这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
; z h, [$ S9 ~
- ~. X5 _- `) S& I' m. f: J! ~/ ?: J) S8 R
这是帝国的一套下载系统 如图, q$ B. H; z0 ~) A* E, r) e
ps(不需要任何账户和密码,直接写shell)
" i8 U% q6 s4 u. Z( o由于很多站是由于下载要整合discuz 等等一些论坛....
1 }& N J- j% @# w0 g. X
: S% i( F4 B/ b( M而帝国他又有一个万能接口,如图
: c8 U" B2 E9 c" E/ A# W" u# q: P5 n K2 t/ T# n' y! ?
9 O+ h3 B" w' x6 \而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码* l, F- [# e( e& X' G5 s
3 x% P& m. j3 N+ r
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪: x* E: y2 j4 j
2 A( g8 Q' j) e) y( s" U. q' K
在data/fun.php中的15行6 b: r; P( l o4 _ B4 m
7 m. M$ R% e5 N* V7 g2 H/ Q* x我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {, J9 g& r- ]% a$ c& f
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
2 q: P; @1 B$ U( U3 Y, d/ q4 _, V# U, O
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
q9 u9 c0 b" j0 U9 ~$ I% a
- j, L1 o, R$ d- w8 ]) L, b2 F他将传进来的变量进行了切割,然后赋给了$filetext* v0 d, l) [& K2 P, p9 j3 M+ {6 J) g, W
" ]4 y: _1 ~ {然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了# \5 ^* b# E. I0 d9 d; \
: n7 z) L1 {0 ? b) `% T5 D; o
我们看看写入的结果,随便填一个 ! ^( z2 X. O: Q& [8 C' m8 n
! f6 p7 w( n; q9 ]7 d" S# `. i% u, `' E0 t+ O5 T
6 [# s- i$ \' g/ d3 q4 I2 k( X- V8 C, P: E& G
; \' K. j. s! u; L* o4 b$ v
- T& |5 L# E. g, \
# N" O7 y/ h0 o7 u- `, q. M- T+ N* D% g& e: \! X
) `( e4 s; R, U3 D
: b* Y2 k+ B4 ~+ b% r, M
" v+ b7 ^4 a% l6 t5 y x
* ]8 i. o, H9 O3 s
& _; r. ]2 W& P$ m2 t2 m" W! q8 P* D+ G2 g2 s
& G1 w3 G4 P2 O8 B6 r% W* w0 l
7 j! Z1 F; Y, j* [
$ Y' |0 N" B6 B$ ?5 z+ G: o+ I9 w% U! Q/ P( [& s, ]- y
% z. p: f7 @+ J. l$ X
- b. G6 A/ ]* l/ u$ l
+ J% K* o* A$ L8 e# N6 \4 ?所以我们淫荡点,写个${@phpinfo()}试试
! z: T9 V6 u# x) p然后访问以下class/user.php这个文件
* o' j" x! v2 V/ J日了吧 - |8 A9 g3 p( p; q
& P8 Q1 @6 `$ k. B1 {# ]0 j$ D5 L4 v5 Y* c9 n x6 }7 _+ F
: T" i8 o- @0 S3 V* i0 H+ c$ ~1 l
9 x* b0 d% J r: ?, M% r6 p4 C' ^$ s, h
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对