phpwind 利用哈希长度扩展攻击进行getshell

作者: 分类: 网络安全 时间: 2016-5-24 8:33 评论: 18条评论 浏览: 7679人看过 标签: getshell phpwind 哈希长度扩展攻击

一哥新发的漏洞,还是蛮屌的: http://www.wooyun.org/bugs/wooyun-2016-0210850。分析补丁( http://www.phpwind.net/read/3709549 )加上一些风闻,我得知利用的是哈希长度扩展攻击。之前CTF中经常出境的MD5 Length Extension Attack,终于在实战中露了一次面。

今晚基本没睡觉,一直在调试这个漏洞,虽说不知道一哥后续getshell用的是什么方法,但我这个文章基本把该漏洞的原理讲清楚了。至于getshell的话,等漏洞公开了再看看吧。

0x01 漏洞点分析

phpwind逻辑太冗杂了,一看就是java程序员开发的。

补丁文件修补了src/windid/service/base/WindidUtility.php的appKey函数。之前的appKey函数如下...

阅读全文>>

那些年我拿下的demo站之方维O2O

作者: 分类: 网络安全 时间: 2015-8-9 20:00 评论: 6条评论 浏览: 4289人看过 标签: 解析漏洞 上传漏洞 getshell

    早前一个被我捂烂的漏洞,其实不是要捂的,当注入交到乌云,审核比较忙测试的时候没复现,就给打回来了。我一直想写个详细的再交,结果没时间就没写,这两天上去一看鸡毛都没了,全补完了,shell也掉光了,后台也进不去……

    想想算了不挖了。还好我有记笔记的习惯,拿出来分享一下。

    以下是笔记。

    今天挖了一阵子方维O2O的本地生活系统。这个系统是不开源的,偶然拿到了一个版本的源码,于是有了这次挖洞之旅。

    首先翻到了一个注入,拿下了管理员密码。实际上,demo站已经给了一个低权限的管理员账号demo/demo。

    登录后台:

    image001.png

    

    0x01 鸡肋文件包含漏洞

 ...

阅读全文>>

利用redis写webshell

作者: 分类: 网络安全 时间: 2015-3-13 1:16 评论: 6条评论 浏览: 6237人看过 标签: getshell redis

    我发在安全脉搏的一篇文章,废话有点多见谅:http://www.secpulse.com/archives/5357.html

    最近自己在做一些个人的小创作、小项目,其中用到了mongodb和redis,最初可能对这二者没有深入的认识。都是所谓的“非关系型数据库”,有什么区别么?实际上,在我看来,redis的角色更接近于memcache,而mongodb是一个真正的数据库。redis是一个key-value型数据库,信息以键对应值的关系存储在内存中,比memcache较大的优势就在于其数据结构的多样性。

    说它不算一个真正意义上的数据库,因为redis是主要把数据存储在内存中(当然可以把其存储至硬盘上,这也是写shell的必要条件之一),其“缓存”的性质远大于其“数据存储”的性质,其中数据的增删改查也只是像变量操作一样简单。而mongodb却是一个“存储数据”的系统,增删改查数据的时候有“与或非”条件,查询数据的方式也能像SQL数据库一样灵活,这是redis所不具备的。

    所以在我的项目中,redis作为session、任务队列的存储器,而mongodb作为数据(包括用户信息等)的存储器。

   ...

阅读全文>>

emlog某重要插件前台SQL注入+Getshell

作者: 分类: 网络安全 时间: 2014-11-12 16:37 评论: 7条评论 浏览: 6396人看过 标签: 上传漏洞 getshell emlog插件

    真是醉了,前两天在鼓捣其他事情需要图片外链,我就直接用了自己博客用了很久的“EM相册”插件。我顺势看了看代码,还真被我看出事了……

    EM相册是emlog最早的插件之一(插件页面:http://www.emlog.net/plugin/6 。id为6,可想而知),作者是现在身为emlog社区超版的KLLER,下载量也是很大的:

    01.jpg

    下载以后解压,看到kl_album_ajax_do.php:

<?php
/**
 * kl_album_ajax_do.php
 * design by KLLER
 */
require_once('../../../init.php');
$DB = MySql::getInstance();
$kl_album_config = unserialize(Option::get('kl_album_config'));
if(isset($_POST['album'...


阅读全文>>

一次与fineCMS的偶遇 - fineCMS getshell漏洞

作者: 分类: 网络安全 时间: 2014-1-4 0:17 评论: 1条评论 浏览: 4807人看过 标签: 上传漏洞 getshell fineCMS
这个不是0day,我手里也没0day,算是一个漏洞的二次审计,一篇随便写写的记录文,还请各位大牛多多交流。

0x01 偶遇
有一个目标站,扫了一下旁站,用工具没有拿到几个cms的指纹。很奇怪,随手点一个,发现下面有powered by fineCMS。我记得以前也见过这个cms,是用CI框架二次编写的cms,网上搜索搜索“finecms漏洞”,找到的都是1.7.2版本以前的(seay博客里有1.7.2注射: http://www.cnseay.com/tag/finecms%E6%BC%8F%E6%B4%9E/)。但是这个网站是v2.0.12.版本比较新。
01.jpg
倔强的我会选择换一个旁站呢,还是继续深入?

0x02 继续深入
我们来到finecms的官网:http://www.dayrui.com/
发现论坛里有这么一个公告,一个补丁。发表日期是12.8,再结合这个“头像上传”,我似乎想到了什么。
02.jpg
于是我把补丁下下来,并在网上找了一个没打补丁的v2.1.0源码。
补丁包里就两个文件,function_helper.php和Account.php。我们来把这两个文件和补丁之前的文件进行比较看看。
多了...

阅读全文>>

struts2 S2-016/S2-017 Python GetShell

作者: 分类: 网络安全 时间: 2013-7-18 2:39 评论: 1条评论 浏览: 8927人看过 标签: python struts getshell

    之前在看PHP,要给协会写一个CTF,偶然看到乌云上发的最新struts2漏洞以及getshell,jsp我基本上也看不懂。折腾了一下,发现挺有意思,于是写一个python的脚本来自动化getshell吧~

    ……不知不觉已经快3点了……


#coding : utf-8
__author__ = 'Phtih0n'
im...


阅读全文>>

Top ↑ sitemap More