这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
7 c+ [. y) I/ f. B4 `' e \/ P
[; f! H ]! `
. O* O, W8 i% |: X9 N: t' O, L这是帝国的一套下载系统 如图
# i3 X8 R' `; W, bps(不需要任何账户和密码,直接写shell)
3 z! Q) |4 i& Z+ v* J2 K2 v5 M9 p' i由于很多站是由于下载要整合discuz 等等一些论坛....
) B G# ^' S H0 }" v
q+ D: z: L5 `而帝国他又有一个万能接口,如图 ) @6 l$ y8 h" z4 p' [7 `
" y. Y( k8 @8 P! p1 S
" v1 _8 d# a: I5 n" u4 H
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码3 ~' _1 |( M6 }9 V! E
& b7 e3 j4 t' o6 ~0 U* }. B( d当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
5 s$ T# Z' B1 {* m/ u5 v% s: {6 n5 W& ]. C# p; x
在data/fun.php中的15行
# U* }8 `4 C% n* S/ ~' t4 ?3 R$ d' I* s0 x+ F
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
' R: w. H7 o0 U5 A% ^& R: n17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干4 L& f/ _0 L' G' C g. ]
! W/ X, o4 `7 e; `这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
7 K! \8 P, X& s, c
: \4 `+ ]+ o" m, j! i他将传进来的变量进行了切割,然后赋给了$filetext
% I+ Z' S3 R7 ~3 l% j
/ ^# B3 O0 T" Q- U1 c8 y然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了8 t( Q' ?& L, c: O) E; ^7 c
6 P7 @ i, G# V
我们看看写入的结果,随便填一个 , M- g) D" Y) k, n9 @- k/ n' r
: I i7 X) `1 e6 K0 s( v/ Y- y* W& V/ m
7 C, q4 Q1 @: r7 W
! {* G! x) U1 p* E0 ~: x& I7 p: f
3 d' H: D- m) X4 u7 D3 q
/ M) ]4 f$ D8 t' G& c4 {) C
0 J; L; g+ C2 f9 M
# F9 q' U4 U f3 l& B8 L# o' ^! j8 s% l$ N' q
; x2 ]! k% c) C; V( A9 M
4 t9 C( M/ _0 v+ i# ?! s Y
- @ Y+ w% G0 l8 V2 u
0 Y4 s! ?4 |' r: W3 w- L' l- R' J. I- }0 ]. @6 U4 j7 w1 m
5 L y1 ?- ]; R) F
0 P2 o) {6 d1 e' Z1 N6 y3 Q5 |" a
1 Y+ E9 h5 S( G
/ t7 d9 x0 H: p0 c0 Y0 _% C3 J6 ~; h0 h) k' B. I/ W/ }( e
' y0 F8 G( w$ `+ N1 t- k9 U9 j# W p. Z0 k. N+ j
所以我们淫荡点,写个${@phpinfo()}试试 5 N0 p8 ?/ J+ \9 \
然后访问以下class/user.php这个文件
. `, O. V# l% A+ D U7 q日了吧 : E/ ^' {, C$ P! m7 e
6 J& O' V5 t7 A" A# m1 H' W
" u& E {7 s9 k' X' e
: R0 R% J, A8 q) b3 |7 [# c# c) i i% z; Q% I
& C4 k; z+ c" N1 F9 j+ j | 
发表于 2013-1-23 09:34:37
收藏
分享
支持
反对