熊本熊本熊's Studio.

WordPress在5.2.3版本之前，存在着一处未授权页面查看漏洞，攻击者可以在未授权的情况下，查看所有私密页面或是已经删除至回收站的页面 这个漏洞，请注意我的描述用字，是私密页面查看，而非私密文章查看，这点很关键，在wordpress中，POST指的是文章，Page指的是页面，这两个不是同一个概念，如下图 页面： 用户可以单独建立一个固定页面，可以作为留言板，或者通知的单页面，发布之后是固定的网址。页面并不能被分类、亦不能拥有标签，但是它们可以有层级关系。可将页面附属在另一个页面之下 文章： 文章可以通过标签实现相关文章的链接，可以放评论和评论框来实现与用户的互动，页面没有。文章有栏目可以归档，还有标签，页面没有。编辑文章时可选不同的形式，页面没有。 利用这个漏洞，攻击者并不能查看未发布的文章，只能有一定几率查看私密或已以至回收站的页面 漏洞分析我们将自上而下，从wordpress入口到漏洞触发点，来分析该漏洞 首先来看位于\wp-includes\class-wp.php 中的WP类，该类为WordPress环境设置类 在WP类中，存在$public_query_vars数 ...

nhttpd是Marcus Glocker设计的开源Web服务器，也称为NostromoWeb服务器。 nhttpd通过select(2)处理正常的并发连接，但是为了提高效率（例如列目录和CGI执行），它使用fork(2)以提高效率。 下图为nostromo以及apache和thttpd在处理1KB文件，16KB文件、执行CGI时的性能比较 漏洞描述nhttpd 1.9.6及之前版本中存在路径穿越漏洞。攻击者可利用该漏洞访问web server路径之外的文件。 漏洞分析目录穿越在main.c中，处理header处存在如下代码 程序将会调用http_verify对每个header进行有效性验证，如上图1568行 当http_verify函数对header有效性验证通过后，会调用http_proc对header进行处理，以及后续操作 跟入http_verify方法中 在header有效性验证环节(http_verify)中，http_verify方法验证了header是否可以被url解码、method是否效、以及是否存在”/../”目录变量这样的字符串等内容 上图：head ...

近日，思科Talos漏洞报告指出，YouPHPTube Encoder应用存在多处命令注入漏洞。CVE编号分别为CVE-2019-5127 / CVE-2019-5128 / CVE-2019-5129 漏洞描述YouPHPTube是一个开源的视频共享网站应用。使用YouPHPTube，用户可以创建自己的视频共享网站，YouPHPTube 将帮助用户导入和编码来自Youtube，Vimeo 等其他网站的视频，用户可以直接在自己的网站上进行分享。 YouPHPTube Encoder是YouPHPTube的编码器插件，该插件可在YouPHPTube中提供编码器功能。使用者在自己的服务器上安装并使用YouPHPTube Encoder以取代第三方公共编码器服务器，可以更快速便捷的编码自己的视频，并且还可以使用私有方式对自己的视频进行编码 在YouPHPTube Encoder2.3中，存在无需身份验证的命令注入漏洞。攻击者可以发送包含特定参数的Web请求来触发这些漏洞。 漏洞分析ffmpegYouPHPTube-Encoder对视频进行处理的核心部分是使用ffmpeg，本次三个漏洞的 ...

PHP 官方披露了Nginx + php-fpm 部分配置下存在的远程代码执行高危漏洞，攻击者可利用漏洞对目标网站进行远程代码执行攻击。 本文只针对此次攻击所用到的EXP进行分析，并不涉及漏洞原理分析 漏洞EXP下载地址 https://github.com/neex/phuip-fpizdam 流程两个重要的函数RequestWithQueryStringPrefix方法RequestWithQueryStringPrefix方法 RequestWithQueryStringPrefix方法用来发送构造的get请求，该方法接收三个传入参数 pathInfo params prefix 比较关键的参数是前两个，即pathInfo与params 在发送数据包前，RequestWithQueryStringPrefix方法会用pathInfo与params计算与构造两部分数据 1、GET 参数中补字符Q个数 RequestWithQueryStringPrefix方法会计算qslPrime值用以在get请求参数中补”Q”字符，如下图 qslPrime值计算如下 可见是由param ...

Weblogic曾出现过多个与XMLDecoder相关的漏洞(CVE-2017-3506、CVE-2017-10352、CVE-2019-2725)。 Weblogic针对于漏洞的修复，往往是增加黑名单以限制xml中的元素，例如针对CVE-2017-3506的修复方法，限制了object标签使得攻击者无法创建指定类的实例。但是攻击者可以使用void、new来代替object，从而造成了CVE-2017-10352漏洞的产生。 那为什么在XMLDecoder解析时，可以使用void、new来代替object呢？本文将详细的分析XMLDecoder代码，以找到答案。 基础概念XMLDecoder用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,简单的案例可见官方给出的下图代码 首先，我们写一个简单的测试demo TestStudent类 TestStudent类中将完成从XMLEncoder到XMLDecoder的过程 Student类如下图 首先看下XML编码以及写入文件过程，见下图红框处 在程序将Student类的实例在XML编码后写入student ...

WooCommerce是WordPress最受欢迎的电子商务插件，安装量超过500万。 WooCommerce处理产品导入方式的缺陷导致存储型XSS漏洞的产生，可以通过跨站点请求伪造（CSRF）来利用该漏洞。由于wordpress后台存在插件编辑等功能，通过xss漏洞，可以写入php代码 漏洞简介WooCommerce是WordPress最受欢迎的电子商务插件，安装量超过500万。 WooCommerce处理产品导入方式的缺陷导致存储型XSS漏洞的产生，可以通过跨站点请求伪造（CSRF）来利用该漏洞。由于wordpress后台存在插件编辑等功能，通过xss漏洞，可以写入php代码 漏洞成因简单来说，是因为WooCommerce存在csv文件导入功能，该功能可以将csv中内容导入到产品列表中 导入时共分四步(上传、列映射、导入以及done)，这四个步骤的请求是独立的，可以单独发送对应的请求，在后台完成相应的功能。 WooCommerce只在第一步(上传csv文件)的时候验证了csrf token，而后续步骤并没有进行csrf防护。由于一定权限的wordpress用户可以直接在word ...

Oracle WebLogic Server是Oracle Corporation开发的一款Java EE 应用服务器，其支持EJB、JSP、JMS、XML等多种语言且具有可扩展性、快速开发等多种特性。 Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行，攻击者只需要发送精心构造的HTTP请求即可拿到目标服务器的权限。 漏洞分析本文中所调试的Weblogic版本为10.36 在启动Weblogic前，在startWebLogic.cmd中加入如下图红框处指令 这将配置Weblogic的远程调试的端口为9999 首先我们回放一下poc数据包，以跟踪漏洞执行流程，注意，这里的poc并不能真正的在笔者的系统上执行，因为我是用了原版poc的payload而并未对其进行windows版本的更改。这里只是观察期执行流程所用 其实上图这个数据包的url部分字符串(CoordinatorPortType)并不是固定的 通过查看wls-wsat.war!\WEB-INF\web.xml文件可以发现 可以利用的 ...

SSTI并不是Web应用程序领域的一种新型漏洞。这些年来，从Flask/Jinja2模版到Twig模版，都存在着SSTI漏洞利用的先例。这篇译文是来自securitum公司首席安全研究员Michał Bentkowski的分析报告，是关于一款名为Pebble的Java 模板引擎的SSTI漏洞的分析与利用。 下面译文开始 服务器端模板注入并不是Web应用程序领域的一个新漏洞。2015年，James Kettle曾在 PortSwigger blog发表Server-Side Template Injection一文，使得服务端模板注入漏洞被大家熟知 。本文将由一个不太流行的Java模板引擎-Pebble来引领大家探索服务端模板注入漏洞。 Pebble与模板注入根据官方文档，Pebble是一款Java 模板引擎，开发他的灵感来自于Twig。它具有很强的模板延续性和易于阅读的语法；出于安全性考虑，它内置自动转义功能，并包括对国际化的集成支持。它支持模板引擎中最常见的语法，其中变量替换使用完成。通常，在模板引擎中，可以包含任意的 Java 表达式。假设想将名为 name 的变量放在模板中并 ...

最近，笔者在研究一些与WordPress漏洞相关内容。Sucuri、RIPS、Fortinet等安全公司对WordPress有着一系列的深入研究，因此笔者计划陆续将一些有意思文章翻译出来，与大家共同学习下，祝君多挖漏洞。 这篇文章是来自Sucuri Labs，本文介绍了强大的 WordPress 统计分析插件 WP Statistics的一个xss漏洞以及与防火墙的组合利用，文中括号加粗的是我自己分析这个原稿的一些见解，大家可以在评论里一起讨论下。 下面翻译稿正文开始 风险评级：次要：可用于有针对性攻击，但需要特定配置后利用。 漏洞名称：存储型XSS漏洞 修复版本： 12.6.7 WordPress插件WP Statistics具有50万用户的活动安装基础，在12.6.7之前的版本上存在未经身份验证的存储XSS漏洞。 此漏洞只能在某些配置下使用 - 默认设置不易受到攻击。 时间线· 2019/06/26 - 初步与开发人员取得联系。 · 2019/06/27 - 开发人员回应，披露漏洞。 · 2019/06/30 - 拟议审核补丁。 · 2019/07/01 - 版 ...