黑客&安全 - oldjun’s blog

PHPCMS2008 sp3、sp4 SQL注入漏洞 & exp

oldjun — Mon, 26 Jul 2010 17:29:34 +0000

很简单的小漏洞，很早就发现了，5月初丢t00ls核心了，又两个多月过去了，咋就没人公布呢。。。算了，最近没啥文章，把这个发上来凑凑数。

看代码的时候是sp3、sp4都存在问题，不过刚刚下了一份最新的sp4版本，已经修复此问题了！

又是未初始化，又是全局...国内的程序很多就是模拟全局，于是带来问题...想当初那个dz不也是么...还有很多php程序这样...对于程序员来说也许方便，但安全...漏洞文件是：fckeditor/data.php ，由于$where_time没初始化，所以可以直接union select 读想要读取的数据~先看看问题代码：

...
switch($action)
{
case '':
if($data == '') exit;
if(CHARSET != 'utf-8') $data = iconv('utf-8', CHARSET, $data);
$db->query("INSERT INTO ".DB_PRE."editor_data SET userid='$_userid', editorid='$editorid', ip='".IP."', created_time='".TIME.
more...

Dedecms v5.6的鸡肋本地包含漏洞

oldjun — Mon, 21 Jun 2010 03:05:59 +0000

还是前段时间看dede代码的时候看到的，虽然很鸡肋，但也有点用，于是拖着没发；很无语的发现在t00ls被公布了，于是我稍微说一下之类本地包含漏洞的利用方法。

一、漏洞介绍
Dedecms V5.6 Final版本中的plus/carbuyaction.php文件中当dopost为return时，$code变量没有初始化，直接被带入了require once 语句中，由于后面限制了.php，从而只能导致本地包含漏洞。

二、漏洞细节
1、 plus/carbuyaction.php文件：

//漏洞出现下$dopost 为return的时候，$code变量没有被赋值，由于dedecms的全局机制可以任意给其赋值，从而带入包含，导致本地包含漏洞。


…
elseif($dopost == 'return'){
//$code直接引入，from www.oldjun.com
require_once DEDEINC.'/payment/'.$code.'.php';
$pay = new $code;
$msg=$pay->respond();
ShowMsg($msg,"javascript:;",0,3000);
exit();
}
…

2、 include/common.inc.php：more...

Dedecms v5.6的鸡肋注入的可行性分析

oldjun — Wed, 09 Jun 2010 16:00:30 +0000

----------------------------------------------------------------------------

# oldjun注：帮朋友打下广告，希望大家不要介意。。。

庞大的脚本安全字典，《黑客脚本全本》隆重上市（Tommie等编著），本人感觉，这本书非常非常适合初学者入门，如果有新手有志学习脚本，成为脚本黑客，建议买本学习学习！

官方链接：：http://bbs.nohack.cn/thread-114886-1-1.html

淘宝预定地址：点击这里

黑客手册在线商城购买地址：more...

贺friddy新婚，发布ECSHOP 2.7.X 后台鸡肋本地包含漏洞

oldjun — Sun, 16 May 2010 14:22:05 +0000

今天5.16日，大好日子，Friddy牛新婚大喜，发个鸡肋0day庆祝下。晚上Sec@NJ的兄弟们再聚首参加friddy同学的婚礼，flashsky与alert7等前辈悉数到场，比较开心，喝了不少酒，希望大家以后多多聚会、交流:-(

好了，这个小漏洞很鸡肋，去年除夕回家的火车上随便看代码看到的，因为是后台本地包含，一般用处不大，因为后台已经能够拿shell了，但对于极少数全站封死写权限的站点，还是小有点用处的~

很简单的本地包含，稍微看下源码：


...

elseif ($_REQUEST['act'] == 'second')
{
    admin_priv('shop_config');

    $shop_name = empty($_POST['shop_name']) ? '' : $_POST['shop_name'] ;
    $shop_title = empty($_POST['shop_title']) ? '' : $_POST['shop_title'] ;
    $shop_country = empty($_POST['shop_country']) ? '' : intval($_POST['shop_country']);
    $shop_province = empty($_POST['smore...

SQL注入中获取数据的一些技巧

oldjun — Wed, 28 Apr 2010 06:36:19 +0000

最近接触了好多欧美日韩台数据库的数据搬运工，很多目标站想拿下来很难很难，不过大家看中的只是数据而非webshell，webshell只是为了搬运数据方便一点。于是试问下，只存在注入时，您还在一条条搬么？

一、MSSQL获取数据：

用的比较多的就是for xml raw了，MSSQL2000都支持的！

注入中显示数据的两个办法均可以使用，一是union select、二是显错，以MSSQL2005为例：

select username from members where 1=2 union select top 3 username from members for xml raw
返回（如果username重复，自动去除重复值）：

select username from members where 1=(select top 3 username from members for xml raw)
返回：

Msg 245, Level 16, State 1, Line 1
Conversion failed wmore...



Mysql 另类盲注中的一些技巧
oldjun — Mon, 19 Apr 2010 10:28:34 +0000
----------------------------------------------------------------------------
# oldjun注：帮朋友打下广告，新书上市。
官方连接：http://hi.baidu.com/%D3%C7%D3%F4%B5%C4%BA%DA%D3%A5/blog/item/c46335d2f291df0c3bf3cf07.html
书名：《黑客攻击实战入门》 作者：BlAck.Eagle &&冰Sugar
----------------------------------------------------------------------------
很多技巧从国外的paper学到的，不过国内没有多少人使用，所以发出来，笔记下~
一、order by 的参数注入技巧：
两种方法，思路都一样。
example. “select username,pas
more...


360安全卫士本地提权漏洞的webshell利用程序
oldjun — Tue, 02 Feb 2010 13:54:19 +0000
不知道该说什么好了，以前拿了很多shell，一直懒得提权，一是没那个必要，二是提权太累了，三是服务器类型的肉鸡多了也没啥用。不过要是能让我一下子就成功提权，何乐而不为呢？
于是360本地提权来了，最近已经沸沸扬扬的了，不多发表过多评论，只是觉得做公司更要厚道；本人菜另外还有很多兄弟在360，不说什么了，发了本地提权的利用程序吧。friddy那里已经有一份了，是用来替换5下shift为cmd.exe的：360本地提权webshell下测试程序。
瑞星说是“bregdrv.sys和bregdll.dll”出的问题，然后http://www.sebug.net/exploit/19048/这个poc也是直接load这个dll的，于是这个利用程序也是基于这个的。webshell下使用，guest权限即可，需要Wscript.shell支持，功能主要是：
1.开启终端服务，端口为3389；用法：360.exe port
2.替换5下shift为cmd；用法：360.exe
more...


Discuz!7.0-7.2 & Phpwind7.5 后台鸡肋漏洞
oldjun — Fri, 15 Jan 2010 13:51:34 +0000
很多人有了，流传出来了，然后发出来。现在的漏洞，如果主动公布的，肯定是“无鸡肋不公布”，否则肯定是藏着，除非别人公布了。DZ的鸡肋在于需要创建者的权限（创建者的密码一般比较难搞），pw的鸡肋在于需要截断（或者linux旁注写一个shell到tmp下）。
一、discuz后台settings.inc.php中写shell漏洞：
漏洞详情：

if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {
        $ucdbpassnew = $settingsnew['uc']['dbpass'] == '********' ? UC_DBPW : $settingsnew['uc']['dbpass'];
        if($settingsnew['uc']['connect']) {
            $uc_dblink = @mysql_connect($settingsnew['uc']['dbhost'], $settingsnew['uc']['dbuser'], $ucdbpassnew, 1);
            if(!$uc_dblink)more...



Discuz! 7.1 & 7.2 远程代码执行漏洞
oldjun — Tue, 05 Jan 2010 13:48:37 +0000
首先说一下，漏洞是t00ls核心群传出去的，xhming先去读的，然后我后来读的，读出来的都是代码执行，1月5日夜里11点多钟，在核心群的黑客们的要求下，xhming给了个poc，我给了个exp，确实发现的是同一个问题。截止夜里2点多种我下线，还只有t00ls核心群里几个人知道我给出的exp，可我怎么也想不到，经过半天时间，exp就满天飞了，而且确实出自昨天我的那个版本。
不难想象，exp流传的速度，A与B关系好，A发给B；B与C是好朋友，B发给C...总有人耐不住性子，泄露点风声，于是就人手一份。最受不了的是，竟然有些SB在群里拿来叫卖；实在不想说什么，要叫卖什么时候轮到你？人心不古，以后有的话还是自己藏着吧。
上午漏洞告诉了Saiy，DZ官方的补丁很快就出来了吧。
特别说明：产生漏洞的$scriptlang数组在安装插件后已经初始化，因此有安装插件的用户不受影响。
漏洞介绍：
Discuz！新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。
漏洞分析：
下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直
more...


UCenter_Home横跨三个版本的鸡肋注入漏洞
oldjun — Sat, 02 Jan 2010 13:46:04 +0000
这个注入从1.2版本就存在，08年末在大家广泛使用1.5版本的时候要搞个uchome的站，于是看了下源码找到这个点，写了个没用的exp藏一年多了一直丢硬盘没发，前几天看了下2.0版本看到依旧存在，还跟flyh4t说要不要公布呢。既然xhming公布了，我也说下吧。估计很多大牛也做为后备0day雪藏很久了吧。
首先说鸡肋，两个原因导致：
1是漏洞的存在必须开启全局变量，即register_globals为on；
2是基于ucenter本身产品的安全性，即使注入得到密码，又有几个能破的了的。
然后说漏洞，其实很容易就可以看到：

if($space['friendnum']) { //必须有好友，才能触发
        $groups = getfriendgroup();

        $theurl = 'cp.php?ac=friend&op=group';
        $group = !isset($_GET['group'])?'-1':intval($_GET['group']);
        if($group > -1) {//条件可以控制且无需控制
            $wheresql = "AND main.gid='$group'";//$wheresql 没有初始化
    more...