此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践

from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-injection-using-exp/

现在仅支持MySQL、Microsoft SQL Server，以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种插入语、不同的代码环境以及各种不常见甚至奇特的SQL语句，而经常发生变化。

样例仅用于读者理解对于“可能出现的攻击(a potential attack)”的基础概念，并且几乎每一个部分都有一段简洁的概要

Elasticsearch（以下简称es）被越来越多的公司广泛使用，而其本身安全问题也备受关注，最近出现的安全问题比较多，例如影响比较大的漏洞有CVE-2014-3120和CVE-2015-1427。

这些漏洞和es本身没有认证授权机制有很大关系，同时公司内部多业务使用使用同一套es集群的情况非常多，如何做好认证授权的管理的问题尤为凸显。

这是这几天一直关注的漏洞了，wordpress上个礼拜发布的4.2.4版本，其中提到修补了可能存在的SQL漏洞和多个XSS。Check point也很快发出了分析，我也来分析与复现一下最新的这个漏洞。

Wiki一词来源于夏威夷语的“wee kee wee kee”, 是一种多人协作的写作工具。在大型互联网企业（如腾讯、360、小米）的业务线中笔者都有遇见过他们的身影，而其常被用作介绍业务功能的说明书以及内部项目工作协同平台。目前常见且使用率较高的WiKi程序有Miediawiki、DoKuWiKi、HDWiki等，但由于这些程序平时受到关注度不足，程序存在很多设计上面的缺陷并没有被公开和修复，很多甚至足以可以导致服务器被轻松getshell，使其成为互联网企业信息安全的一颗“隐形炸弹”。本文将着重介绍渗透第三方Wiki程序常用的思路，然后附上攻击两个被广泛使用WiKi系统的Expolit和实例危害证明，最后给出解决方案。

要讨论模板引擎的攻击，先来了解下什么是模板引擎

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，用于网站的模板引擎就会生成一个标准的HTML文档。（百度百科） 说白了，就是使得后端数据转换成前端html以及样式的中间应用件。

PS.之前一直想把零零碎碎的知识整理下来，作为知识沉淀下来，正好借着wooyun峰会的机会将之前的流程又梳理了一遍，于是就有了下文。也希望整理的内容能给甲方工作者或则白帽子带来一些收获。

上周有一个朋友问我有没有办法在知道uc的appkey的情况下getshell，刚好我在原来看discuz代码时曾经有过几个相关的想法，但是一直没有仔细去看，接着这个机会去看了下，果然有个很好玩的代码执行漏洞。

eval是Python用于执行python表达式的一个内置函数，使用eval，可以很方便的将字符串动态执行。比如下列代码：

php的比较操作符有==（等于）松散比较，===（完全等于）严格比较，这里面就会引入很多有意思的问题。

在松散比较的时候，php会将他们的类型统一，比如说字符到数字，非bool类型转换成bool类型，为了避免意想不到的运行效果，应该使用严格比较。如下是php manual上的比较运算符表：

什么是Bool型SSRF, 没听说过. 其实我也没有听说过. 只是我也不知道该怎么描述就起了这样一个名称. Bool型SSRF:简单来说就是仅返回True 或 False的SSRF. 就以我前两天我挖掘的一个搜狐SSRF为例, 只有服务器端正确响应HTTP请求并且只有响应码为200的时候，返回Success，其余全部返回Failed. 这就是一个典型的Bool型SSRF.

现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除。

近期，安天安全研究与应急处理中心（安天CERT）的安全研究人员在跟踪分析HaveX家族样本的过程中，意外地发现了Rovnix家族（Trojan/Win32.Rovnix）在建立其恶意代码下载服务器时，也开始使用类似HaveX的方式，即：使用WordPress搭建的网站，或入侵第三方由WordPress搭建的正常网站（HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的）。因此，安天CERT 的研究人员对Rovnix家族展开分析。

最近上(ri)网(zhan)上(ri)多了，各种狗啊盾啊看的好心烦，好多蜜汁shell都被杀了，搞的我自己也想开发这么一个斩马刀，顺便当作毕设来做了。

未知攻，焉知防。我们先来看看shell们都是怎么躲过查杀的：加密、变形、回调、隐藏关键字……总之就是一句话，让自己变得没有特征，这样就可以躲过狗和盾的查杀。但是万变不离其宗，无论怎么变形，最终都会回到类似这样的格式：

2015年7月，Adobe修补了多个漏洞，其中CVE-2015-5090格外显眼，值得深究。但是，Adobe对于这些漏洞只是根据威胁程度进行了排名，并没有给出详情。事实上，攻击者可以利用这个bug以系统权限用来执行代码，即攻击者能够完全接管目标机器。因为这个漏洞影响的是Adobe的更新服务，也就是说，该漏洞同时存在于Adobe Reader和Acrobat Pro软件中。这两个程序都会安装ARMSvc服务（更新程序），并且都把AdobeARM.exe/AdobeARMHelper.exe存放在c:\progra~1\common~1\Adobe\ARM\1.0目录下面。