这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们& b# i' }3 H" F
5 [% C& A$ q, y
3 F; j5 U9 v# E$ d2 M这是帝国的一套下载系统 如图' r9 K0 h9 S" {6 i- D
ps(不需要任何账户和密码,直接写shell)
) E9 k/ F2 i* I) `1 N0 m X
由于很多站是由于下载要整合discuz 等等一些论坛.... v7 R0 O8 Y/ ~ g @9 Y& {% i W
+ a, u, R* ~. L! ~% G1 z z. e4 M5 ^
而帝国他又有一个万能接口,如图 . W- X6 j+ G, c8 L+ ~# u1 \4 B$ X1 y
1 o+ [ O9 _' Y; i1 T8 C; N; z' P
2 B' F- @# `, E' I而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码1 g- @" d; i2 C! E( c" C( Y/ X
# \1 y$ v7 W' j+ N1 k5 s9 z当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪) N: [6 ~+ n( c( F
5 H. u& ^% R1 f a. D# K在data/fun.php中的15行
' o8 Y. i5 D# ~1 A$ w5 Z" Y, D2 i/ e& ?
我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {' L, o2 _% K" J( y
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干7 ]! E3 V6 n3 Y3 `5 t* Y
! G' r. E. ?% q0 m2 N& c$ E; \
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
* l6 O; i% p( ~2 z* c
2 u; a. T7 v7 J" ]" i: Z( D- K他将传进来的变量进行了切割,然后赋给了$filetext
# \0 F: l3 Y& O% O/ b
& s7 G! b, l: _% L& W然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
9 u% `, t6 y" Z/ \2 S& ]7 i
' K( n0 }2 O1 c我们看看写入的结果,随便填一个 ! X% D" \! \# _* T2 i5 J
) T" ]- H9 l9 ]* t& a# Z8 a- w( \1 g$ [' A* W9 k; A$ b5 a6 d$ E: b
1 \2 e, k9 G2 b2 Y: S
$ E6 H& L) A( e4 y: E
5 {5 J, A/ G L
+ ^! u. o% h2 \& o8 n% i0 F H3 ?; w+ F
8 v, ?, t5 s4 N7 i9 h7 H9 J
5 {2 L) ~ s7 Q7 ~0 j% {# }1 Z2 `& q
h, }6 H* p# z3 l2 f9 Z+ p5 Y1 r
1 Z7 ] F% \8 M% z1 L
# Y$ ^. _8 u6 S
) d/ S! r7 Y( B" C8 V3 J& `8 P
+ Z# N$ _/ `, q8 I2 \& f. c; q2 ~5 c
" @5 ~& u1 J& V5 j3 j! m, G- A
# O/ ?3 V$ B# D, _4 z# [# v0 m3 m" I$ A
7 x8 P( S1 g$ g. z: k( _4 p3 L所以我们淫荡点,写个${@phpinfo()}试试
$ K: p7 ?2 S# @( Y u) a2 z1 N" ^然后访问以下class/user.php这个文件
+ X; `5 F2 U- Q3 e6 y7 y! x日了吧
7 N" F/ I8 M# Z/ K! u0 |5 T; }, }) _5 x7 q
; z9 o2 ^3 A9 F4 A8 r% p. g+ t, x( p- J- U
* E4 s* v _3 [9 s$ T* C
8 F1 C- {1 x, X5 q# f4 ^. x
| 
发表于 2013-1-23 09:34:37
收藏
支持
反对