KINGCMS V5 IIS解析漏洞

“pursue2012”通过精心收集，向本站投稿了8篇KINGCMS V5 IIS解析漏洞，下面是小编给大家带来KINGCMS V5 IIS解析漏洞，一起来阅读吧，希望对您有所帮助。

KINGCMS V5 IIS解析漏洞

篇1：解析漏洞总结

IIS 6.0解析利用方法有两种

1.目录解析

/xx.asp/xx.jpg

2.文件解析

wooyun.asp;.jpg

第一种，在网站下建立文件夹的名字为.asp、.asa 的文件夹，其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行，

例如创建目录 wooyun.asp，那么

/wooyun.asp/1.jpg

将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。

第二种，在IIS6.0下，分号后面的不被解析，也就是说

wooyun.asp;.jpg

会被服务器看成是wooyun.asp还有IIS6.0 默认的可执行文件除了asp还包含这三种

/wooyun.asa/wooyun.cer/wooyun.cdx

篇2：解析漏洞总结

Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的…

在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg，内容为

');?>

的文件，然后访问wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

篇3：解析漏洞总结

影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx在图片中嵌入PHP代码然后通过访问

xxx.jpg%00.php

来执行其中的代码

篇4：解析漏洞总结

Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.

比如 wooyun.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php.

如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个wooyun.php.rara.jpg.png…（把你知道的常见后缀都写上…）去测试是否是合法后缀

篇5：解析漏洞总结

在windows环境下，xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的，若这样命名，windows会默认除去空格或点, 可以通过抓包，在文件名后加一个空格或者点绕过黑名单.若上传成功，空格和点都会被windows自动消除,这样也可以getshell，

如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入:

SetHandler application/x-httpd-php

然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件

篇6：Qcms1.0漏洞解析

漏洞如下：

1.可以下载数据库，

2.注入：

后台的登陆文件

见Login.asp(登陆的判断处理)

代码如下：

KINGCMS V5 IIS解析漏洞 admin_name=trim(request.Form(“admin_name”))

admin_password=trim(request.Form(“admin_password”))

admin_password=md5(admin_password)

if admin_name=“” then

session(“admin_name”)=“”

else

if admin_password=“” then

session(“admin_name”)=“”

else

sql=“select * from admin where admin_name='”&admin_name&“' and admin_password='”&admin_password&“'”

很明显，传说的万能密码，重现江湖，

上传漏洞。

没做任何判断，也没有。

也没用权限判断。

代码就不给了，大家自己找。

后台一处

插件：fckeditor

也有上传漏洞，网上有，大家自己看

暴库：

代码如下：

set conn=server.createobject(“adodb.connection”)

conn.open “driver={microsoft access driver (*.mdb)};dbq=”&server.mappath(“ .mdb”)

没任何处理

这个版本和我向作者提交漏洞的版本不一样！

这个版本没用防注入。

就这几个，简单，但很致命。

后面的这几个版本，我向作者提交了不少漏洞，基本修复，所以只有挑软柿子，给大家讲讲这个版本。

篇7：DLL劫持漏洞解析漏洞预警

手中的全新武器

艾瑞初发布的中国下半年个人网络安全报告中，包含这么一个数据：20下半年十大热点木马中，其中5个是利用DLL劫持漏洞来对系统进行破坏的，DLL劫持漏洞到底是何方神圣，竟然占领了木马技术的半壁江山?

图1 艾瑞安全报告中利用DLL劫持技术的热门木马截图

DLL(Dynamic Link Library)，全称动态链接库，是Windows系统上程序正常运行必不可少的功能模块，是实现代码重用的具体形式。简单的说，可以把DLL理解成帮助程序完成各种功能的组件。

DLL劫持漏洞(DLL Hijacking Exploit)，这个名字缘起微软在8月23日发布的2269637号安全公告。这个漏洞是通过一些手段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL的一类漏洞的统称。利用DLL劫持漏洞，病毒木马可以随着文档的打开(或者其他一些程序正常行为)而激活自身，进而获得系统的控制权。

我们来看看DLL劫持漏洞到底是何方神圣。

高危害利用形式的爆发

DLL劫持漏洞伴随着Windows而存在，但是一直并未得到大家的足够重视。

直到208月份，有在安全论坛上公布了一种危害极高的DLL劫持漏洞的利用形式，迅速引起强烈的反应。随后，著名安全组织exploit-db公布了一系列存在DLL劫持漏洞的软件列表，其中可以发现大家十分熟悉的应用软件，包括：AutoCAD 、Daemon Tools、Winamp、Media Player Classic、Mozilla Thunderbird、Microsoft Office、Adobe Photoshop、Adobe Dreamweaver CS5、Skype、Snagit10、Safari、WinDVD、Opera、Firefox等等。

图2 PCHOME针对DLL劫持漏洞的新闻截图

简单的讲，安装了上述软件的电脑，当用户在打开一个图片、音乐、视频、BT种子、网页文件都有可能感染病毒。当攻击者利用DLL劫持漏洞构造一个特殊的DLL文件，将这个DLL文件和一些JPG、PPT、MP3、MPG、HTML文件共同打包，用户解压后双击打开这些文档，病毒即被立即触发。也就是说，不需要其他漏洞，不需要可执行文件，只需要鼠标双击打开别人发给你的音乐、视频或者图片文件，就可能感染病毒!难怪国外安全公司authentium在官方博客中描述DLL劫持漏洞时，甚至用“The world is going to end!”做标题。

不过此次**，随着网民们的关注和各个产品漏洞的逐步修复，逐渐平息下去。

演变和进化

DLL劫持漏洞的生命力绝不仅限于打开文件这种触发这种形式。通过这种形式的启发，们逐渐找到了DLL劫持漏洞的更大活力。二年之后的今天，当我们再看这个漏洞时，它已摇身一变更具威胁了。

了解客户端安全的同学应该都知道，现在的安全软件大都会采取白名单机制，把一些大公司的程序放在安全软件的白名单中，白名单中的程序不会进行监控并默认信任，以减少误报率。

都说安全性和易用性是相悖的。白名单这个特性是使安全软件和受信任程序的使用都方便了不少，但是，同时也更加方便了广大。我们都知道，软件工作时都需要这样那样的DLL功能组件，那么在安全软件白名单信任策略支持下，即使“安全软件”要加载的DLL是被替换掉的恶意DLL，安全软件都会被认为是合法、正常的行为。因此，们就开始利用各大公司软件中存在的DLL劫持漏洞，堂而皇之的在安全软件眼皮底下加载早已准备好的恶意代码，入侵用户的计算机。至此，更具“劫持”特性的广义DLL劫持漏洞正式诞生。

本文开头艾瑞报告中提到的那5个DLL劫持木马，都属于这种漏洞形式。是的，你没有听错，就是它，占领木马激活技术的半壁江山。由于效果极好，是们杀人放火，打家劫舍的必备大杀伤性武器。

刨根到底看原理

DLL劫持漏洞之所以被称为漏洞，还要从负责加载DLL的系统API LoadLibrary来看。熟悉Windows代码的同学都知道，调用LoadLibrary时可以使用DLL的相对路径。这时，系统会按照特定的顺序搜索一些目录，以确定DLL的完整路径。根据MSDN文档的约定，在使用相对路径调用LoadLibrary(同样适用于其他同类DLL LoadLibraryEx，ShellExecuteEx等)时，系统会依次从以下6个位置去查找所需要的DLL文件(会根据SafeDllSearchMode配置而稍有不同)。

1. 程序所在目录;

2. 系统目录;

3. 16位系统目录;

4. Windows目录;

5. 当前目录;

6. PATH环境变量中的各个目录。

而所谓的劫持的，就发生在系统按照顺序搜索这些特定目录时，

只要能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持”。

微软的“设计缺陷”?

从上面的原理来看，LoadLibrary API并不会去检查即将要加载进来的DLL是好人还是坏人，不管是李逵还是李鬼都有酒喝、有肉吃。这点我们能理解，毕竟判断DLL是好是坏不是系统的事情，而是安全软件的事情。

同时，当使用相对路径调用这个API加载DLL时，就会触发上一节所述的神奇的动态链接库搜索逻辑。由于系统搜索的位置非常多，而且其中的许多位置都能轻易被劫持和控制，给了DLL劫持漏洞很大的利用空间。

但是，微软认为以上这些属于系统特性，不属于安全漏洞而不做修改，微软官方的介绍及安全建议请参考这里：Dynamic-Link Library Search Order，Dynamic-Link Library Security。

比较有意思的是，从Windows 7的KB2533623补丁开始，微软给我们带来了三个解决DLL劫持问题的新API：SetDefaultDllDirectories，AddDllDirectory，RemoveDllDirectory。这几个API配合使用，可以有效的规避DLL劫持问题。可惜的是，这些API只能在打了KB2533623补丁的Windows7，上使用。

刨根到底看原理

1. 程序所在目录;

2. 系统目录;

3. 16位系统目录;

4. Windows目录;

5. 当前目录;

6. PATH环境变量中的各个目录。

而所谓的劫持的，就发生在系统按照顺序搜索这些特定目录时。只要能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持”。

微软的“设计缺陷”?

DLL加载安全之道

首先，对于会打开图片、音乐等各种类型文件的程序，分为以下三种情况处理：

A. 对于外部第三方DLL和自己的DLL：

1. 使用LoadLibrary API加载DLL时使用绝对路径，类似的情况还包括其他API如LoadLibraryEx, CreateProcess, ShellExecute等;

2. 将所有需要使用到的DLL放在应用程序所在的目录，不放到系统目录或者其他目录。

B. 对于系统共享的DLL(如user32.dll, mfc80loc.dll等)，不能放到程序目录下时，应该：

1. 使用绝对路径加载;

2. 对于无法准确预测绝对路径的情况，可以使用相对路径加载。

C. 程序启动时调用API SetDllDirectory(L“”)将当前目录从DLL加载顺序中移除.

其次，对于广义DLL劫持漏洞，我们只有一种有效的处理办法：加载任何DLL前先校验文件的签名，签名没有问题的才能加载。

检测方案

DLL劫持漏洞的检测比较简单，可以在虚拟环境将程序运行起来，对其中的DLL加载操作进行审计，找出加载顺序中可能被劫持的点;还可以为程序构建一个“劫持现场”(自己做一个劫持并转发给正常DLL的DLL文件看是否执行其中代码)，并检查程序能否真正规避DLL劫持的威胁。

篇8：KINGCMS V5 IIS解析漏洞

默认的

www.xx.com/admin/system/editor/FCKeditorboyisx/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/o.asp&NewFolderName=o.asp

强制建立文件夹与爆出路径

www.xx.com/admin/system/editor/FCKeditorboyisx/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

传jpg小马

另送EXP一个，

KINGCMS V5 IIS解析漏洞

，

传asp;jpg格式保存为htm即可：

Upload a new file:

上传后查看源代码即可

阅读剩余 0%

本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体)，仅供学习参考。用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权，请联系我们反馈本站将在三个工作日内改正。