Hack Eye!

文章提交：Stone_Star (turbid_limpid_at_hotmail.com)
Java Server Page（JSP）作为建立动态网页的技术正在不断升温。JSP和ASP、PHP、工作机制不太一样。一般说来，JSP页面在执行时是编译式，而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候，服务器将检查自上次编译后JSP文件是否有改变，如果没有改变，就直接执行Servlet，而不用再重新编译，这样，效率便得到了明显提高。 今天我将和大家一起从脚本编程的角度看JSP的安全，那些诸如源码暴露类的安全隐患就不在这篇文章讨论范围之内了。写这篇文章的主要目的是给初学JSP编程的朋友们提个醒，从一开始就要培养安全编程的意识，不要犯不该犯的错误，避免可以避免的损失。另外，我也是初学者，如有错误或其它意见请发帖赐教。
一、认证不严——低级失误 在溢洋论坛v1.12 修正版中， user_manager.jsp是用户管理的页面，作者知道它的敏感性，加上了一把锁： if ((session.getValue("UserName")==null)││(session.getValue("UserClass")==null)││(! session.getValue("UserClass").equals("系统管理员"))) { response.sendRedirect("err.jsp?id=14");…

来自：haicao's Blog
2005年4月13日上午，Javaphile瞄准SONY中国在线。我在浏览之后发现再其网站大致构造如下SONY CHINA(www.sony.com.cn)打开主页后自动转向至electronic/sony_elec.htm页面，主题为电子产品，menu部分有链接指向www.sonystyle.com.cn、www.sonygallery.com.cn、www.sonypictures.com.cn、www.explorescience.com.cn、cn.playstation.com站点。分别探测后，在cn.playstaton.com站点找到一处注入，权限为DB_OWNER，利用自编工具浏览数据库得到一后台管理帐号，并浏览文件夹获得几个可能的后台地址，分别尝试后得到后台子目录为manager，登陆后有新闻管理、信息管理等选项，在尝试修改一条新闻时发现EDIT功能出错，报错为SQL语句语法错误，遂失败。稍候我考虑到作为playstation主页这样的大站，后台管理应该是完善的，不然管理员更新新闻就会遇到问题。遂扫描cn.playstation.com所在C段，得到开IIS的IP数个，果然在另一个没有域名的IP上又发现一处一样的后台管理目录和页面，登陆后新闻修改功能正常，并可上传文件，但文件格式只能为GIF、JPG、BMP等图片格式。遂转交boboo研究，boboo分析后估计其是根据扫描上传文件头和分析上传文件后缀名来判断上传文件的格式的，于是先构造一有jpg文件头的asp后门文件，再嗅探抓包后得到其POST语句的各个参数，然后编写一perl程序模拟其POST过程，将该文件上传成功，自动保存为.asp。
这时我再次接手，用该后门文件上传webshell和一些工具后，开始探测内网结构。发现内网只是sony的一个dmz，所有主机名都是sonyweb*的格式，*为数字，这个后台地址所在的主机名为sonyweb1，另有sonyweb2至sonyweb14，每台主机都有两个内网ip为10.226.176.*，无公网ip，且内网无法反连任何公网ip的任何端口。我尝试在sonyweb1的webshell下通过用户穷举提升权限失败，只能另谋思路。再次分析其他sony站点后，尝试从1433端口入手，考虑到现在asp站点会将连接mssql服务器的连接字符串写在global.asa或其他.asp文件中，而很多站点用editplus编辑文件，会留下.bak的备份文件，遂在多处sony的站点的url后加global.asa.bak及其他asp文件后加.bak进行尝试，功夫不负有心人，终于在sonystyle的一个文件后加.bak成功，文件中发现有一处被注释的连接字符串，竟然是uid=sa的帐户，连接主机是sonyweb2，大喜，立刻在sonyweb1处上传一个用网页连接mssql数据库并执行sql命令的asp文件，填写主机和密码后连接成功，获得了sonyweb2的系统权限。
由于目标是涂改sony.com.cn的主页，但sony.com.cn的外网ip和内网ip不能建立对应，遂在内网再次ping www.sony.com.cn，得到了sony主页的内网ip，但在sonyweb2的mssql下用ping www.sony.com.cn，得到另一个内网ip，于是可判断sony主页做了多主机web映射，多次ping后列出存放有sony主页的主机ip列表，再用扫描工具扫描内网后列出内网开1433端口的ip列表，用同一sa的密码尝试连接后有4台连接成功，但没有一台是存放sony主页的主机。于是转向去分析主机的用户列表，发现每台主机的administrator用户都改名为类似sony_web1_admin，于是上传pslist.exe和findpass.exe，先用pslist列出winlogon的pid，然后用findpass导出该winlogon对应的用户密码。分析密码发现，密码分为三部分，第一部分是四个固定数字的任何排列，第二部分一位小写字母和一位大写字母加一位0~9的数字，第三部分为*加两位数字，该两位数字对应主机名中的数字，比如sonyweb4的admin密码的最后两位是04。于是根据此密码构成规则列出可能的密码词典，然后用ipc密码穷举，立刻跑出了保存sony主页的主机的admin密码，以下改主页等过程众人皆知，略过不表。
更改主页约2小时后，sony网管发现主页被篡改，立刻在内网用3389登陆，用备份的web文件覆盖被改的主页，我见状后再次用xp_cmdshell替换主页，网管遂再次恢复主页，并将目录权限设为只读，我立刻将目录权限更改为可写，并再次替换主页，然后用pslist列出网管登陆远程桌面的winlogon的pid，用pskill之将其踢下线。网管稍候后再次登陆后恢复，我再次替换主页后发现没有变化，意识到网管更改了web根目录，立刻用adsutil.vbs列出新的web根目录，再次替换主页，然后一不做二不休，再次踢网管下线后，更改了admin用户的密码。网管在尝试登陆失败后手动关机，于是整个入侵过程结束。

来自：猫猫'blog
先注册个号，进入控制面版给自己发条短信
http://127.0.0.1/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=4 这就是点“`
用户名为admin 奇怪“抓不到“`好了抓到了~~~显示记录不存在“是因为 =没有登陆““ef0020cf8c5e45b9 密码是这个“`
下面就开始将管理员的密码更新为我注册用户的密码““
利用动易爆库改库程序先将pe_admin里adminname，password字段爆出来…..
);update pe_admin set password=(select userpassword from pe_user where username=char(0×68)%2Bchar(0×61)%2Bchar(0×63)%2Bchar(0×6b)%2Bchar(0×35)%2Bchar(0×32)%2Bchar(0×30)) where…

来自：猫猫温暖的小窝
SaForums是angle基于Discuz 2.2F修改的论坛，过滤的比较严格，相对还是比较安全的。但是在APACHE中可以结合扩展名解释漏洞上传文件来获取WEBSHELL。
APACHE在解释扩展名的时候不是从文件名最后开始算，而是只要文件名中包含扩展名就会进行解释。例如aaa.php.rar会被当成php脚本来执行。
SaForums默认是允许用户上传图片的，并且把上传的文件名进行一些处理：
in include\post.phpif(in_array($extension, array('php', 'php3', 'jsp', 'asp', 'cgi', 'pl'))) { $extension = '_'.$extension;}
$attach_fname .= random(4)."_$filename.file"; //防止上传可以执行的文件 by angel
但是这样判断是不完全的，如果我们上传一个名为abcd.php.gif的图片文件，会被重命名为XXXX_abcd.php.file，这个文件在APACHE环境下仍然被当成php来解释执行。所以只要我们上传的abcd.php.gif有正确的gif文件头就可以绕过检测来执行php代码了。
修补方法：去掉文件名中的"."字符：$filename = str_replace('.', '_',…

程序作者：kEvin1986信息来源：ReJeCt ‘s Blog
可以在sysadmin的权限下面执行命令..不需要xp_cmdshell\Sp_OA*\Job等扩展支持…成功之后,Access也可以做到在Injection中执行命令… 成功率一般在90%以上….
原理：第一:exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','Software\Microsoft\Jet\4.0\Engine\SandBoxMode',REG_DWORD,0 写一个注册表的值，开启Access沙盒模式。也就是可在非Application里执行的功能。2，用OpenRowSet打开一个Access文件.在%windir%\system32\ias里有4个这样的文件。随便拿来用3.执行的函数如下Function Shell(ByVal Command As String) As Long返回执行的PID完成。
Click Here To Download

KC是什么？
　KC提供个人通信录服务，不仅可以便捷管理MSN/QQ、OUTLOOK好友资料，而且支持MSN/QQ即时通信、免费收发短信、拨打电话、发送邮件。是定位于下一代网络新通信的服务终端与平台。
官方网站：http://www.keepc.com
已经测试了免费短信功能，导入QQ资料功能，导入msn功能！都可用，那个免费电话功能测试不成功，老是说电话号码有问题！

信息来源：费乐沃||PhilColumn 0.3
原文来自http://www.rinf.com/news/nov05/googlefacts.html
说明：翻译本文并不代表译者同意或者赞同文中观点。
很明显，Google不断地在搜集每个人的信息，却拒绝告诉我们为什么这样干。这对我们来说早就不是什么新鲜事了。在Google不能控制搜索结果页是什么样子的时候，他们却能控制谁在什么时候看什么内容。Google are clearly gathering information about us but refuse to tell us why. It's nothing new to us, but…

最近挺郁闷的，将sql通用防注入更新了一下，版本就先叫：3.1β吧！主要更新部分：1、加入对cookies部分的过滤，得益于lake2写的：Request废话连篇 2、对js所写代码的支持，本来不打算搞这个的，但是答应了几个朋友了，顺便加上，也费不了多少事！3、发布时间吗，最近几天，待我挑个良辰吉日！4、开发进度：没什么进度了，就更新了主文件，但是需要花费几天时间测试一下，不想随便就扔出来，那样是对sql通用防注入支持者的不负责任！5、…………

来自：邪恶八进制 中国 作者：又一天
ps：好像以前谁给过我一个天涯的webshell，忘了扔哪里了，当时看了看，也没搞。期待又一天的入侵记录！^_^！

开学了，一直没时间来。5个小时的“战果”付图`图中鸽子为www.tianyaclub.com的15台服务器，包括数据库服务器。。。国内网站排名30，世界排名130。身价过亿。。。此为天涯虚拟社区
好了，不废话了，下面开始渗透之旅。。。 由于时间的问题，特写出大概步骤，因为现在需要去学校了。还不去，会被骂死！1扫描整个网段2对每台主机进行扫描3得到同网段某机一台4分析内网结构5通过WEB`ASP注射途径，得到数据库及WEB信息6对以上得到的信息经过分析，后通过BACKUP得到数据库服务器SHELL（权限超小）7告诉大家最基本的。1数据库服务器是不能连接外网的，并且连最基本的网页都无法打开，就是根本上不了网。15台服务器都开了3389但都经过筛选`其中，只有一台服务器的3389可以连接外网。全部在局域网中。另渗透中，确实用了些未公开的技术。但由于非本人的原因，我不能公布。
另天涯的漏洞还未修补完全，如果通过嗅探。还有很大可能获得控制权。只要你能进入他的网关下。成功几率非常大！ 按我的思路走。你就有机会渗透成功。有的朋友不要说，你又没说完，如果把每一步都告诉你，那就不要渗透了，如果你技术达到某一步，我觉得这种站，对你来说也只是思路上的借鉴。 由于时间的原因，我不好多写。刚那个帖子不是我要炫耀。。。就算俺要炫耀下，也没啥吧`他们光花在安全防御上，给某些“安全公司”的钞票就达300万人民币`而是我没时间写多的。明天来写详细渗透步骤。图片不清晰，双击打开放大后可看到清晰图

1、用过好几个多页面浏览器，当初的myie2到遨游，还有那个世界之窗！都是很不错的多页面浏览器，特别是myie2，功能越来越强大，但是占用内存也越来越多！2、几个月前发现了这款小巧的浏览器，还没有中文名称，现在名字是：GOSURF！官方网站：http://getgosurf.com3、这个浏览器的一个最重要的功能是我最欣赏的，那就是他的代理设置功能！支持剪贴板批量导入代理，还有可以从文本文件直接导入！自带测试工具！4、其他的我最长用的几个功能也都很不错，特别是屏蔽弹出广告上也做的很不错！官方下载：http://getgosurf.com/files/gsfbwsr270BETA_20051128.zip