MoinMoin 'moinmelt.py'任意命令执行漏洞

发布日期:2013-05-08
更新日期:2013-05-11

受影响系统:
MoinMoin MoinMoin Wiki Engine
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59728
 
MoinMoin是一个基于Python环境的wiki引擎程序,支持包括中文在内的多语种特性。
 
MoinMoin在moinmelt.py的实现上存在安全漏洞,攻击者可利用此漏洞执行任意命令。
 
<*来源:HTP
 
  链接:
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
#!/usr/bin/env python
 # -*- coding: utf-8 -*-

ascii = '\x1b[1;31m'###########################################################################
 ascii +='                                                                                \r\n'#
 ascii +=' ██████████    ██████  ███  ███  ███    ██████████  ████████  ███    ███████ \r\n'#
 ascii +=' ███████████  ████████  ███  ████ ███    ███████████  ████████  ███    ███████ \r\n'#
 ascii +=' ██&#9618; ██&#9618; ██&#9618;  ██&#9618;  ███  ██&#9618;  ██&#9618;█&#9618;███    ██&#9618; ██&#9618; ██&#9618;  ██&#9618;      ██&#9618;      ██&#9618;  \r\n'#
 ascii +=' &#9618;█&#9618; &#9618;█&#9618; &#9618;█&#9618;  &#9618;█&#9618;  █&#9618;█  &#9618;█&#9618;  &#9618;█&#9618;&#9618;█&#9618;█&#9618;    &#9618;█&#9618; &#9618;█&#9618; &#9618;█&#9618;  &#9618;█&#9618;      &#9618;█&#9618;      &#9618;█&#9618;  \r\n'#
 ascii +=' █&#9618;&#9618; &#9618;&#9618;█ █&#9618;█  █&#9618;█  &#9618;█&#9618;  &#9618;&#9618;█  █&#9618;█ &#9618;&#9618;█&#9618;    █&#9618;&#9618; &#9618;&#9618;█ █&#9618;█  █&#9618;&#9618;&#9618;&#9617;&#9618;    █&#9618;&#9618;      █&#9618;&#9618;  \r\n'#
 ascii +=' &#9618;█&#9618;  &#9618; &#9618;█&#9618;  &#9618;█&#9618;  &#9618;&#9618;&#9618;  &#9618;&#9618;&#9618;  &#9618;█&#9618;  &#9618;&#9618;&#9618;    &#9618;█&#9618;  &#9618; &#9618;█&#9618;  &#9618;&#9618;&#9618;&#9618;&#9618;&#9617;    &#9618;&#9618;&#9618;      &#9618;&#9618;&#9618;  \r\n'#
 ascii +=' &#9618;&#9618;&#9617;    &#9618;&#9618;&#9617;  &#9618;&#9618;&#9617;  &#9618;&#9618;&#9618;  &#9618;&#9618;&#9617;  &#9618;&#9618;&#9617;  &#9618;&#9618;&#9618;    &#9618;&#9618;&#9617;    &#9618;&#9618;&#9617;  &#9618;&#9618;&#9617;      &#9618;&#9618;&#9617;      &#9618;&#9618;&#9617;  \r\n'#
 ascii +=' &#9617;&#9618;&#9617;    &#9617;&#9618;&#9617;  &#9617;&#9618;&#9617;  &#9618;&#9617;&#9618;  &#9617;&#9618;&#9617;  &#9617;&#9618;&#9617;  &#9618;&#9617;&#9618;    &#9617;&#9618;&#9617;    &#9617;&#9618;&#9617;  &#9617;&#9618;&#9617;        &#9617;&#9618;&#9617;      &#9617;&#9618;&#9617;  \r\n'#
 ascii +=' &#9617;&#9617;&#9617;    &#9617;&#9617;  &#9617;&#9617;&#9617;&#9617;&#9617; &#9617;&#9617;  &#9617;&#9617;  &#9617;&#9617;  &#9617;&#9617;    &#9617;&#9617;&#9617;    &#9617;&#9617;    &#9617;&#9617; &#9617;&#9617;&#9617;&#9617;  &#9617;&#9617; &#9617;&#9617;&#9617;&#9617;  &#9617;&#9617;  \r\n'#
 ascii +='  &#9617;      &#9617;    &#9617; &#9617;  &#9617;  &#9617;    &#9617;&#9617;    &#9617;      &#9617;      &#9617;    &#9617; &#9617;&#9617; &#9617;&#9617;  &#9617; &#9617;&#9617; &#9617; &#9617;  &#9617;    \r\n'#
 ascii +='                                                                                \r\n'#
 ascii +='        ~[  PoC v2 : Remote arbitrary command execution for MoinMoin  ]~        \r\n'#
 ascii +='\x1b[0m'##############################################################################

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/psswg.html