这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
4 h, v$ q/ F y8 y3 O% z5 a( J
+ V( v |9 p0 _0 U. K# Y4 v H0 x& W0 J& L. T
这是帝国的一套下载系统 如图
; u- {% S+ `3 q5 U, \! zps(不需要任何账户和密码,直接写shell) ]0 a3 G/ r$ [1 [4 Z, c% Z
由于很多站是由于下载要整合discuz 等等一些论坛....
) b# m) @/ m! S% p# Z
* }& m1 f- w Q: m$ L+ F而帝国他又有一个万能接口,如图
3 t7 m) j% z& f8 b3 ], F
8 p" Y6 a }& I" m" n! H: \2 O- o7 Q# V3 f6 @( w$ v5 B o/ V! p
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
1 e2 Z O- G* W0 S P# ^
! G6 e5 y' W @5 A6 F当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
. z! r V8 C4 q; N' _6 a- O( a: H" F1 O6 m4 r/ z' H7 r
在data/fun.php中的15行
7 B* F% O. _) Z: H3 L5 P& x/ `# p: a; R2 Z V: p
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {# `* k6 |* T7 G+ p! n
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干8 Q Y p1 J7 }+ F) z" ]3 F
5 w7 W' s! Y( p: L" O这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
4 w. {% n% T9 C' n! J7 O% J
* h# a: T: P$ d* f3 d# A( d& ]$ Z7 P他将传进来的变量进行了切割,然后赋给了$filetext) s3 u& s& ~# t$ D# l
5 q p8 U) y0 g$ i: W( r. v然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
B! Y) P5 j) {+ [# E# L
( K4 \ G1 G0 F- N, B我们看看写入的结果,随便填一个 ~/ w: f2 K( V
8 |. Z* |9 R& u: W1 t" w8 b
/ @6 G3 J9 }, B5 G( Q
: J& C7 X. q7 M) w! p+ L( x
1 H% `1 B) c3 N; k& L4 \ l O& Q4 a
# M' A: T# p# M7 R" s7 v6 d) w- z
) V# B6 T5 z% J/ T" l$ l; k) `" J/ o9 _1 p8 A' A. g1 V
9 s/ d @' O$ a9 R0 U4 F6 T$ H! P, a1 v) V; Z7 K2 m. d* q+ N
3 c3 f. ^& b* a. m
. q0 S: X8 T5 c, F& E
0 J9 L) n: n7 l. t7 g( g* k' ^1 G1 b" c6 v1 ~4 `6 k
* _1 V( e+ C o, ]
0 G* N4 E2 R# j
. a% a. H- d6 ~! z/ Y, {
" y9 E; z) w' ~" b! |
1 P- C8 l8 N3 {! j U2 @9 l: W* ]# v- y; F# U/ X- K+ n
4 N+ u9 c; V) Z- N6 X
所以我们淫荡点,写个${@phpinfo()}试试
: [( R. s, A" a" a( _# C然后访问以下class/user.php这个文件* W$ _9 `; K2 P1 k% V! f8 F$ S
日了吧
; v0 |. R3 P+ u; _% V
7 Y8 P0 M* t4 L4 |; t( w7 a
. o/ k/ Z0 s t- q. j" \
% A- [# ]$ q* c4 L" s! X f- V! I5 M" ]7 O9 V" j* o: U
; q. r1 v% o- ]" V8 w( q- j | 
发表于 2013-1-23 09:34:37
收藏
支持
反对