<![CDATA[黑客&安全 - oldjun’s blog]]> http://www.oldjun.com/blog Looking for change zh-cn-utf8 http://blogs.law.harvard.edu/tech/rss Magike 1.2.0 Release oldjun <![CDATA[phpMyAdmin3 remote code execute php版本 exploit]]> http://www.oldjun.com/blog/index.php/archives/81/ http://www.oldjun.com/blog/index.php/archives/81/#comments http://www.oldjun.com/blog/index.php/archives/81/ oldjun oldjun Tue, 12 Jul 2011 21:24:55 +0800 最近在家做专职奶爸,不谙圈内事很多months了,博客也无更新。

昨夜带孩子整夜未眠,看到黑哥在php security群里关于phpmyadmin3漏洞的讨论,虽然之前没看过漏洞代码,不过前段时间还是在微博上看到wofeiwo的exp了,不过据黑哥说有不鸡肋的利用方法,于是夜里翻代码出来研究了翻,写出了这个冷饭exp,由于我搞的晚了,之前已经很多人研究了写exp了,于是我这个属于炒冷饭,权当研究研究打发时间了。

首先赞下wofeiwo的python版本的exp,再赞下wofeiwo跟superhei的钻研精神,学习的榜样啊。不过之前那个exp利用起来是有一些限制的:
一是session.auto_start = 1;
二是pma3默认代码里libraries目录已经用.htaccess控制了不允许访问。
当然还有第三点大家都不可以逾越的鸿沟:config目录存在且可写。

在群里看了黑哥的发言后,再看了下代码,发现前两点利用限制均可以无视。所以其实这个漏洞还真的可以不是那么鸡肋。

于是写了这个php版本的exp,代码如下:

#!/usr/bin/php
<?php
print_r(
+------------------------------------------------<class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/81/" title="Permalink to phpMyAdmin3 remote code execute php版本 exploit">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/81/ <![CDATA[open_basedir后可能存在的安全隐患]]> http://www.oldjun.com/blog/index.php/archives/80/ http://www.oldjun.com/blog/index.php/archives/80/#comments http://www.oldjun.com/blog/index.php/archives/80/ oldjun oldjun Wed, 23 Mar 2011 22:57:06 +0800 目前php站点的安全配置基本是open_basedir+safemode,确实很无敌、很安全,即使在权限没有很好设置的环境中,这样配置都是相当安全的,当然了,不考虑某些可以绕过的情况。本文讨论两点开启open_basedir后可能导致的安全隐患(现实遇到的),一个也许属于php的一个小bug,另外一个可能是由于配置不当产生的。

一、open_basedir中处理文件路径时没有严格考虑目录的存在,这将导致本地包含或者本地文件读取的绕过。

看一个本地文件任意读取的例子:

<?php
$file $_GET['file'];
preg_match("/^img/"$file) or die('error_file');
$file='/home/www/upload/'.$file;
file_exists($file) or die('no_such_file');
$f fopen("$file"'r');
$jpeg fread($ffilesize("$file"));
fclose($f);
Header("Content-type: image/jpeg");
Header("Content-disposition: inline; filename=test.jpg")<class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/80/" title="Permalink to open_basedir后可能存在的安全隐患">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/80/ <![CDATA[IIS写权限利用续以及写权限漏洞来由解释]]> http://www.oldjun.com/blog/index.php/archives/77/ http://www.oldjun.com/blog/index.php/archives/77/#comments http://www.oldjun.com/blog/index.php/archives/77/ oldjun oldjun Thu, 16 Dec 2010 22:54:05 +0800 三年半前写了一篇文章:《再试IIS写权限以及move为asp的问题》,当时还留下一点问题,此文就是用来解决当年遗留的问题的。

很多人也许觉得IIS PUT这玩意不值一提啊...其实不然,身在乙方,给客户做安服的时候总是遇到IIS写权限的问题,一方面WVS7.0已经可以扫描并且使用POC成功写入漏洞目标,另一方面无聊的土耳其或者印度尼西亚黑客总是喜欢利用写权限上传txt或者html到漏洞目标,以示对方的hack技术的强大。

目前大家所见到的IIS写权限利用,其实说白了是菜鸟管理员对IIS的错误配置问题(2个错误配置造成):
1.WEB服务器扩展里设置WebDAV为允许;
2.网站权限配置里开启了写入权限。

至于WebDAV,看看百度百科的介绍:

WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以

more...

]]> http://www.oldjun.com/blog/index.php/rss/archives/77/ <![CDATA[Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞]]> http://www.oldjun.com/blog/index.php/archives/76/ http://www.oldjun.com/blog/index.php/archives/76/#comments http://www.oldjun.com/blog/index.php/archives/76/ oldjun oldjun Tue, 02 Nov 2010 05:28:11 +0800 对于dz,我们比较关心的是拿shell,但dz的东西想拿shell太难太难了,上一篇文章的末尾铺垫了下,所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。

这个漏洞其实也是老漏洞,去年大家就已经知道了,是二次写配置文件的漏洞,就是年初创始人通过后台ucenter拿shell漏洞的另外的利用办法。 很多人知道了,uc.php里的代码跟那个setting.inc.php相仿,但是dz官方在修复后台的时候没有同时对此进行修复,于是使这个漏洞一直存在至今。

当然,漏洞是依旧是鸡肋的,想要利用这个漏洞,必须满足两点条件:

1.必须知道UC_KEY,通常在配置文件里,或者ucenter的原始(没有经过修改的)数据库(应用)中;

2.配置文件config.inc.php必须可写。

好了,看看代码吧:

...
function updateapps($get, $post) {
        global $_DCACHE;
        if(!API_UPD<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/76/" title="Permalink to Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/76/ <![CDATA[Discuz! 7.1 & 7.2 后台远程代码执行漏洞]]> http://www.oldjun.com/blog/index.php/archives/75/ http://www.oldjun.com/blog/index.php/archives/75/#comments http://www.oldjun.com/blog/index.php/archives/75/ oldjun oldjun Tue, 19 Oct 2010 20:05:43 +0800 年初跟那个前台代码执行一起看到的,这个清晰明朗的代码执行,看到的人估计也不少,好在坚持了这么久一直没人公布,这大半年还用了很多次,可是...可是,最终还是有人忍不住要公布,要知道公布一个就少一个,以后的以后,你们靠什么去拿站呢?

这个后台执行也算对当时那个前台执行遗失的慰藉吧...好歹也存世大半年,怎么讲都还是有点欣慰的...不知道有入侵t00ls服务器的没,是不是很遗憾,t00ls后台年初已经补上这个漏洞了?

其实是老问题了,我也不做过多解释,各位看官有事没事接着挖x1的吧,一旦6.0、7.0、7.1、7.2都挖光了,遇到dz还是绕道吧...

好了,看代码,include/global.func.php:

function sendpm($toid, $subject, $message, $fromid = '') {
    if($fromid === '') {
        require_once DISCUZ_ROOT.'./uc_client/client.php';
        $fromid = $discuz_uid;
    }
    if($fromid) {
        uc_pm_send($fromid, $toid, $subject, $message);
    } else {
        global $promptkeys;
        i<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/75/" title="Permalink to Discuz! 7.1 & 7.2 后台远程代码执行漏洞">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/75/ <![CDATA[Phpcms2008本地文件包含漏洞及利用:任意SQL语句执行]]> http://www.oldjun.com/blog/index.php/archives/73/ http://www.oldjun.com/blog/index.php/archives/73/#comments http://www.oldjun.com/blog/index.php/archives/73/ oldjun oldjun Tue, 07 Sep 2010 20:49:32 +0800 最近一直做马后炮了,于是被人鄙视;但没办法,做出头鸟也被人嘲笑!反正这些玩意丢我这里也没啥用,只会烂在硬盘里!于是,只要有点风吹草动,我就公布吧。乌云的文章在此:http://www.wooyun.org/bug.php?action=view&id=497,文章暂时还没有公布详情...于是...我说一下。

Phpcms2008之前已经暴过很多问题了,但这个本地包含一直无人提起,小明曾经在t00ls里核心版块说过,但其实这个本地包含即使不通过旁注也是有办法利用的,那就是增加管理员或者修改管理员密码!

好了,先说本地包含,有几处,我不知道乌云上说的是哪一处,于是我就当其说的是最明显的那处吧。很明显的漏洞,不知道为啥还在phpcms中出现,先看代码:

文件在wap/index.php

<?php
include '../include/common.inc.php';
include './include/global.func.php';
$lang = include './include/lang.inc.php';
if(preg_match(/(mozilla<class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/73/" title="Permalink to Phpcms2008本地文件包含漏洞及利用:任意SQL语句执行">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/73/ <![CDATA[Phpwind 注入以及利用之二:文件上传拿shell]]> http://www.oldjun.com/blog/index.php/archives/72/ http://www.oldjun.com/blog/index.php/archives/72/#comments http://www.oldjun.com/blog/index.php/archives/72/ oldjun oldjun Mon, 06 Sep 2010 05:33:19 +0800

已经上报厂商了修复了,月底再发吧!

另外非常迫切的期盼1楼的首发...

------------------------------------------------------------------

10月1日:因为月底出差昨天刚回,一直没时间写,今天国庆补上,另外再次鄙视下本文评论里的1楼...

上传漏洞现在很难会出现的,更别说强大的pw了,所以很多朋友是不是认为我这个标题唬人了?不过还确实是上传漏洞,不过呢,这个漏洞的利用需要两个条件,所以说其实很鸡肋,但之前还是蛮好用的,只要满足条件,屡试不爽的。好了,先说条件:
1.必须存在注入,可以注入出$db_siteid,因为前面那里发布的注入(以及其他某些地方的注入),可以轻松得到;
2.必须是IIS6,这个是致命的鸡肋点,漏洞利用的是IIS6的文件解析漏洞(其实不用想也知道,无论dz、pw或者其他cms不会有允许上传php之类后缀文件的)。

由于官方已经在我上报不久一起补丁了,所以我相信应该有人已经通过分析补丁知道漏洞在哪儿了,好了,先看代码(文件是job.php,也很可能在其他可上传的文件中):

...

} elseif ($action == 'uploadicon'<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/72/" title="Permalink to Phpwind 注入以及利用之二:文件上传拿shell">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/72/ <![CDATA[Phpwind 注入以及利用之一:远程代码执行]]> http://www.oldjun.com/blog/index.php/archives/71/ http://www.oldjun.com/blog/index.php/archives/71/#comments http://www.oldjun.com/blog/index.php/archives/71/ oldjun oldjun Mon, 06 Sep 2010 05:32:13 +0800 都是去年的东西了,拖啊拖,拖到今天9月份了,http://www.oldjun.com/blog/index.php/archives/68/文章底下我留了个铺垫...本来准备跟黑哥来个SOPW的专辑的...不过还没等我发,80sec的同学已经发出来了...那就算了,直接把注入以及利用写点blog吧...

想说的几点:

1.pw虽然过滤的很BT,但注入不止这一个点;
2.利用注入获取系统关键的db_siteownerid后,拿shell可以获得很大的帮助,包括这个代码执行,以及下面我要公布的上传;
3.去年我看原始的pw7.5的时候,也就是saiy没发布那个包含漏洞http://www.80vul.com/pwvul/phpwind.txt的时候,都不需要db_siteownerid,也就是直接的代码执行。(于是显然...saiy牛也应该很早就发现这个漏洞了...)

好了,先说注入,很明显很白痴的一个点,其实比代码执行好看多了,

more...

]]> http://www.oldjun.com/blog/index.php/rss/archives/71/ <![CDATA[Dedecms <= V5.6 Final模板执行漏洞]]> http://www.oldjun.com/blog/index.php/archives/70/ http://www.oldjun.com/blog/index.php/archives/70/#comments http://www.oldjun.com/blog/index.php/archives/70/ oldjun oldjun Wed, 18 Aug 2010 07:45:36 +0800 一、漏洞介绍:

Dedecms V5.6 Final版本中的各个文件存在一系列问题,经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去,然后通过SQL注入修改附加表的模板路径为我们上传的模板路径,模板解析类:include/inc_archives_view.php没有对模板路径及名称做任何限制,则可以成功执行恶意代码。

二、漏洞细节:

1、member/article_edit.php文件(注入):

//漏洞在member文件夹下普遍存在,$dede_addonfields是由用户提交的,可以被伪造,伪造成功即可带入sql语句,于是我们可以给附加表的内容进行update赋值。


//分析处理附加表数据
    $inadd_f = '';
    if(!empty($dede_addonfields))//自己构造$dede_addonfields
    {
        $addonfields = explode(';',$dede_addonfields);
        if(is_array($addonfields))
        {
            print_r($addonfields);
            foreach($addonfields as $v<p class="mgmore"><a href="http://www.oldjun.com/blog/index.php/archives/70/" title="Permalink to Dedecms <= V5.6 Final模板执行漏洞">more...</a></p> ]]> http://www.oldjun.com/blog/index.php/rss/archives/70/ <![CDATA[谈谈有关南京市房管局网站被涂鸦的杯具]]> http://www.oldjun.com/blog/index.php/archives/69/ http://www.oldjun.com/blog/index.php/archives/69/#comments http://www.oldjun.com/blog/index.php/archives/69/ oldjun oldjun Wed, 04 Aug 2010 04:59:25 +0800 从来不对什么被黑事件进行评价的,今天破个例:http://dfwb.njnews.cn/html/2010-08/03/content_581396.htm

平时看到什么什么网站被黑的新闻,也见惯不惯了,从事网络安全也好久了,业内哪些是前辈,哪些是高手,哪些是牛人,基本上都了然于心的,于是剩下来的小打小闹,不想也没必要去评论。不过这次不同,第一,该站点我两年前拜访过;第二,这人还算是个老乡!

没有绝对安全的站点,无论什么网站。因为我在南京,所以对南京的站点比较关心,曾经也对南京大大小小的站点稍微检测了下,基本上无安全性可言。所谓njhouse,甚至不知道什么关系的house365,都是php+oracle,前者很容易,直接注入,然后admin进后台,然后....怎么怎么样shell到手了;后者虽然也有注入,但没这么容易,但有个问题,就是活动站点、分站点特别多,于是找出个有漏洞的非常非常的容易,然后,get一个webshell也应该是没有什么难度的。这些东西不谈了,都是陈年老事了...

我想说的第一点,现在的网站管理员每天在做什么,尤其是事业单位网站的这些管理员们。从我0

more...

]]> http://www.oldjun.com/blog/index.php/rss/archives/69/