0x00 前言

看编号就知道是个比较老的洞了,最近测东西的时候又碰到，找了点资料大致看了下形成原因，然后再分享下POC。

0x01 漏洞描述

Apache HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头信息，HTTP请求头信息超过LimitRequestFieldSize长度时服务器返回400（Bad Request）错误，并在返回信息中将出错请求头内容爆出，攻击者可以利用该漏洞获取httponly cookies。

受影响软件版本：
Apache Http Server:
Affected: 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17, 2.2.16, 2.2.15, 2.2.14, 2.2.13, 2.2.12, 2.2.11, 2.2.10, 2.2.9, 2.2.8, 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2, 2.2.0

细节：

1、当HTTP请求头长度大于apache配置LimitRequestFieldSize长度时，服务器返回400错误页面中会携带LimitRequestFieldSize长度的错误请求头内容，如Cookies，User-agent等。

2、HTTP请求头长度不包含HTTP请求头名称与“：”。

3、Cookies请求头不包含多个cookies之间的空格，为实际多个cookies的长度总和。

4、Apache默认配置LimitRequestFieldSize长度为8196，浏览器正常访问默认截取请求头长度最大为4k

5、任意请求头（不限制于Cookie）超过LimitRequestFieldSize长度，服务器都会返回400错误并显示原始错误请求头信息。

0x02 漏洞分析

在ap_get_mime_headers_core中，该函数对于两种错误http请求的检查返回的信息出现了问题。

1.缺陷代码如下，在检测http_header超长后会返回Bad Request并将错误的部分返回给浏览器

2.如果检查HTTP请求头中的某个域不包含冒号，则也返回错误的部分

阅读剩余部分 –

0x01 About

大家都比较熟悉nmap，nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。

今天分享一下python-nmap，是python的一个模块库，使用这个模块可以让python很方便的操作nmap扫描器来工作，它可以帮助管理员完成自动扫描任务和生成报告的工具，它还支持nmap的脚步输出。

python-nmap只提供了nmap中的端口扫描，但输出方式会让人便于信息整理。

前提：使用python-nmap你得先装有nmap该软件

Install from PIP

阅读剩余部分 –

最近看到WooYun-2014-69833报告中对swfupload.swf、uploadify.swf造成的flash xss 分析,由于涉及范围广（国内各大cms厂商，包括但不限于dedecms、phpcms、cmseasy、espcms、phpyun、thinksns、骑士人才系统、phpdisk、国微php168、phpok、kesioncms、pageadmin、xheditor、sdcms、emlog、dtcms等）命中率应该还可以，便给Tangscan提交了几个此类型插件，这里也分享一下代码。

先看下漏洞成因

代码可见，从参数（root.loaderInfo.parameters.movieName）中获得movieName后直接赋值到一些callback响应函数中，这些函数是js中执行的内容。我们只需闭合前面的”]，再闭合try..catch中大括号}，即可执行自己的javascript代码，造成反射型XSS。

因为是flash xss，而且没有过多关键字，所以无视浏览器filter和大部分WAF（因为在前端运行），所以影响较大，轻则越权操作、产生XSS、csrf蠕虫，重则直接getshell（结合某些cms的后台getshell技巧）。

分享下phpcms V9 /swfupload.swf XSS POC

• TangScan-ID：TS-2014-17843

爆破邮箱时候，搜集了许多用户名或者用top500来爆破，有的时候需要类似xxx@xxx.com 所以顺手写了一个每行自动加字符的小脚本

原来保存过的一个企业爆破脚本，单线程，测试时还是有所帮助的。