[原创]PHPBB 2.0.22 MOD版最新注入漏洞
文章作者:hackest [H.S.T]信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
[b]注:此文章已发表在《黑客X档案》第10期杂志上,后由作者友情提交到邪恶八进制论坛,转载请注明出处![/b]
文章难易度:★★★
文章阅读点:PHPBB简体中文MOD版最新注入漏洞的详细利用和如何在后台获取Webshell
PHPBB是国内使用非常多的一款PHP论坛程序,该套论坛还有不少的台湾用户呢!这次出现的注入漏洞主要是针对PHPBB简体中文MOD版,连最新的2.0.22版本也受影响(通杀低版本的PHPBB2 MOD版)。关于该漏洞的形成原因我们不作讨论,有兴趣的朋友可以自己阅读代码分析一下,本文将主要介绍该漏洞的详细利用以及如何在后台拿到Webshell。
我到PHPBB中文官方网站下载了最新版本的2.0.22,在本机搭建了PHP环境以做测试。要寻找使用这套程序的论坛可以在Google里以“Powered by phpBB 拿着别人发现的EXP来演示, 和初级教程一样.
很难加入到原创系列! 原创文章!我没说是原创漏洞!
鉴于我技术十分的有限,所以只能写些初级教程娱乐大众
期待楼上的大大发布一些非初级教程类的文章给大家学习
to 2楼,利用工具下载地址:
[url]http://www.hackest.cn/tools/PHPBB2.0.22.rar[/url] *** 作者被禁止或删除 内容自动屏蔽 *** 要是MOD版的才可以的 早弄过了,不过后台拿SHELL一直迷惑至今 [quote]引用第5楼hackest于2007-10-22 17:13发表的 :
要是MOD版的才可以的[/quote]
哪里可以看出是MOD版本,谢谢 终于找到一个,但是不紧张被挂木马,还有出了点问题
C";cellspacing=1;dn=3;rn=2;tali="left";tbh=125;tbw=555;adsc=""</script><script language=javascript src='http://ads.lupaworld.com/comm.js'></script>
</td></tr></table></center>
<div>
<a id="bottom" name="bottom" accesskey="z"></a>
</div>
</body>
</html>
User:<!DOCTYPE
Pass2:
密码无法显示
页:
[1]