PortWatcher's Blog | 黑客是一种精神

换新博客了

Jury — Mon, 03 Dec 2012 15:35:36 GMT

www.pwhack.me

此博客不再更新。

IIS 6.0/7.0/7.5、Nginx、Apache 等 Web Service 解析漏洞总结

Jury — Thu, 15 Nov 2012 13:30:51 GMT

挺好的，我复制粘贴就没什么意思了，直接给链接吧。 http://lcx.cc/?i=2848

WordPress AJAX Post Search插件'srch_txt'参数SQL注入漏洞

Jury — Tue, 13 Nov 2012 15:55:01 GMT

我特地下载了这个插件的1.1版本，源码只有一个php文件，cardoza_ajax_search.php。

搜索"srch_txt"，来到42行，代码如下：

Code

if(isset($_POST['srch_txt'])){
  $search_string = stripslashes($_POST['srch_txt']);
  if(!empty($search_string)){
  global $wpdb;
  $search_result_posts = $wpdb->get_col("select ID from $wpdb- >posts where post_title like '%".$search_string."%' AND post_status = 'publish'");
  if(sizeof($search_result_posts)!=0){
  $args = array('post__in'=>$search_result_posts);
  $res = new WP_Query($args);
  echo '  while ( $res->have_posts() ) : $res->the_post();?>
      endwhile;
  echo '  }
  else echo "No posts found for your search";
  }
  else echo "Type your search in the search box.";

  wp_reset_query();
  die();
  }

可以看到，srch_txt未经任何过滤就带入了SQL语句里面进行查询，一个十分典型的搜索型注入。

影响版本有1.0，1.1，1.2

在最新的1.3版本中，加了一个htmlspecialchars函数对POST来的数据进行了转义:

Code

$search_string = stripslashes($_POST['srch_txt']);

pwrat v0.5,主要是web端界面美化

Jury — Thu, 08 Nov 2012 07:05:51 GMT

试了几个html5的新东西，比如说type="number"的input。增加了jquery特效的菜单，虽然不绚丽但比之前的死板超级连接强多了。把cmd命令回显放在《pre》标签内，使得回显更加美观。

另外在management中增加了一些新功能的链接，打算在1.0正式版中实现（除了键盘记录）：

既然没有新功能出来，这次就不公开源代码了，大家也不会感兴趣的。

上百种XSS变体

Jury — Wed, 24 Oct 2012 11:34:39 GMT

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

pwrat v0.01，一个简单的B/S远控

Jury — Fri, 19 Oct 2012 14:36:29 GMT

我将这款B/S远控命名为PortWatcher RAT(pwrat)，足可体现我对它的喜爱。

Browser端由php编写，Server端由C#编写。

功能：

注册表开机自启（好水，真的好水），cmdshell

将web目录下的php文件上传到自己（或别人的）的服务器里，然后修改php源码里的password，C#源码里的www.yourdomain.com

在数据库中执行intall.sql中的SQL语句，并修改数据库连接信息

发送命令需要指定id，id可以在查看rouji或者上线记录中看到。。

更加干净利索的回显在output.txt中可以看到。

大家可以根据实际需要修改C#源码中threading.sleep中的时间，和view.php源码中的秒数（目前为120秒，2分钟）

由于由C#编写而成，Server运行需要.NET环境，不过现在WIN7的市场份额越来越大，限制会越来越少。

随着自己的学习，陆续会加入文件管理，屏幕监控，键盘记录等，也会想办法优化开机启动方式。

有需要的朋友可以到我博客的"Dowload 各种下载"的”个人作品"中下载。

下载已被关闭，因为还是雏形产品！

下面做点原理介绍：

思路参考了某期《黑客手册》中”爱梅小礼。菜客"的文章，这里特作说明。不过他是用DELPHI+ASP实现的。

具体原理如下:(我去啊这个绘图软件未注册竟然这样...)

谈一谈最近挺出风头的TH4ck小组和自己的近况

Jury — Tue, 09 Oct 2012 15:07:09 GMT

关注圈子的人最近应该都知道有个叫th4ck的小组大出风头，黑了土司，绿色兵团，暗组，华中帝国，黑白同盟，红盟，90sec。

群里讨论出了一些问题。小冰先提出来是劫持，而且是傻瓜式的劫持。强行修改某台可控服务器的IP为要"黑”的网站的服务器IP。我们开始都不相信，因为娇娇姐提出这样会出现轮流掉的情况，自己在虚拟机内网都能测试的。

后来还是发现了一些问题。

主要分析绿色兵团被黑的情况。先在bing上搜索ip:210.52.223.31。在所有该IP服务器下的站，都被TH4ck挂了黑页。莫非这个组织把所有该服务器下的网站都"入侵”了吗？还是说服务器被劫持了呢？

顺便吐槽一句：Hackerd by Th4ck，这英语实在是太牛B了！

后来Tm3yShell7又贴了一个netcraft的地址，如下图所示，可以看到，该域名指向的服务器已在今天被更改，而且是从一贯的LAMP改为了WIN+IIS。

我们还能看到，虽然服务器改了，但外网IP没有变，说明WIN2003和LINUX服务器是在同一内网的。

于是我们最终相信，这伙人只是修改了某台可控的服务器IP为他们要"黑”的网站的IP。并且这样的劫持的成功条件是处于同一内网。

我猜测，这伙人，应该是先查询了目标站的托管主机的服务商，然后在相同的服务商注册服务。这是一种方法，也可能是直接拿下处于同一内网的脆弱服务器，然后再劫持。

不做过多评论了。

最近报名了两个比赛，一个考试：杭电ACM月赛（11月13号开赛），杭电第四届网络攻防大赛（11月1号开赛），计算机二级C（十二月考试）。

其实冷夜兄说得对，报名参加这类考试和比赛，不是为了得高分，得成绩，得证，而是为了给自己一个机会去静下心来好好学习知识。

我也是抱着这样的心态参加的，加油吧！

换回WIN7,感谢BT

Jury — Thu, 30 Aug 2012 07:13:31 GMT

大学的课程所需要的软件大部分是基于Win平台下的，而且一些IDE根本就不是随便能WINE出来的。也出于实用性的考虑，我读的专业是软件工程，并非信息安全，接触黑阔层面的事情可能会越来越少，BT5也不是必须的了。

本来是打算搞双系统，但先装Linux再装Win的方式搞双系统很麻烦。要修复GRUB引导，挂到NTLoader(或bootmgr)下什么的。

后来打算把Win7装入刚买的1TB的移动硬盘，我了个去啊移动硬盘识别不出来。虽然我买的移动硬盘是富士康的，但我电脑也不用这么爱国抵制日货吧。

最后忍痛割爱，直接装Win7，把BT5打入Live USB冷宫。还是很感谢BT，如果不是它，我这个小菜根本不会静下心来去搞高深的Linux。我也不想评价Linux与Windows的优劣，面向的用户群体就不一样。

加油。

杭电新生调查表登录处反射型XSS

Jury — Wed, 08 Aug 2012 04:56:08 GMT

By: PortWatcher

很无聊的一个漏洞，应该只能配合社工才能发挥作用。一个GET参数没有过滤。我认为这个参数根本就不该暴露给用户，因为没有意义，可能是因为编程简单一些吧。

URL：http://xsdcb.hdu.edu.cn/login.asp

这个地方的ERRMSG后面的参数直接放入 alert函数，没有做任何过滤。我们可以通过闭合之前的

这里还是以弹一个框框为例，注意这里的框框不是MSGERR的框框，而是我们自己构造出来的，我们还可以把它修改为任意XSS，自己看代码，不做过多解释。

例如：

http://xsdcb.hdu.edu.cn/login.asp?ErrMsg=');

37个字节实现任意XSS

Jury — Tue, 17 Jul 2012 18:57:04 GMT

文章来源： http://www.portwatcher.net/blog/37_xss/2012-07-17-117
By:PortWatcher

假设现在我们有一个XSS，它是通过viewstate来引发的。w3af给出的测试页面是

Code

http://www.********.com/auth/Default.aspx?__VIEWSTATE=%2fwEPDwUKLTY4NzcyMTIyMg9kFgICAQ8W
Ah4JaW5uZXJodG1sBSY8c2NyaXB0PmFsZXJ0KCdBU1AuTkVU
IFhTUycpOzwvc2NyaXB0PmRk

通过burpsuite，可以查看到这个viewstate的值为：

Code

如果我们要利用XSS，光弹一个框框是远远不够的。这是一个反射型XSS，结合社工和IE 0day我们可以让别人中马。我们先尝试让它跳转到指定页面，比如说百度。
比较直接的思路是修改viewstate的值，你会说这有什么难的，未MAC加密的viewstate不就是一个base64么。但如果真的能这么简单地修改就不会有这篇文章了。你可以试试直接修改解密后的js然后再加密。你会发现以这样的viewstate访问将导致服务器报错，因为viewstate的值的长度是固定的，假设我们让这个js实现跳转百度的功能，那么它的内容应该是

Code

这个长度远远超过w3af给你的XSS，当然会报错。我所知道的最短的跳转页面的语句为top.location=""，这个依然太长了。

我找不到可以修改viewstate的值而不因改变长度破坏其结构的工具，只能硬着头皮构造出与《script》alert("ASP.NET XSS")《/script》长度一样的又能实现我想要的效果的XSS来。

首先我们很自然地可以想到包含，于是我在朋友分我的vps上放了一个js脚本，内容如下：

Code

window.location.href="http://www.baidu.com"

将其命名为1.js，那么我们的XSS就应该为

Code