这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
% C8 a( O$ Q5 u; n5 E5 L6 B3 |8 y# M3 j- o3 W
( I8 H7 I) B3 v) Z6 Y m+ f这是帝国的一套下载系统 如图
) _& `# S j) i3 h5 t! v3 xps(不需要任何账户和密码,直接写shell)
, `8 o# V) _# ^( R f. k
由于很多站是由于下载要整合discuz 等等一些论坛....& [8 c) E+ n z% I; u, O6 n
+ v0 h% ?) o$ D; G" q* Y而帝国他又有一个万能接口,如图 4 Z# ?8 `+ N* |# J N. o5 `2 h
+ R1 e- O" u" T' i4 Z* a$ @, g! n) B6 {: T0 y7 e) Q4 C; n
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码3 o w8 ^" p$ f- P6 c( M
( D! m8 u: a' n0 T) j当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪6 y# `; V9 W1 W2 D, r
0 p/ a' \0 [; Q) v
在data/fun.php中的15行* M) A0 Z5 ]' b
! ]% b& f/ ~# H1 [: J! d' O& d我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
1 s$ s( R9 a1 h2 ^4 ?17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干( m* Q4 n3 m' W( F
* e7 ]4 B. h" |, U# |
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);" l3 [" b5 F* t# v) @+ Q r
4 S" w4 t8 C( z) O8 X' h他将传进来的变量进行了切割,然后赋给了$filetext
9 i) V! ?# {. F+ V' b* e3 p! C# o+ `# L. V
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
5 P5 C# q! ~$ _( G& ~" \ X! e" n. i: L: x" m
我们看看写入的结果,随便填一个 : e7 B/ q6 [" |4 y$ M
7 B- F$ l( T& M8 R
' Q: N+ j7 t+ D7 q! \. S& H+ q- u0 V% l1 f7 V$ n# @% r6 Q
* b8 ?% z$ Y0 I- ~' P: ?7 C
# ~" g1 Q C. e+ K0 Z
+ g0 T" K8 s! F( L5 l7 G) H+ V8 Z
]5 _5 o" R6 V, ^+ k! G- e& U8 Q) p: h x5 Y+ Q
8 ~- d+ E5 H" p* [! t" c7 M& M/ g0 _" l
. J% ~( C q; T9 ~
! E6 p. U& T: Q+ t$ ^" S/ R6 Z# o
* M4 }, G% |% y2 C0 h" X8 ]& E, u
7 J; y7 s1 U' v$ q' i2 x" t0 p; @! ]1 r3 p
9 s0 y- a, I& ~. l6 T1 [5 U
4 _; i7 `4 r2 \
% s4 w% I9 I$ W! R2 d" t7 J' n' O% w" j
; C" j* J, }; i) u- n所以我们淫荡点,写个${@phpinfo()}试试
% G& L* \3 _$ ?0 a1 O0 R B然后访问以下class/user.php这个文件$ W0 D9 A4 P2 b
日了吧
! p9 N5 ] h, i T8 U9 ^
0 a4 t2 P5 U7 {+ c; ~% {0 \
) J8 a; d3 R/ n t9 c
4 Q- `; Q( z. `7 D/ ~4 `) w. W
, S0 O7 p8 ], y1 f1 n0 }# Z* u% ]0 e
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对