cmseasy最新注入+360webscan的绕过分析

作者: 分类: 网络安全 时间: 2015-4-18 15:17 评论: 7条评论 浏览: 3761人看过 标签: 注入漏洞 WAF绕过 360webscan

    最近一直没什么好文章,只有闲下来挖了几个洞。一般挖洞的时候就没法发文章,因为自己提交上去的洞在公开前是不能泄露的。不过这个洞与乌云某大牛的洞重复了,于是我就发出来一起学习一下。不过这个洞应该有些年头了。

    先下载最新版:http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.5_UTF-8_20150318.zip。经过神器比对,发现最新版进行了一些功能上的修改,可就是这处修改造成注入。

    /lib/default/archive_act.php 283行

if (front::post('catid')) {

           $cateobj = category::getInstance();
           $sons = $cateobj->sons(front::post('catid'));
           if(is_array($sons) && !empty($sons)){
               $cids = front::post('catid').','.implode(',',$sons);
           }else{
               $cids = front::post('catid');
           }
           $condition .= "catid in (".$cids.") AND ";
           //var_dump($condition);exit;
       }
    $condition .= "catid in (".$cids.") AND ";直接将$cids放入SQL语句,而$cids = front::post('catid');。 由于没有引号包裹,所以造成注入。

    绕过360webscan的方法,还是借助白名单,但方式有点区别……

阅读全文>>

Firefox 31~34远程命令执行漏洞的分析

作者: 分类: 网络安全 时间: 2015-3-27 21:39 评论: 5条评论 浏览: 3441人看过 标签: 浏览器 命令执行漏洞

    这是我根据Tod Beardsley在metsaploit上发表的一篇文章,翻译+测试完成的分析,因为最近在研究浏览器漏洞,所以会更加关注浏览器这块。

    前段时间,二哥在很多浏览器中将脚本层面的漏洞提升为远程命令执行,几乎日遍市面上所有国产浏览器,这成为了许多人津津乐道的话题。确实,在当今这个底层安全防护越来越强的环境下,堆栈溢出、UAF造成的漏洞利用起来变得很困难,但如果借助浏览器提供的一些脚本层接口做到RCE,将是一个四两拨千金的过程。

    CVE-2014-8638就是这样一个漏洞,而且影响到的不是国(shan)产(zhai)浏览器,而是大名鼎鼎的Firefox。它也是javascript逐步进入ECMAScript 6时代后遇到的一个比较有意思的漏洞。

    0x01 漏洞的发现


阅读全文>>

对JiaThis Flash XSS的挖掘与分析

作者: 分类: 网络安全 时间: 2015-3-25 20:06 评论: 3条评论 浏览: 4446人看过 标签: flashxss

    看到360官微在微博上说了,http://www.jiathis.com/code/swf/m.swf存在XSS漏洞,可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索,我们来开始顺藤摸瓜,对这个XSS的原理与利用方法进行一次分析。

    这次的分析我想以一个发现者的分析顺序去分析,所以假设我这个时候并不知道JiaThis存在Flash XSS。来到JiaThis的官网,就能很快找到他们提供的代码:

<!-- JiaThis Button BEGIN -->
<div class="jiathis_style">
	<a class="jiathis_button_qzone"></a>
	<a class="jiathis_button_tsina"></a>
	<a class="jiathis_button_tqq"></a>
	<a class="jiathis_button_weixin"...


阅读全文>>

利用redis写webshell

作者: 分类: 网络安全 时间: 2015-3-13 1:16 评论: 6条评论 浏览: 6237人看过 标签: getshell redis

    我发在安全脉搏的一篇文章,废话有点多见谅:http://www.secpulse.com/archives/5357.html

    最近自己在做一些个人的小创作、小项目,其中用到了mongodb和redis,最初可能对这二者没有深入的认识。都是所谓的“非关系型数据库”,有什么区别么?实际上,在我看来,redis的角色更接近于memcache,而mongodb是一个真正的数据库。redis是一个key-value型数据库,信息以键对应值的关系存储在内存中,比memcache较大的优势就在于其数据结构的多样性。

    说它不算一个真正意义上的数据库,因为redis是主要把数据存储在内存中(当然可以把其存储至硬盘上,这也是写shell的必要条件之一),其“缓存”的性质远大于其“数据存储”的性质,其中数据的增删改查也只是像变量操作一样简单。而mongodb却是一个“存储数据”的系统,增删改查数据的时候有“与或非”条件,查询数据的方式也能像SQL数据库一样灵活,这是redis所不具备的。

    所以在我的项目中,redis作为session、任务队列的存储器,而mongodb作为数据(包括用户信息等)的存储器。

   ...

阅读全文>>

新浪微博IPAD客户端XSS(file域) + 构造Worm

作者: 分类: 网络安全 时间: 2015-3-12 23:02 评论: 3条评论 浏览: 4379人看过 标签: xss蠕虫 客户端XSS

    前两天和izy一起研究了一个他发现的新浪微博XSS,触发位置在微博ipad版中。

    Izy发现,当我们通过第三方APP“快手”,将信息分享到微博时,信息内容就会造成一个XSS。当用户在ipad版微博客户端上查看这条微博的时候,即触发。我们这次的目的就是让这个存储型XSS变成蠕虫。

    首先我下载了快手GIF安卓版(ipad/ios应该也可以),拍一段GIF,分享到微博,分享位置填入我的XSS POC:

    image001.png

    我的POC只是一个弹窗的alert,在ipad上打开微博APP,点击查看我刚发的分享,即可触发……

阅读全文>>

新型任意文件读取漏洞的研究

作者: 分类: 网络安全 时间: 2015-2-28 23:55 评论: 5条评论 浏览: 3841人看过 标签: 任意文件读取漏洞

    这是我发在乌云drops的一篇文章:http://drops.wooyun.org/papers/5040

    早前发现lijiejie在乌云上发了很多个任意文件读取的漏洞,都是形如http://target/../../../../etc/passwd这样。当时感觉很新奇,因为正常情况下,通常的服务器中间件是不允许直接读取web目录以外的文件的,为什么这样的漏洞却出现在了很多案例中。

    后来在lijiejie的文章:http://www.lijiejie.com/python-django-directory-traversal/ ,原来是python这种新型web开发方式造成的问题。然后翻了下我自己以前用web.py、tornado开发的一些应用,果然也存在这样的问题。

    这个问题一方面就像lijiejie说的那样,是django框架自身的一些问题。不过据我的一些开发经验来说,还有一部分是开发者自身的疏忽造成的问题。

    这不得不提到现今开发框架与以前的一些区别。不管是python还是node、ruby的框架,都是一个可以自定义URL分配的框架,不再是像php或a...

阅读全文>>

Chrome XSS Auditor Bypass Using SVG

作者: 分类: 网络安全 时间: 2015-2-11 21:58 评论: 0条评论 浏览: 5436人看过 标签: 浏览器 fliter audit

    除了之前MK发布的一个bypass方法外(https://twitter.com/avlidienbrunn/status/486059626002395136),大牛们也陆续想出来一些针对性的绕过方法。我说的这个出自:http://www.thespanner.co.uk/2015/02/10/xss-auditor-bypass/

    应用场景出现在,输出点在<script>中的引号中,不能闭合引号(如使用了addslashes转义),但可以用</script>闭合整个script标签。

    我写了一个应用场景:http://mhz.pw/game/audit/xss.php?name=test ,源码如下:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta charset="utf-8"/>
<tit...


阅读全文>>

RoundCube Webmail邮件正文存储型XSS(CVE-2015-1433)

作者: 分类: 网络安全 时间: 2015-2-5 15:32 评论: 0条评论 浏览: 2820人看过 标签: 富文本 xss

    这是前段时间发现的一个漏洞,可能又让一些人深恶痛绝了,见谅。自从当年自己那个gnuboard getshell被晾了半年捂烂了以后,感觉国外的洞还是提交了吧,捂在手里也没用,还能维护世界和平。

    中间有个搞笑的事,之前想去申请个CVE证书,结果用我国内的企业邮箱给他们企业邮箱发邮件,虽然显示发成功了,但一直没得到回应。后来想想,gmail被封了大概就是这个状况,估计邮件这辈子也到不了那里了,嘿。

    roundcube webmail官网:http://roundcube.net/,下载最新版本。

    /program/lib/Roundcube/rcube_washtml.php ,这文件实际上是一个富文本过滤类class rcube_washtml。roundcube就是利用这个类对富文本进行过滤。

    先大概看一下,我知道了这个类的特点:
1.用DOM对换入的HTML做解析,取出所有...

阅读全文>>

[转载]Mysql下Limit注入方法

作者: 分类: 网络安全 时间: 2015-1-24 14:29 评论: 6条评论 浏览: 5279人看过 标签: 注入漏洞 Mysql limit注入

    很长一段时间我、以及很多同学认为“mysql limit后的注入点”是没办法解决的难题,但这次真的被解决了。我很少转载文章,这次再破个例。

    原文: https://rateip.com/blog/sql-injections-in-mysql-limit-clause/http://zone.wooyun.org/content/18220

   此方法适用于MySQL 5.x中,在limit语句后面的注入 

    例如: 

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point
   上面的语句包含了ORDER BY,MySQL当中UNION语句不能在ORDER BY的后面,否则利用UNION很容易就可以读取数据了,看看在MySQL 5中的SELECT语法: 
SEL...


阅读全文>>

QQ某业务主站DOM XSS挖掘与分析(绕过WAF)

作者: 分类: 网络安全 时间: 2014-12-27 23:43 评论: 4条评论 浏览: 3208人看过 标签: xss DOMXSS

    腾讯已经修复了,所以我发出来,贵在挖掘与分析过程。

    可盗取skey与uin,全浏览器通用不会被拦截。

    挖掘flashxss的时候偶然发现的,反编译的时候发现这样的URL:

QQ秀DOM XSS挖掘与分析97.png

    show.qq.com,属于QQ秀主站业务。

    来到show.html,看到如下代码:

var aNUrl= { "M":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html", "T":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/header.html", "L":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/sidebar.html" };
var sUrl = QSFL.excore.getURLParam...

阅读全文>>

Top ↑ sitemap More