']['dbpass'] == '********' ? UC_DBPW : $settingsnew['uc']['dbpass'];
        if($settingsnew['uc']['connect']) {
            $uc_dblink = @mysql_connect($settingsnew['uc']['dbhost'], $settingsnew['uc']['dbuser'], $ucdbpassnew, 1);
            if(!$uc_dblink)more...