PHPWind超级漏洞简单用

    [晴 December 13, 2007 09:53 | by ]
题目:PHPWind超级漏洞简单用
文章作者:hackest [H.S.T]&[L.S.T]&[E.S.T]
此文章已发表在《黑客X档案》第5期杂志上
后经本文作者hackest提交到邪恶八进制论坛
欢迎大家转载,但请务必要记住注明此信息!

一、山雨欲来风满楼
  
近来创办了"十六进制"安全论坛,用的程序是PHPWind5.3,那天早上我正在管理自己的论坛,发现有人在发广告,禁言了他之后,就去删除他发的广告帖。没想到删除第一个之后竟然提示密码已被更改,需要重新登录!当时就晕了,论坛程序使用的可是官方的最新的呀,我又没改密码,怎么就要重新登录了呢!无奈之下唯有再次登录,没想到居然提示密码错误了!看来密码真的是改了,不过不是我改的!这正是可怕之处,难道又出来了传说中的0day了,官方最新程序居然中招!那时的我真正体会到"郁闷"两个字的含义了!好在一会儿论坛一个版主告诉我,后台密码是他改的,PHPWind出了0day了,通杀5.0.1和5.3版本,官方暂时还没有补丁!

二、初探虚实

既然真的出了0day,那我也得玩玩咯,嘿嘿。问朋友要了利用程序,英文界面的,据说是外国人发布的说!唉,真不知道是高兴还是悲哀,国人大规模使用的程序,0day却是外国人发现的!压缩包里一共三个文件:一个利用程序,一个记录了使用PHPWind程序的网址,一个说明文本。内容如下:

-----------------------------------------------------------------
|                    PHPWind 5.x Exploits                      |
|                                                              |
|              Powered by HamFast V1.12 20070101            |
|                                                              |
\---------------------------------------------------------------/

ATTANTION: Only do this bug test on your board!
          Don't attack any other site!

-----------------------------------------------------------------
BUGS:
    Here is a very dangerous bug for PHPWind 5.x!!!! You can change
    any user's password or register as a new user.
    
    Ofcouse, you can change the admin's password, then the board will
    be under control.
        
    Maybe 80% of PHPWind boards have this bug.
    
    This tools can exploit PHPWind 5.0.1 AND PHPWind 5.3.
----------------------------------------------------------------

Board Search:
----------------------------------------------------------------

http://www.baidu.com/s?tn=baidu&wd=powered+by+PHPWind+v5.0&ct=0
http://www.google.com/search?newwindow=1&q=powered+by+phpwind+v5.0

利用程序界面如图1。刀有了,去砍谁呢?再三考虑还是决定砍下自己吧。我的论坛程序是官方最新的安装包加升级包加补丁包,试了一下果然有效,我的密码成功更改了!不过写稿的时候,我论坛漏洞已经修复了。所以我用我博客的空间装一个PHPWind5.3,更新到最新状态。测试开始咯!论坛装好的情况见图2。论坛访问地址为:http://www.hackest.cn/phpwind/,所以在利用工具的"Board URL"里填上论坛的网址,在"Username"里填上你要更改密码的用户名(一般当然是改管理员的咯,权限大嘛),在"Password"里填上你更改后的密码,填好之后见图3。这时候你可以先测试下漏洞是否存在,点击"Test Bug"按钮,弹出如图4所示的测试结果窗口,根据提示说明漏洞存在,因为论坛已经更新到最新状态的了,漏洞依然存在,说明果然是0day了!漏洞存在,下一步就是攻击了,点击"Attack"按钮开始攻击(其实就是修改指定用户的密码),弹出如图5所示的攻击结果窗口,根据提示说明已经成功了。然后再到论坛登录,用更改后的密码成功进入了后台,如图6。

三、满城风雨

测试成功了,现在应该去找几个大型一点的论坛练练手了,嘿嘿。第一个目标就是"新世纪网安基地",论坛地址为:http://bbs.520hack.com/,如图7。按照上面所说的依次填好各项,点击"Attack"后提示成功,以管理员身份登录了后台,如图8。后台添加上传类型asa,前台上传asa后缀的ASP马,再到后台附件管理,找到可爱的马儿访问就得到了webshell,如图9。ASP马用着不太爽,就传了个PHP马,如图10。就这样简简单单的几步就拿到了论坛的控制权限了,网站根目录可读可写。至于挂黑页的事我就不做了,呵呵。本来想就此打住的,无意中竟然发现有Serv-U!既然都来了,干脆继续看看吧。于是开始提权,直接用PHP马带的Serv-U提权程序试了一下,让我颇感意外的是堂堂网安论坛服务器竟然可以利用Serv-U成功提权!原来安全也是一般一般嘛。成功添加了一个用户并加进了管理员组,成功登录服务器后如图11。不过进去后不到五分钟时间就被管理员踢了出来,如图12。管理员居然就在服务器前!被踢了几次又进去了几次,还是没能快得过管理员,后来居然关机了!本来想参观下服务器的,居然管理员不给面子就算了吧,呵呵。后来我又试了下我经常上的"邪恶八进制"论坛,当然也成功了,用"冰血封情"老大的ID成功登录了论坛,如图13。

四、漏洞修补

更改了"冰血封情"老大的密码当然要通知他老人家咯,要不然我就成千古罪人了!后来老大又通知了PHPWind官方,官方在不久后就发布了补丁程序,未修补此漏洞的站长可以到下面的地址下载更新补丁:

5.0.1 版补丁下载地址: http://www.phpwind.com/5.0/safe_repair.zip
5.3 版补丁下载地址: http://www.phpwind.com/5.3/safe_repair.zip

到此漏洞的利用就介绍完毕了,至于漏洞的形成原因我就不清楚了,大家可能也对那个没什么兴趣,呵呵。官方的补丁程序修复了两个严重漏洞哦,如果有不妥之处还请各位大侠斧正!也可以到我的论坛来交流交流,当然了,X的论坛我也常上的嘛,嘿嘿。
Tags: ,
Technology | Comments(0) | Trackbacks(0) | Reads(8217)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive