这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们) ^+ R9 g. [ Q$ j7 D6 \
& _+ Z; n/ T% U9 c4 w: p$ b/ y# t6 g
T* B' r! [7 Y7 [/ w6 l" b+ E1 O这是帝国的一套下载系统 如图
. B) s9 F+ v4 b; B$ X' t( o7 c1 I7 P. \- [ps(不需要任何账户和密码,直接写shell)
; T2 N8 X6 N) a0 q9 p# s* f由于很多站是由于下载要整合discuz 等等一些论坛....& X5 s, v8 x( h" @
- {' E# A) X* D
而帝国他又有一个万能接口,如图 3 K- q) A7 q* i2 m$ q2 o: \
4 J5 |3 R' A0 a- E( ~& P
* ^. C" i6 l [- ~& J* |) j
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
4 N% |) S+ I9 X$ n/ ]& Y$ f' h4 _3 K; b* Q6 w! v# w% \
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪' Q/ Q1 `7 q9 W- o
/ z) b- X) Z7 c- q. l
在data/fun.php中的15行* Z: ^. c* H' b8 i5 g8 B
7 U# Z b1 |2 f# B; v2 ] N* O我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {8 Y- ?. ~8 ~; _" }7 y( \: T
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干5 B% y/ e1 w- n, c" { A+ G" ^( k
* Y5 t+ X0 G- J" v+ L' F: F这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
% X; |* p5 o+ ?7 X. [* j9 j& L0 U* ]" V, X, j
他将传进来的变量进行了切割,然后赋给了$filetext
5 h$ Z! P, B! b$ `- R3 F: c# A2 U$ f k4 F: \1 C$ U, z( [# z
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
" e& b0 j- `( V" ~+ H2 X+ i9 A/ r/ Z7 Z! k
我们看看写入的结果,随便填一个
4 l9 }& [# s2 A. [* h
. Z* U5 {; Y% z( R$ @& @4 E
& F, p9 E9 R* n2 `+ y6 I0 r% V( J! @
7 ?3 d% B* @2 n$ F' ]2 p7 X+ j5 e! X* Y7 |
5 B' W' v: ?3 M. K* x
3 U) L7 S l% ^
. `7 d: d. z( @& R6 @: Y. c& n. I4 f, V# B. c
% l0 |+ X# B( j/ N) K
2 X& r; A, C( x0 L7 o) j v
2 s7 x# G) \) w+ E5 z: i( M0 i
' Q. A( J: t3 h& q/ S! {2 m9 P% L- `7 ]6 a6 P
" D# s: p# }1 H4 G1 C
" M2 x6 d7 K) e% |3 _
7 h* `4 p+ F9 w9 ?- Y! p3 q
! l( X0 \$ v% Q/ I% n9 |- W& O# n Y3 A, b
! ?% N+ I" \6 I( m( q9 }# L6 g. f# g
5 ]- N" d& i% w, Z6 U
所以我们淫荡点,写个${@phpinfo()}试试
0 R9 w5 J3 p( R9 E3 e然后访问以下class/user.php这个文件
6 P* h% @8 R. z日了吧 - U, Z9 m0 x6 C5 Z- k$ \
2 J& ^" `2 L1 ]7 p
6 }4 q8 C% S! n7 ^; u7 v5 T. g P4 M9 D7 O% i l3 |1 _
9 Q+ { `1 o* I1 Z: |' Y$ s3 @: u6 V9 B# n$ B- x
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对