6 k9 a+ l3 k$ V
这是帝国的一套下载系统 如图1 ]1 b2 L. o4 O+ ~2 J& m- D
ps(不需要任何账户和密码,直接写shell)
由于很多站是由于下载要整合discuz 等等一些论坛....
而帝国他又有一个万能接口,如图
7 J# o& Z, C1 R4 b9 n而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码2 z H1 {' {+ B6 E8 `4 X, H' l3 k
. O8 r1 N0 s3 {- X% P3 t
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig
复制代码
他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
0 }3 N1 F9 G3 r1 D
在data/fun.php中的15行 l+ y* k% c2 _( g' y( p* U
# v B+ z( c* s1 R. F; R
我们可以看到这个函数
复制代码
.....//省略若干# o5 x1 _& \4 b7 ]
! H2 D. } \ m& ^# S
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);$ P4 T& O: S9 h7 Z" ]' H
他将传进来的变量进行了切割,然后赋给了$filetext8 m5 k& }3 T; f2 i! N7 M2 h2 W
然后看下面
复制代码
打开了一个class/user.php文件,然后将$filetext写入了2 J+ r" P( I W5 i: w3 D) ~
我们看看写入的结果,随便填一个
所以我们淫荡点,写个${@phpinfo()}试试
3 b8 v6 f+ k& S! e# k) c+ \然后访问以下class/user.php这个文件
日了吧
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |