zhouzhen weblog

http://upserver1.ys168.com/ys168up/D1/ys1.aspx?f=loadfile_hex.exey66z72f8b3f8b5f9b6z95f9b3b6f9b4b7f5f9b1f9b5b0b5f6e01e20e01e24b1b1f2f9b6f9b1f6b1f8b2z

http://upserver1.ys168.com/ys168up/D1/ys1.aspx?f=loadfile_asc.exey66z75f8b3f8b5f9b6z95f9b3b6f9b4b7f5f9b1f9b5f9b1f6e01e20e01e24b1b1f2f9b6f9b1f6b1f8b2z

随便写的。：）

文章作者：zhouzhen [E.S.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：本文章已经在《黑客X档案》上发表 如要转载 请注明作者并且保证文章的完整性

上传pdf格式文件：

http://zhouzhen.blogchina.com/inc/%B0%B4%BC%FC%BE%AB%C1%E92.65%D5%FD%CA%BD%B0%E6%CD%D1%BF%C7%B5%BD%C6%C6%BD%E2%D2%BB%CC%F5%C1%FA.pdf

文章作者：zhouzhen [E.S.T]
信息来源：邪恶八进制安全小组

金梅系统的安全性一直不是很好，昨天朋友说金梅已经到第七版了，呵呵，拿到程序后就想看看安全性。官方网站地址：
http://www.yule21.com/   程序演示地址：http://www.yule21.com/vod7/
由于官方网站作了特殊处理，有的效果不明显，外加了个网站作例子：http://www.yt263.com/vod/

1.articleconn.asp 暴库

articleconn.asp

没有加上ON ERROR RESUME NEXT 容错语句，%5c暴库。http://www.yt263.com/vod%5cclass.asp?typeid=喜剧片 返回出错信息：

Microsoft VBScript 编译器错误 错误 '800a03f6'

缺少 'End'

/iisHelp/common/500-100.asp，行242

Microsoft JET Database Engine 错误 '80004005'

找不到文件 'O:\网站备份1\方联\data\admin2002.asp'。

/vod/articleconn.asp，行10

官方网站出错是作了页面重定向看不出效果。

2. user 目录下conn.asp 暴库

http://www.yt263.com/vod%5cmylook.ASP 暴库。返回出错信息。

Microsoft VBScript 编译器错误 错误 '800a03f6'

缺少 'End'

/iisHelp/common/500-100.asp，行242

Microsoft JET Database Engine 错误 '80004005'

找不到文件 'O:\网站备份1\方联\data\admin2002.asp'。

/vod/articleconn.asp，行10

3. down.asp 注入漏洞

down.asp 关键代码

<% Response.Expires=0
   dim sql
   dim rs
   articleid=request("id2")
   urlid=request("id1")
   if articleid="" or urlid="" then
   response.write"非法操作"
   response.end
   end if
set rs=server.createobject("adodb.recordset")
   sql="select mhit,serverip,canlook,movietype,title from learning where articleid="&articleid
   rs.open sql,conn,1,1
   mhit=rs("mhit")

很明显id2没过滤，可注入。官方网站的注入点之一：http://www.yule21.com/vod7/down.asp?id1=633&id2=254

4. ud2t3d86.asp 注入漏洞

ud2t3d86.asp 关键代码

<% Response.Expires=0
   dim sql
   dim rs
   articleid=request("film2")
   urlid=request("film1")
   if articleid="" or urlid="" then
   response.write"非法操作"
   response.end
   end if

set rs=server.createobject("adodb.recordset")
   sql="select mhit,serverip,canlook,movietype,title from learning where articleid="&articleid

film2 没过滤，所以 look.asp 注入 http://www.yule21.com/vod7/ud2t3d86.asp?film1=10&film2=10 官方网站注入点之二。

5. look.asp

因为look.asp 是向ud2t3d86.asp传film1 和 film2 的参数。因此 look.asp 可注入

随便检查了一下就发现那么多的漏洞，我并没有看全部的代码，其它漏洞仍然可能存在，大家可以继续交流。

文章作者: zhouzhen[E.S.T]
信息来源: 邪恶八进制中国 http://www.eviloctal.com/forum

process list & process kill
http://zhouzhen.blogchina.com

Usage: ps.exe <OPTION>
Example: ps.exe -l
      ps.exe -k pid
Code by zhouzhen

ProcessName　　　　 ProcessID
[System Process]       0
System                     8
smss.exe                148
csrss.exe                172
WINLOGON.EXE       192
services.exe            220
LSASS.EXE             232
svchost.exe            412
SPOOLSV.EXE         440
svchost.exe            476

C:\Documents and Settings\Administrator>ps -k 1292

[+]SetPrivilege ok!
[+]process 1292 has been killed!

kill process Code by zhouzhen

可以杀系统进程 :)

附件 ps.rar：http://blog.blogchina.com/upload/2005-03-16/20050316114452788483.rar

// setTime.cpp : Defines the entry point for the console application.
//

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void usage()
{
       system("cls.exe");
       printf("-------------------------------------------------------\n"
                 "\tsetTime Ver 1.0  zhouzhen[E.S.T], 2005/3/5\n"
                 "\thttp://www.eviloctal.com, [emal]zhouzhen@yeah.net[/email]\n"
              "\t        文件时间修改器 1.0"
                 "\n\n"
                 "\tUsage:   \tsetTime OldFile NewFile\n"
                 "\tExample: \tsetTime hello.asp eviloctal.asp\n"
                 "--------------------------------------------------------\n"
                 );
       exit(0);
}

int main(int argc, char* argv[])
{
       HANDLE hFileOld, hFileNew;
       FILETIME OCreateTime, OLastAccessTime, OLastWriteTime;
       const FILETIME *pCreationTime, *pLastAccessTime, *pLastWriteTime;

              if (argc!=3)
              usage();
       else{

              hFileOld = CreateFile(argv[1], GENERIC_READ|GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
              if (hFileOld == INVALID_HANDLE_VALUE)
              {
                     printf("Cannot open %s. Error:%x\n", argv[1], GetLastError());
                     exit(1);
                    
              }

              hFileNew = CreateFile(argv[2], GENERIC_READ|GENERIC_WRITE, 0, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
              if (hFileNew == INVALID_HANDLE_VALUE)
              {
                     printf("Cannot open %s. Error:%x\n", argv[2], GetLastError());
                     exit(2);
                    
              }

              GetFileTime(hFileOld , &OCreateTime, &OLastAccessTime, &OLastWriteTime);
      
       
              pCreationTime = &OCreateTime;
        pLastAccessTime = &OLastAccessTime;
        pLastWriteTime = &OLastWriteTime;
             
              SetFileTime(hFileNew, pCreationTime, pLastAccessTime,pLastWriteTime);

             
              CloseHandle(hFileNew);
              CloseHandle(hFileOld);

              printf("All is done! Enjoy yourself\n");

       }
       return 0;
}

PS： 呵呵，支持开源。。