这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
7 ^$ c/ x4 H0 s
0 s# Y/ X9 J" u$ m ^$ y
9 d# h2 e4 {" `9 L9 |/ U+ A: U B- m这是帝国的一套下载系统 如图
9 S9 k5 @' F( y# ips(不需要任何账户和密码,直接写shell)
# j& r% r) q' c' Y* R, A
由于很多站是由于下载要整合discuz 等等一些论坛....; t' _, D3 Z# v2 F3 f
0 y: F+ H: q" }& g2 V. k" b
而帝国他又有一个万能接口,如图 6 @$ O. x# n% u1 s" m1 z# Y3 l3 s
1 C% v$ O$ d$ J6 e0 J S, [, J' g8 P8 T
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
& `' j: u# Q) h Q& D9 {+ G5 @6 R+ b7 T( o% |( N* q! u' P+ z
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
9 x1 D% v3 g0 h5 w$ D, G9 d* B4 r) ?
在data/fun.php中的15行/ k; ]* D" e d
4 `* [) V( D% J$ z4 G+ a% ^我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
& p9 @5 \6 V" k" `17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干( r4 V; y6 W+ _0 [+ o& R
$ [# C8 b, G; {5 K& G9 q3 f
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);& o @3 I7 G! Z- K" n
. A& s: y8 ?. J; E他将传进来的变量进行了切割,然后赋给了$filetext
* t p3 Z( w- ~+ S _% R: @* D0 R
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
& `- {; K; S8 g" X6 F, M
! l q9 O _% {" B# |我们看看写入的结果,随便填一个
* e4 n- Y/ m" v
1 g$ x0 z& `8 r: D# p4 K. L
* L, }' \6 s6 U3 J( \4 q' S1 D# C( ]% U$ j6 \! x7 L& P
: j' y# g9 W& p8 e& G8 D
0 ~, q) l `) S! e) j
. }" l& |6 w6 h3 C# ]* U9 A @" a! S! @4 y; Y" D( b* ]! s
0 Q! @4 S; t! c) q- p, ], Y' F! `& f, d: V
8 m3 f9 u3 l, Z, k; S% I0 {2 Z" ?! X) z8 W
) K; S9 b* `4 T6 N9 `- G+ g$ T$ \: |; E3 o( \: r$ B
9 B9 K! `/ W! W1 k
6 n" c; A8 C) X4 Q9 I. b$ W9 k Q5 U$ S$ I
' w5 h) d- {( r" q) D
# q6 l7 ^( u( U4 `$ D0 P3 x5 }
! Y3 e+ O; k" I, X! M# @4 ~: x* p' ^5 n; J( @8 j, Z# X _7 J
4 B/ O5 i1 ]$ J3 Y2 W- N. W- J( o) [
所以我们淫荡点,写个${@phpinfo()}试试 4 G1 I* j: v( _9 H& j! H2 j6 d
然后访问以下class/user.php这个文件0 e/ b/ H- q' b \4 h3 f
日了吧 " A( q5 L; u# h9 O' C6 ~' q F
5 w& ]) Z% J6 E6 t5 i
( o, P7 c) y! ~
! l _" y$ }' \+ J' ^4 X6 [: Y; P- m9 ~; J* n) k, A& L
! ^+ h( l. p7 V1 W0 w2 q1 s
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对