由PHP168任意文件下载0DAY到服务器提权
2008-12-15 13:38:26 来源:WEB开发网本人菜鸟一个,从来没有搞过PHP的,每次遇到PHP网站便鸣金收兵(真切的感受到没有技术的悲哀)。最近听说PHP168爆出了任意文件下载漏洞,于是我便萌生了研究的想法(总是躲着也不是办法呀)。到网上搜了资料看了半天,结果还是一头雾水,最后请教了一下我的好哥们儿“Dream an end”,听完他的讲解我才如梦初醒,令我吃惊的是这样的漏洞严重到不可饶恕,我随便找了一个网站测试了一下,竟然意外的拿下了该服务器的3389权限。
1.PHP168任意文件下载漏洞原理
这里说明一下,这个漏洞出现在网站根目录下的job.php文件,这个文件原本是提供下载文件附件功能的,可是在对参数进行处理时出现了问题,这就导致我们可以下载网站目录下的所有文件,而且在/cache/adminlogin_logs.php文件里保存着网站管理员的登陆日志,管理员的账号和密码也都会记录在里面,我们可以利用PHP168的这个漏洞直接将/cache/adminlogin_logs.php这个文件下载到本地。
2.使用simplegoog工具搜索使用PHP168系统的网站
闲话少说,大家看我操作。首先要搜一下使用php168系统的网站,直接用Google,百度又慢又累人,这里我介绍大家一款叫做simplegoogl的工具(http://www.antian365.com/bbs/forumdisplay.php?fid=180),直接在搜索框输入“powered by PHP168 inurl:job.php”点搜索,如图1所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图1使用simplegoog工具搜索结果
3.使用转换工具进行Base64地址转换
在simplegoog工具右边出来一大批链接网址,可以根据需要选择去除重复和保存URL的功能。随便点了一个网站,直接访问漏洞文件http://xxxx/job.php,结果返回一片空白,这说明漏洞文件是存在的。由于job.php文件的url=后面接收的参数需要经过base64加密,所以我们用工具转换一下,转换结果如图2所示。
更多精彩
赞助商链接