这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们3 n* u/ y. W" M+ B' u7 j
9 ?* p% j# C: A D( r! ~( `% L
. t5 Z Y% c" [4 u: B这是帝国的一套下载系统 如图
2 ^ ^! e; E) Z7 _ps(不需要任何账户和密码,直接写shell)
, V: }. X& X7 A( \$ Y$ _, N: O9 i由于很多站是由于下载要整合discuz 等等一些论坛....! ^9 ?0 w# s; V7 p' s
- a3 g# b4 j9 O: G9 c- @
而帝国他又有一个万能接口,如图 2 l' N6 r& ^2 J
/ s7 A+ L9 ]# u! m0 H8 m* U) r/ S+ @) j
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码6 d; w" \: X( C
5 x6 i8 ], }3 W
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪$ E' u: S' ?- X* y9 `( ~) ]
4 b ^. X0 G7 k8 `* A5 R6 Q
在data/fun.php中的15行
+ l3 w% l* m( Q; D7 j( e. t% e# S. f
+ e# ~$ {8 y0 q5 w( M1 R我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {+ z7 M" u5 F' \0 L& E0 b7 B
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
0 Z/ H: C) j+ q ?8 M& Y0 E ]- T4 `' I, `% [
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
\" @2 ?& e" |, u A& v# U& N
0 U/ m: G& i6 ~' j+ T他将传进来的变量进行了切割,然后赋给了$filetext" {4 G0 W6 z+ l# R
4 M2 q7 ?0 N; ^4 ]8 {6 X8 a0 ?然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
! s7 d" m$ H' n
0 n* u, Z8 L! u! _7 {3 p我们看看写入的结果,随便填一个 - e: y* U) A/ @. e
, p4 B3 Z) V) V D$ W
! A6 ]+ O5 F; l
" Y9 c# P3 B2 t* P! g# N- U" G5 p# ?6 a4 V, ]6 o
+ O% ?' l" J1 @1 G6 B
# B! H- `# w6 ?% F, P
, B( e( j2 L0 m& @
( Y2 V. s* O' x2 p S3 t! i
0 U$ L1 W, I' I4 @) {
. l+ K- U0 p" }
/ a' Y( d# U; n3 N, u' e
) w- C( F1 F; Y G- w9 o1 v* T: h( |8 `. c9 o
. ?5 `- n9 r$ R
* Y- A4 t$ S5 V1 N( ~0 V# [
% e( i0 r5 ] \3 n; y* N) m! L k5 ]; v! m3 W; J
& b% t5 ^. v# y
) X7 ?' t& O7 O2 ^' V& F n. A j9 K! j# ?$ Z `# E& h M& t" s8 p
" R( j9 R- k5 Z
所以我们淫荡点,写个${@phpinfo()}试试 ( Q9 D: L o+ X+ K
然后访问以下class/user.php这个文件
" s7 y0 F n( Z% M) U3 H/ z, T日了吧 2 v* [8 W$ M# t' T1 Q6 e
4 Z( x- i: A, A
) E0 X6 i/ b& Y2 K% Q7 @/ c
; C: u4 ]' Q# z: J& Y' S$ Z9 N; A# v4 P5 `& E
2 W1 |( @2 j$ X
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对