PHPWind超級漏洞簡單用

題目：PHPWind超級漏洞簡單用
文章作者：hackest [H.S.T]&[L.S.T]&[E.S.T]

此文章已發表在《駭客X檔案》第5期雜誌上
後經本文作者hackest提交到邪惡八進位論壇
歡迎大家轉載，但請務必要記住註明此資訊！

一、山雨欲來風滿樓
 
近來創辦了"十六進位"安全論壇，用的程式是PHPWind5.3，那天早上我正在管理自己的論壇，發現有人在發廣告，禁言了他之後，就去刪除他發的廣告帖。沒想到刪除第一個之後竟然提示密碼已被更改，需要重新登入！當時就暈了，論壇程式使用的可是官方的最新的呀，我又沒改密碼，怎麼就要重新登入了呢！無奈之下唯有再次登入，沒想到居然提示密碼錯誤了！看來密碼真的是改了，不過不是我改的！這正是可怕之處，難道又出來了傳說中的0day了，官方最新程式居然中招！那時的我真正體會到"鬱悶"兩個字的含義了！好在一會兒論壇一個版主告訴我，後台密碼是他改的，PHPWind出了0day了，通殺5.0.1和5.3版本，官方暫時還沒有補丁！

二、初探虛實

既然真的出了0day，那我也得玩玩咯，嘿嘿。問朋友要了利用程式，英文介面的，據說是外國人發布的說！唉，真不知道是高興還是悲哀，國人大規模使用的程式，0day卻是外國人發現的！壓縮包裡一共三個檔案：一個利用程式，一個記錄了使用PHPWind程式的網址，一個說明文本。內容如下：

-----------------------------------------------------------------
|                    PHPWind 5.x Exploits                      |
|                                                              |
|              Powered by HamFast V1.12 20070101            |
|                                                              |
/---------------------------------------------------------------/

ATTANTION: Only do this bug test on your board!
          Don't attack any other site!

-----------------------------------------------------------------
BUGS:
    Here is a very dangerous bug for PHPWind 5.x!!!! You can change
    any user's password or register as a new user.
   
    Ofcouse, you can change the admin's password, then the board will
    be under control.
       
    Maybe 80% of PHPWind boards have this bug.
   
    This tools can exploit PHPWind 5.0.1 AND PHPWind 5.3.
----------------------------------------------------------------

Board Search:
----------------------------------------------------------------
http://www.baidu.com/s?tn=baidu&wd=powered+by+PHPWind+v5.0&ct=0
http://www.google.com/search?newwindow=1&q=powered+by+phpwind+v5.0

利用程式介面1。刀有了，去砍誰呢？再三考慮還是決定砍下自己吧。我的論壇程式是官方最新的安裝包加升級包加補丁包，試了一下果然有效，我的密碼成功更改了！不過寫稿的時候，我論壇漏洞已經修複了。所以我用我部落格的空間裝一個PHPWind5.3，更新到最新狀態。測試開始咯！論壇裝好的情況見圖2。論壇訪問地址為：http://www.hackest.cn/phpwind/，所以在利用工具的"Board URL"裡填上論壇的網址，在"Username"裡填上你要更改密碼的使用者名稱（一般當然是改管理員的咯，許可權大嘛），在"Password"裡填上你更改後的密碼，填好之後見圖3。這時候你可以先測試下漏洞是否存在，點擊"Test Bug"按鈕，彈出4所示的[測試結果] 視窗，根據提示說明漏洞存在，因為論壇已經更新到最新狀態的了，漏洞依然存在，說明果然是0day了！漏洞存在，下一步就是攻擊了，點擊"Attack"按鈕開始攻擊（其實就是修改指定使用者的密碼），彈出5所示的攻擊結果視窗，根據提示說明已經成功了。然後再到論壇登入，用更改後的密碼成功進入了後台，6。

三、滿城風雨

測試成功了，現在應該去找幾個大型一點的論壇練練手了，嘿嘿。第一個目標就是"新世紀網安基地"，論壇地址為：http://bbs.520hack.com/，7。按照上面所說的依次填好各項，點擊"Attack"後提示成功，以管理員身份登入了後台，8。後台添加上傳類型asa，前台上傳asa尾碼的ASP馬，再到後台附件管理，找到可愛的馬兒訪問就得到了webshell，9。ASP馬用著不太爽，就傳了個PHP馬，10。就這樣簡簡單單的幾步就拿到了論壇的控制許可權了，網站根目錄可讀可寫。至於掛黑頁的事我就不做了，呵呵。本來想就此打住的，無意中竟然發現有Serv-U！既然都來了，乾脆繼續看看吧。於是開始提權，直接用PHP馬帶的Serv-U提權程式試了一下，讓我頗感意外的是堂堂網安論壇伺服器竟然可以利用Serv-U成功提權！原來安全也是一般一般嘛。成功添加了一個使用者並加進了Administrator 群組，成功登入伺服器後11。不過進去後不到五分鐘時間就被管理員踢了出來，12。管理員居然就在伺服器前！被踢了幾次又進去了幾次，還是沒能快得過管理員，後來居然關機了！本來想參觀下伺服器的，居然管理員不給面子就算了吧，呵呵。後來我又試了下我經常上的"邪惡八進位"論壇，當然也成功了，用"冰血封情"老大的ID成功登入了論壇，13。

四、漏洞修補

更改了"冰血封情"老大的密碼當然要通知他老人家咯，要不然我就成千古罪人了！後來老大又通知了PHPWind官方，官方在不久後就發布了補丁程式，未修補此漏洞的站長可以到下面的地址下載更新補丁：

5.0.1 版補丁: http://www.phpwind.com/5.0/safe_repair.zip
5.3 版補丁: http://www.phpwind.com/5.3/safe_repair.zip

到此漏洞的利用就介紹完畢了，至於漏洞的形成原因我就不清楚了，大家可能也對那個沒什麼興趣，呵呵。官方的補丁程式修複了兩個嚴重漏洞哦，如果有不妥之處還請各位大俠斧正！也可以到我的論壇來交流交流，當然了，X的論壇我也常上的嘛，嘿嘿。