影子鹰安全网络-主站技术BLOG, 进阶式的学习平台...
 
用户登陆
用户:
密码:
   

站点日历
73 2010 - 7 48
    123
45678910
11121314151617
18192021222324
25262728293031

站点统计
日志:1320 篇
评论:3702 篇
引用:303812 个
会员:1170 人
留言:172 个
访问:18749375 次
今日:18670 平均:7000
建站:2001-10-10
在线人数: ?

最新评论

日志搜索

 标题   内容

友情链接

域名1元加1元送主机

其他信息
影子鹰安全网络-主站技术BLOG
::订阅到抓虾::
订阅到飞鸽
订阅到GOOGLE
订阅到yahoo
订阅到ROJO
RSS 1.0
RSS 2.0
[全部订阅更新]
[鄂ICP备05002492号]
联系我

::影子鹰业务联系专用QQ:;

Gmail:coolkawen(at)Gmail.com站长KAWEN联系方式
QQ群(::Blog交流::)

旗下域名

www.cn9x.com
www.cnyzy.cn


FEED订阅数一览


EMAIL订阅FEED
显示模式: 默认模式 | 树形模式
晴天 DEDECMS V5.6 删除文件漏洞利用   [ 2010-07-01 07:10:09  |  影子鹰 ]

member/edit_face.php

没包括过滤 ../ 可遍历目录,导致可以删除 jpg , gif ,png 类型的文件。
代码分析:edit_face.php

阅读全文……
作者:kawen | 分类:黑客攻防 | 评论:0 | 引用:0 | 查看:155
晴天 cyask系统后台Getshell 漏洞   [ 2010-07-01 07:09:32  |  影子鹰 ]

cyask会将参数设置写入cache,写cache的时候从数据库取出未过滤的数据直接写文件,导致可以拿webshell

分析:
admin/setting_manage.php文件: <?php admin_footer(); exit(); } elseif($admin_action=='setting_edit') { if(isset($_POST['edit_submit'])) { $query=$dblink->query("SELECT * FROM {$tablepre}set WHERE T in('str','num')"); while($row=$dblink->fetch_array($query)) { $dblink->query("UPDATE {$tablepre}set SET V='".$_POST[$row[K]]."' WHERE K='".$row[K]."'"); //将设置写入数据库,未过滤by unknownman   } create_cache('variable');//写cache by unknownman header("location:admin.php?admin_action=var_setting"); } else { $query=$dblink->query("SELECT * FROM {$tablepre}set WHERE T in('str','num') order by T"); admin_header(); ?> create_cache函数位于include/global.func.php:   function create_cache($cachename) { global $dblink,$tablepre; $prefix='cache_'; $cachedata = '';   if($cachename=='variable') { $query = $dblink->query("SELECT * FROM {$tablepre}set WHERE T in ('str','num')");//从数据库取出设置 by unknownman $cachedata.=""; while($row = $dblink->fetch_array($query)) { if($row['T']=='str') { $cachedata.="\$".$row['K']." = '".$row['V']."';\n"; //字符串未过滤 by unknownman } elseif($row['T']=='num') { $cachedata.="\$".$row['K']." = ".intval($row['V']).";\n"; //数值参数简单过滤 by unknownman } } } elseif($cachename=='style') { $query = $dblink->query("SELECT templateid,name,tpldir,styledir FROM {$tablepre}tpl ORDER BY templateid"); $num=$dblink->num_rows($query); $cachedata.="\$_DCACHE['style'] = array("."\n"; $i=1; while($row = $dblink->fetch_array($query)) { $cachedata.=$row['templateid']." => array("."\n"; foreach($row as $key => $val) { //$val=addslashes($val); if($key=='styledir') $cachedata .= "'$key' => '$val'"."\n"; else $cachedata .= "'$key' => '$val',"."\n"; } if($i==$num) $cachedata .=")\n"; else $cachedata .="),\n"; $i++; } $cachedata .=");\n"; } else { exit('cachename error !'); } $dir = CYASK_ROOT.'./askdata/cache/'; if(!is_dir($dir)) { @mkdir($dir, 0777); } if(@$fp = fopen("$dir$prefix$cachename.php", 'w')) //写php文件 by unknownman { fwrite($fp, "<?php\n//Cyask cache file\n//Created on ".date("Y-m-d H:i:s")."\n\n$cachedata?>");//写的php文件本身也未安全设置,任何人都能访问 by unknownman fclose($fp); } else { exit('Can not write to cache files, please check directory ./askdata/ and ./askdata/cache/ .'); } }  

阅读全文……
作者:kawen | 分类:黑客攻防 | 评论:0 | 引用:0 | 查看:113
晴天 HDWiki百科程序后台Getshell漏洞   [ 2010-07-01 07:08:57  |  影子鹰 ]

HDWiki采用了模板机制,模板编译后会保存到data/view目录下,为php文件,之后展现模板时又include之,导致可以拿webshell

漏洞代码在lib/template.class.php文件:

阅读全文……
作者:kawen | 分类:黑客攻防 | 评论:0 | 引用:0 | 查看:91
晴天 HDWiki百科程序后台Getshell漏洞   [ 2010-07-01 07:07:55  |  影子鹰 ]

HDWiki采用了模板机制,模板编译后会保存到data/view目录下,为php文件,之后展现模板时又include之,导致可以拿webshell

漏洞代码在lib/template.class.php文件:

阅读全文……
作者:kawen | 分类:黑客攻防 | 评论:0 | 引用:0 | 查看:99
  Powered by www.cnyzy.cn Rights © 2006 Processed in 0.185547 second(s) , 5 queries