162100网址导航最新0day


May 25 2014

162100网址导航最新0day

首页 » 原创作品 » 162100网址导航最新0day   

162100网址导航最新0day

这个我已经发过在暗月信息安全论坛

论坛每天更新 ,欢迎各界热爱安全技术的人加入。

作者:mOon
出处:www.moonsafe.com 博客 www.moonsec.com

程序描述:
162100网址导航,绿色快捷,包含各种方便实用功能,是您设为上网主页的最好选择。
162100网址导航3号 5.7 更新说明:
1.修正了批量导入网址时,只能导入网址,而网站名称为空的问题。
2.修正了栏目分类页面的分页错误。
3.增加了栏目头栏和分类头栏预览功能,非常实用。
4.丰富了一些默认名站应用。
5.完善了其它若干处代码。

描述:
这个版本是官方最新的版本,这个版本以前的漏洞都修补l。
前段时间弄项目的时候刚才碰上,就挖了一个。成功搞定目标站。
此后就没有用过,还有说一下,因为这种特定环境真的是不多。
放出来 小伙伴拿去玩把。

漏洞页面:
mingz.php

<?php

/* 名站模块 */
/* 162100源码 - 162100.com */


@ require ('set/set.php');
@ require ('set/set_sql.php');
@ require ('set/set_area.php');

if (!function_exists('get_m')) {
  function get_m($v) {
    global $web, $n;
    $text = '';
    if ($web['link_type'] == 1) {
      //$link = '"export.php?url=".urlencode($h[0]).""';
      $link = '"".($h[3] == "js" ? $h[0] : "export.php?url=".urlencode($h[0])).""';
    } else {
      $link = '"".($h[3] == "js" ? "export.php?url=".urlencode($h[0]) : $h[0]).""';
    }
    if ($v = trim($v)) {
          $total_arr = @explode("\n", $v);
      $n = count($total_arr);
          if ($n > 0) {
        $text .= '<div id="mingz_">';
        foreach ($total_arr as $each) {
          $h = @explode("|", trim($each));
          $text .= '<span><a onclick="addM(this)" href="'.eval('return '.$link.';').'"'.($h[2] != '' ? ' class="'.$h[2].'"' : '').'>'.$h[1].'</a></span>';
        }
        $text .= '</div>';
          }
    }
    return $text;
  }
}

$_GET['run'] = (string)$_GET['run'];

if ($_GET['run'] == 'collection') {
  $title = '自定义网址';
  $require = 'collection';
} elseif ($_GET['run'] == 'notepad') {
  $title = '记事本';
  $require = 'notepad';

} elseif ($_GET['run'] == 'search_site') {
  $title = '站内搜索';
  $require = 'search_site';

} else {
  if (array_key_exists($_GET['run'], $web['area']['mingz'])) {
    $title = $web['area']['mingz'][$_GET['run']][0];
    $text = '';
    $n = 0;
    if (!isset($sql['db_err'])) {
      db_conn();
    }
    if ($sql['db_err'] == '') {
        echo 'SELECT class_title,http_name_style,class_priority FROM `'.$sql['pref'].'162100` WHERE column_id="mingz" AND class_id="'.$_GET['run'].'" AND detail_title="" LIMIT 1', $db;
      $result = @mysql_query('SELECT class_title,http_name_style,class_priority FROM `'.$sql['pref'].'162100` WHERE column_id="mingz" AND class_id="'.$_GET['run'].'" AND detail_title="" LIMIT 1', $db);
      if ($row = @mysql_fetch_assoc($result)) {
        
        $text .= (preg_replace('/<style.+<\/style>/isU', '', trim($row['class_priority'])) != '' ? '<style type="text/css">
<!--
.class_priority {}
-->
</style><div class="class_priority">'.$row['class_priority'].'</div>' : $row['class_priority']).''.get_m($row['http_name_style']).'';
      } else {
        $err = '数据为空或读取失败!';
      }
      @mysql_free_result($result);
    } else {
      $err = $sql['db_err'];
    }
    @mysql_close();
  } else {
    $title = '参数出错!';
  }
}


?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Page-Enter" content="blendTrans(Duration=1)" />
<meta http-equiv="Page-Exit" content="blendTrans(Duration=1)" />
<title><?php echo $title.' - '.$web['sitename2'], $web['code_author']; ?></title>
<base target="_blank" />
<link href="inc/css/css_base.css" rel="stylesheet" type="text/css">
<link href="inc/css/style/color_<?php echo preg_replace('/_\d+$/', '', $web['cssfile']); ?>/css.css" rel="stylesheet" type="text/css" id="my_style_color">
<link href="inc/css/style/bj_<?php echo $web['cssfile']; ?>/css.css" rel="stylesheet" type="text/css" id="my_style_bj">
<style type="text/css">
<!--
body { width:720px; background-color:transparent; background-image:none; }
-->
</style>
<script type="text/javascript" language="javaScript" src="inc/js/main.js"></script>
<script language="javascript" type="text/javascript">
<!--
//调出用户信息弹窗
window.onload=function(){
  document.body.style.backgroundColor='#FFFFFF';
  try {
    parent.document.getElementById('t1Frame').height=document.body.offsetHeight;
  }catch(e){
  }
}
//-->
</script>
</head>
<body>
<?php

//<!-- require -->
if (isset($require)) {
  @ require ('inc/run/get_mingz_'.$require.'.php');//此处是个本地包含漏洞。
www.moonsec.com www.moonsafe.com
} else {
  echo $text, $err;
}
//<!-- /require -->

?>

</body>
</html>
利用方法:

环境需要开启gloabs全局
利用如图:

111457y5uuziw35m7huzku.png

本套系统还有其他漏洞的,不过多数出现在member。假如没开注册 那就没什么用了,我就没有深究了


如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: 代码审计 162100漏洞 162100网址导航漏洞

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «学员渗透录十六 诠释工具渗透的魅力 | MYSQL低权限读取ROOT密码工具(暗月内部原创工具)»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~