这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
1 i* u5 H/ ?+ J% W- ^" s7 z7 F8 {% O; w% N
6 z" `$ T/ v }! N
这是帝国的一套下载系统 如图" I: T; G9 B! A" k R
ps(不需要任何账户和密码,直接写shell)
( q: ?/ X/ `1 h/ G由于很多站是由于下载要整合discuz 等等一些论坛.... u3 O, z' g; K. h
0 }6 F5 L. }) S' y5 v而帝国他又有一个万能接口,如图 - G( I9 i$ f# J
8 F; j7 g7 t/ q+ J
# C# n0 K; V0 o: A+ Z3 t7 L% |而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码" B2 g( c: w* B `& [! d& O
' _; R1 P8 n$ ]8 M
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
8 ?" s0 a& v) z
. ^, ?3 |- K7 z在data/fun.php中的15行
' `. F. r( R: m! v: g/ F; H7 A d8 i0 W3 `0 | ^2 l! d
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
9 F, ]0 J3 _/ A% R" u2 g/ X17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
5 a& R! g* w5 ^8 l. l4 e0 N* z* ]" v9 p4 S* E
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);9 T) b# Y- k& \
1 K% J! M0 g, y
他将传进来的变量进行了切割,然后赋给了$filetext8 _5 u$ L: ]; d: M1 u: n3 C6 g: C
+ }& R2 L2 a i& D1 C然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
- E6 f1 e5 [0 m3 ?9 p) x2 I: w. [) o4 S4 W8 _6 N' n9 I: u- g7 j
我们看看写入的结果,随便填一个
% p( h! p. z9 E& e3 q8 Z8 A+ z2 d0 X; N+ w: I. n7 u9 \
9 I- X0 m4 g, b& G4 m. z: t- P7 [. }! C# o! `; n3 U) b
) U( u2 b" ]5 e7 w/ p
9 \0 B: L2 l# P' f3 L2 q O; S5 k5 }* q: z) P8 [
: S* C# R6 S7 u
2 h3 h# V8 i5 G% p+ J% [" P$ @& ]2 W5 J+ _
4 m; N7 u/ F, r h4 S3 W1 S$ p: p
3 }% f2 o" C6 } ~! Q
; U! s- C, ]2 @$ C
1 U5 U! I p3 H8 f0 T3 S0 {: K' K8 e: j' o
' Q. }9 P8 w: d/ h
/ L' s& q; O& O( q
5 m# n- V3 T% Z9 z+ b( N! z6 u5 `$ u/ r7 q3 K; j5 h
" e8 {3 M8 e: h2 `2 u( {# r0 M9 K4 k! S$ t( p" J( f2 C. k
所以我们淫荡点,写个${@phpinfo()}试试
( S' Y$ j8 z) B& l& \然后访问以下class/user.php这个文件 ?# s6 L7 b% e; {- X5 q: G9 ]
日了吧
- L4 H3 F# B4 A7 s
6 o/ _; M% c* Z+ a5 z
j/ H( {: y' Y, d# A7 c. A3 R4 ^9 l
6 f- b: K& Y3 B, N2 x, v+ _) a
, H5 H* U, F+ g- S( P |