这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
\6 h( _: q1 q" H" K( F; h: m+ c- A& b5 Z, ]# {5 ^8 `
+ F9 z; C0 v' p5 w8 a; C, T* \这是帝国的一套下载系统 如图
1 L5 @+ e, e( `$ z. R2 Cps(不需要任何账户和密码,直接写shell)
. q& E# A6 _! N3 t i由于很多站是由于下载要整合discuz 等等一些论坛...., [" ~ G9 A3 A+ T
; P6 g. {, D, }7 l0 P( j3 W
而帝国他又有一个万能接口,如图 ' C$ @5 u" Q! L1 V& d! s+ a; }* h
- T [. _" E: h7 S* o. S( }3 x! J% T3 @/ l5 D
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
: c/ O: _# d( Z3 f0 S% P3 F+ r7 z$ K1 n5 ?7 Q1 t
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
; y6 I1 b% ^, j- Y; N% X" n; m! y1 S1 a
在data/fun.php中的15行
2 }& `2 o! y1 r0 c
' f$ Z) s5 r" e3 C我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {* w" r- i6 H2 b) L/ j U6 d
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
6 j/ M3 n8 \9 g& A$ ]
) V2 k* Z- y1 Z/ D0 W1 {; G这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);+ X% X+ Q6 K" U+ I
3 ?. r# d& j. h3 _( \3 r9 a! \" b他将传进来的变量进行了切割,然后赋给了$filetext
) D' `7 |/ q; S2 f+ Z# U
8 b, M" n8 T9 ~然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
; T$ R6 d" t3 J1 C/ `5 i6 o7 q. y" g. O- p- g
我们看看写入的结果,随便填一个
% F$ Y8 M' t1 z4 Q
' U% m. S+ U6 d3 w& _
) K* }% T8 K# i# Q$ E8 r7 r" G, |7 o2 D" p _8 R9 x$ s
$ o2 \; h9 c+ H3 I9 E0 r3 U
: R3 r9 t8 M+ x% m+ t% `% U2 P3 |" A
6 E5 ^7 l$ A' w) N6 L n# B
3 P" M5 @- F- k8 O: ?3 i
# F7 V1 i: P1 f# r1 K0 X1 n" K- O6 R! \
- V6 r$ ]% l Q9 }8 Q( e
7 c* e0 w' f' m7 {2 t; h0 e: a2 u0 ^4 G3 M7 q4 S+ r
: U. e# y- D2 s$ e% a3 w( f, Z0 n% s: M/ O Q: X) L& p/ {8 J) m- t' S8 ?
: q1 i$ g% r+ e$ r' }) `/ k3 W$ J1 @: `3 f7 G
" Q& s* I% {, A7 ~5 L' c
, n; u' e2 M" J K7 u7 F; A2 y- s, H0 A% X5 p4 ^$ u0 I
2 L" X7 p% L1 X4 M( T# {所以我们淫荡点,写个${@phpinfo()}试试 - j2 y% L6 Y" [- z. l. R
然后访问以下class/user.php这个文件' v3 \, U' x! U6 Z
日了吧 2 e, P& H- v! v' e
. c1 Y& z7 l! t& y2 ?6 m3 K6 d; S. s! V: ^0 m9 C! r' H
8 Z1 p. |$ A$ S# E1 [
# h! B4 `1 ]$ J0 U
2 ^% `' j& }4 f: L
|