oldjun’s blog

phpMyAdmin3 remote code execute php版本 exploit

oldjun — Tue, 12 Jul 2011 21:24:55 +0800

最近在家做专职奶爸，不谙圈内事很多months了，博客也无更新。

昨夜带孩子整夜未眠，看到黑哥在php security群里关于phpmyadmin3漏洞的讨论，虽然之前没看过漏洞代码，不过前段时间还是在微博上看到wofeiwo的exp了，不过据黑哥说有不鸡肋的利用方法，于是夜里翻代码出来研究了翻，写出了这个冷饭exp，由于我搞的晚了，之前已经很多人研究了写exp了，于是我这个属于炒冷饭，权当研究研究打发时间了。

首先赞下wofeiwo的python版本的exp，再赞下wofeiwo跟superhei的钻研精神，学习的榜样啊。不过之前那个exp利用起来是有一些限制的：
一是session.auto_start = 1；
二是pma3默认代码里libraries目录已经用.htaccess控制了不允许访问。
当然还有第三点大家都不可以逾越的鸿沟：config目录存在且可写。

在群里看了黑哥的发言后，再看了下代码，发现前两点利用限制均可以无视。所以其实这个漏洞还真的可以不是那么鸡肋。

于是写了这个php版本的exp，代码如下：


#!/usr/bin/php
print_r(
+------------------------------------------------<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/81/" title="Permalink to phpMyAdmin3 remote code execute php版本 exploit">more...a>p>

open_basedir后可能存在的安全隐患

oldjun — Wed, 23 Mar 2011 22:57:06 +0800

目前php站点的安全配置基本是open_basedir+safemode，确实很无敌、很安全，即使在权限没有很好设置的环境中，这样配置都是相当安全的，当然了，不考虑某些可以绕过的情况。本文讨论两点开启open_basedir后可能导致的安全隐患（现实遇到的），一个也许属于php的一个小bug，另外一个可能是由于配置不当产生的。

一、open_basedir中处理文件路径时没有严格考虑目录的存在，这将导致本地包含或者本地文件读取的绕过。

看一个本地文件任意读取的例子：


$file = $_GET['file'];
preg_match("/^img/", $file) or die('error_file');
$file='/home/www/upload/'.$file;
file_exists($file) or die('no_such_file');
$f = fopen("$file", 'r');
$jpeg = fread($f, filesize("$file"));
fclose($f);
Header("Content-type: image/jpeg");
Header("Content-disposition: inline; filename=test.jpg")<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/80/" title="Permalink to open_basedir后可能存在的安全隐患">more...a>p>

铱迅Web应用防护系统（新兴web安全公司-铱迅信息）

oldjun — Fri, 28 Jan 2011 21:22:03 +0800

注：
曾经在HI群里讨论WAF的时候，某大牛一语道破国内WAF的本质：“现在的waf整一个Mod-security修改版然后前端加加就哦了”...于是我立即反驳：“不是整一个，也有不是的”。

至少铱迅的Waf不是！

其实很久之前我也这么看：国内的ids基本就是snort，国内的waf基本就是ModSecurity...

当初我见到几个snort引擎下的ids的时候，我觉得这玩意挑不起web安全的大梁，甚至ids本身的出现也没有什么意义，太多的误报与漏报只会增加安全分析人员的工作量，任何安全人员看到每天甚至每时每刻的成千成万或者若干条的告警都会感到手足无措的。于是我觉得waf才是web安全的未来。

------------------------------------------------------------------------
新兴web安全公司-铱迅信息:

铱迅信息是一家专业做web安全的新兴公司，总经理是来自华为，研发总监来自摩托罗拉，此人在美国做了多年协议，对底层驱动研究异常透彻，web攻击检测引擎研发由10多名拥有10多年web安全研究的国内顶尖人员构成。人员配置都非常年轻，是一个很有青春活力的团队。

既然是web安全公司，当然

more...

有关blog与t00ls的各种被黑

oldjun — Fri, 21 Jan 2011 00:15:41 +0800

必须承认，在过去的一个月时间里，发生了太多的针对本blog或者t00ls的一些事件。其实本不想说什么，拖着这么久还是忍不住来写篇博文。虽然我在这篇博文里：http://www.oldjun.com/blog/index.php/archives/69/已经态度很明显了。

对于被黑的方法，我在t00ls里提过，这里重复下吧。无论是t00ls还是我blog，被黑（或者不算黑，但满足了黑的心理）的可能性有以下几种：
0.IIS远程溢出或者3389远程溢出（我相信拥有这0day的大牛肯定不屑我这个小服务器与小网站）；
1.dz 0day或者blog源码 0day（确实存在可能，XSS也算上，但能拥有的人应该不多）；
2.同服务器的旁注（可能性同上）；
3.ARP（最广大黑客最忠诚最喜欢的办法了，事实上当年服务器确实每天每时每刻都在被ARP着）；
4.域名劫持（虽说是下下策，但最后少部分人确实利用这个办法成功奏凯了）；
5.DDOS与CC（每个月的某些天总有那么个时候会把服务器搞瘫，不过现在此问题基本解决了）。

这一个月不到的时候里，服务器或者域

more...

IIS写权限利用续以及写权限漏洞来由解释

oldjun — Thu, 16 Dec 2010 22:54:05 +0800

三年半前写了一篇文章：《再试IIS写权限以及move为asp的问题》，当时还留下一点问题，此文就是用来解决当年遗留的问题的。

很多人也许觉得IIS PUT这玩意不值一提啊...其实不然，身在乙方，给客户做安服的时候总是遇到IIS写权限的问题，一方面WVS7.0已经可以扫描并且使用POC成功写入漏洞目标，另一方面无聊的土耳其或者印度尼西亚黑客总是喜欢利用写权限上传txt或者html到漏洞目标，以示对方的hack技术的强大。

目前大家所见到的IIS写权限利用，其实说白了是菜鸟管理员对IIS的错误配置问题（2个错误配置造成）：
1.WEB服务器扩展里设置WebDAV为允许；
2.网站权限配置里开启了写入权限。

至于WebDAV，看看百度百科的介绍：

WebDAV （Web-based Distributed Authoring and Versioning）一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以
more...

Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞

oldjun — Tue, 02 Nov 2010 05:28:11 +0800

对于dz，我们比较关心的是拿shell，但dz的东西想拿shell太难太难了，上一篇文章的末尾铺垫了下，所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了，但是7.2及以下含有uc接口的版本的均没有补。

这个漏洞其实也是老漏洞，去年大家就已经知道了，是二次写配置文件的漏洞，就是年初创始人通过后台ucenter拿shell漏洞的另外的利用办法。很多人知道了，uc.php里的代码跟那个setting.inc.php相仿，但是dz官方在修复后台的时候没有同时对此进行修复，于是使这个漏洞一直存在至今。

当然，漏洞是依旧是鸡肋的，想要利用这个漏洞，必须满足两点条件：

1.必须知道UC_KEY，通常在配置文件里，或者ucenter的原始（没有经过修改的）数据库（应用）中；

2.配置文件config.inc.php必须可写。

好了，看看代码吧：


...
function updateapps($get, $post) {
        global $_DCACHE;
        if(!API_UPDmore...

Discuz! 7.1 & 7.2 后台远程代码执行漏洞

oldjun — Tue, 19 Oct 2010 20:05:43 +0800

年初跟那个前台代码执行一起看到的，这个清晰明朗的代码执行，看到的人估计也不少，好在坚持了这么久一直没人公布，这大半年还用了很多次，可是...可是，最终还是有人忍不住要公布，要知道公布一个就少一个，以后的以后，你们靠什么去拿站呢？

这个后台执行也算对当时那个前台执行遗失的慰藉吧...好歹也存世大半年，怎么讲都还是有点欣慰的...不知道有入侵t00ls服务器的没，是不是很遗憾，t00ls后台年初已经补上这个漏洞了？

其实是老问题了，我也不做过多解释，各位看官有事没事接着挖x1的吧，一旦6.0、7.0、7.1、7.2都挖光了，遇到dz还是绕道吧...

好了，看代码，include/global.func.php：


function sendpm($toid, $subject, $message, $fromid = '') {
    if($fromid === '') {
        require_once DISCUZ_ROOT.'./uc_client/client.php';
        $fromid = $discuz_uid;
    }
    if($fromid) {
        uc_pm_send($fromid, $toid, $subject, $message);
    } else {
        global $promptkeys;
        imore...

庆祝东南网安五岁，纪念原就业办站点的逝去

oldjun — Sun, 17 Oct 2010 09:03:03 +0800

东南大学网络安全联盟是由当年活跃于东南之音（当年东南大学浦口校区数一数二的大论坛）上网络安全版块的数位网友创办的校级社团，成立于2005年9月...转眼5年过去了，东南网安发展的很不错，无论是技术含量与新老力量。

5年时光飞逝，时至今日，我对当年用动易搭建的现在想起来很傻的只有校内能访问网安站点依旧印象很深，我会在上机课展示给同学看（黑了什么站啥啥的...）；然后网安依附学生会网站搞个子目录搭建了asp站点，成为官方网站；再后来申请seuhacker域名使用dz论坛作为官方网站；直到去年，由于学校对外网络访问的不通畅，放弃独立域名，使用sbbs的论坛版块：http://bbs.seu.edu.cn/bbsdoc.php?board=SUS

网安的核心成员目前均在各大IT企业的安全部门或者安全公司就职，我觉得这是校内绝大多数社团都无法比拟的，这是纯技术性的社团，在这里学习与成长，总比在大学悠悠荡荡混四年的好:)

从06年起，东大就业办的服务器一直是网安的同学管理着的，于是谈到东南大学就业办的网站，离开东大三年多了，意味着我写的那个就业办网站也服役三年有余了。终于...换了，从去年说要换到现在，又是一年过去了，金智也真的不容易，这个项目做了这么久...

遥想当年...就业办的站太破了，一开始很低级的后台登录or注入，从前台到后台，各

more...

Phpcms2008本地文件包含漏洞及利用：任意SQL语句执行

oldjun — Tue, 07 Sep 2010 20:49:32 +0800

最近一直做马后炮了，于是被人鄙视；但没办法，做出头鸟也被人嘲笑！反正这些玩意丢我这里也没啥用，只会烂在硬盘里！于是，只要有点风吹草动，我就公布吧。乌云的文章在此：http://www.wooyun.org/bug.php?action=view&id=497，文章暂时还没有公布详情...于是...我说一下。

Phpcms2008之前已经暴过很多问题了，但这个本地包含一直无人提起，小明曾经在t00ls里核心版块说过，但其实这个本地包含即使不通过旁注也是有办法利用的，那就是增加管理员或者修改管理员密码！

好了，先说本地包含，有几处，我不知道乌云上说的是哪一处，于是我就当其说的是最明显的那处吧。很明显的漏洞，不知道为啥还在phpcms中出现，先看代码：

文件在wap/index.php


include '../include/common.inc.php';
include './include/global.func.php';
$lang = include './include/lang.inc.php';
if(preg_match(/(mozilla<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/73/" title="Permalink to Phpcms2008本地文件包含漏洞及利用：任意SQL语句执行">more...a>p>

Phpwind 注入以及利用之二：文件上传拿shell

oldjun — Mon, 06 Sep 2010 05:33:19 +0800

已经上报厂商了修复了，月底再发吧！
另外非常迫切的期盼1楼的首发...
------------------------------------------------------------------
10月1日：因为月底出差昨天刚回，一直没时间写，今天国庆补上，另外再次鄙视下本文评论里的1楼...

上传漏洞现在很难会出现的，更别说强大的pw了，所以很多朋友是不是认为我这个标题唬人了？不过还确实是上传漏洞，不过呢，这个漏洞的利用需要两个条件，所以说其实很鸡肋，但之前还是蛮好用的，只要满足条件，屡试不爽的。好了，先说条件：
1.必须存在注入，可以注入出$db_siteid，因为前面那里发布的注入（以及其他某些地方的注入），可以轻松得到；
2.必须是IIS6，这个是致命的鸡肋点，漏洞利用的是IIS6的文件解析漏洞（其实不用想也知道，无论dz、pw或者其他cms不会有允许上传php之类后缀文件的）。

由于官方已经在我上报不久一起补丁了，所以我相信应该有人已经通过分析补丁知道漏洞在哪儿了，好了，先看代码（文件是job.php，也很可能在其他可上传的文件中）：


...

} elseif ($action == 'uploadicon'more...