这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们; {% E4 c: w3 B6 v$ x2 n. _; M( ]
# X. I" b: q E5 f
2 N+ e* A a- i4 H! |
这是帝国的一套下载系统 如图
- Q& H+ z$ Z- A1 \ps(不需要任何账户和密码,直接写shell)
9 W& k$ y- ~8 Q! J2 }" Q. _- W由于很多站是由于下载要整合discuz 等等一些论坛....& T$ e O9 P2 d- G2 H0 a4 Y6 q
) ]% b3 f! T. N. A. f9 M1 X7 t, z而帝国他又有一个万能接口,如图
& c4 l8 \) N4 q9 Q1 h, P/ L# K+ Q/ F* b% n9 v
3 r, K- s* H: n* {
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
5 l7 k) n: d, S) r0 V
2 x% [$ l' ?/ k' |# M2 C5 O当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
9 Z/ q$ H! e4 a" l6 E9 `! v3 D( B1 _6 V1 C# Z& }9 s7 ^& ?0 ~
在data/fun.php中的15行
5 f( j% `' ^' c2 o# T! i5 e% F4 r' T6 i: G
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
+ T6 G, p; \5 O( e4 E& h4 v17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干, p2 X+ N9 a( m8 ]) Y/ t+ ?
- }6 h4 u* Y# ^4 c+ b
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);8 n% l# w4 \5 r/ k$ B2 D' n, }6 [
- Y$ U- B6 B# O* E! q2 O7 Z
他将传进来的变量进行了切割,然后赋给了$filetext, l- l" v# z" M: D5 ]
! E2 s! H9 ` }/ ?6 M+ [# r然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了+ T2 ?+ y) E( ?; L* E" C5 t
0 k( B! L- S# b
我们看看写入的结果,随便填一个 1 ~) f; F2 Y3 \& v8 T
. Z8 n$ j9 @0 Y. C' f
% Z8 k7 n- X; ^) `5 Y
P/ C1 B! b: T0 T$ t9 L. a) N. j v3 Y3 }4 w s
# P u' r) @& Y4 h6 k2 _* |9 G' C
3 w: D) _; c8 K. J/ X% m1 g* ]
; y3 v5 `, s+ _* n
7 g. p* K2 D. a/ q
$ {% f- s8 u# d+ v
0 J$ D$ f/ K9 M
# H6 {1 u0 C$ w' {$ N: O5 \$ M ~7 V5 M+ \
2 Y( U3 E; u. w3 f! d/ ^9 t2 l1 P6 @: l/ V
; a8 F1 j* u( K/ Y8 K0 `% a
; B0 E0 o% ]! c3 z4 A' O8 x' C9 x
! |5 i1 J. Q* X9 f- z& C4 g
( M, Z7 X' m/ Y. E- m) S
1 A/ ]1 |& i0 `* v3 D, _ I, `+ N
5 p5 L7 i, s; K1 }' n8 R' X" W所以我们淫荡点,写个${@phpinfo()}试试
7 a J/ _; |' d! {+ l5 U然后访问以下class/user.php这个文件' C5 C( l6 [8 j; s
日了吧
, h( ?9 f- z7 J# Q( a$ M2 m
& k4 Q* C, S) S8 F
* J4 _1 G4 d! F
/ `! k. ~: B1 g0 d( g3 Z! J; T/ l
7 Z" h: V/ r$ I% M6 a) K+ A; p' S' c
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对