[关闭]
@1kbfree 2018-10-06T23:37:10.000000Z 字数 2078 阅读 1340

代码审计分析之metinfo后台getshell

代码审计

并非抄袭,而是分析。

原文地址 : http://www.91ri.org/16663.html

第一处代码分析

image_1ci1h3ar3oiqnjf26118n91e459.png-153.2kB

  1. $post=array('ver'=>$metcms_v,'app'=>$applist);
  2. $result=curl_post($post,60);
  3. if(link_error($result)==1){
  4.     $results=explode('<Met>',$result); //下面会讲解
  5.     file_put_contents('dlappfile.php',$results[1]); //下面会讲解
  6.     file_put_contents('standard.php',$results[0].$results[1]); //下面会讲解

第四行:

explode函数小案例

  1. $str = 'iamfree1,iamfree2';
  2. var_dump( explode(',', $str) );

image_1ci1hjfniip7dlpt4o1vmbotr36.png-21.6kB

所以explode(',', $str)就是将$str中的,的内容分割为出来分别放到数组里。

第5-6行:

file_put_contents函数小案例:

  1. file_put_contents('2018-07-10.txt', 'iamfree'); // 会在当前脚本创建一个2018-07-10.txt文件,内容为iamfree

image_1ci1i1a7v13grtgb1oeh155l18f693.png-77kB

第二处代码分析:

image_1ci1i505bbuk19eq1r6j1q5n141m9g.png-148kB

我做了相应的注释,如下:

  1. function curl_post($post,$timeout){
  3.     global $met_weburl,$met_host,$met_file;
  5.     $host=$met_host;
  6.     $file=$met_file;
  8.     if(get_extension_funcs('curl')&&function_exists('curl_init')&&function_exists('curl_setopt')&&function_exists('curl_exec')&&function_exists('curl_close')) {
  10.         // 这个if判断是否可以用curl、curl_init、curl_setopt、curl_exec、ecurl_close,如果可用,就执行下面的操作
  12.         $curlHandle=curl_init();
  14.         curl_setopt($curlHandle,CURLOPT_URL,'http://'.$host.$file); // CURLOPT_URL:需要获取的URL地址,也可以在curl_init()函数中设置。
  16.         curl_setopt($curlHandle,CURLOPT_REFERER,$met_weburl); //CURLOPT_REFERER:在HTTP请求头中"Referer: "的内容。
  18.         curl_setopt($curlHandle,CURLOPT_RETURNTRANSFER,1);// CURLOPT_RETURNTRANSFER:在启用CURLOPT_RETURNTRANSFER的时候,返回原生的(Raw)输出。
  20.         curl_setopt($curlHandle,CURLOPT_CONNECTTIMEOUT,$timeout); //CURLOPT_CONNECTTIMEOUT:在发起连接前等待的时间,如果设置为0,则无限等待。
  22.         curl_setopt($curlHandle,CURLOPT_TIMEOUT,$timeout); //CURLOPT_TIMEOUT:设置cURL允许执行的最长秒数。
  24.         curl_setopt($curlHandle,CURLOPT_POST, 1); // CURLOPT_POST:启用时会发送一个常规的POST请求,类型为:application/x-www-form-urlencoded,就像表单提交的一样。
  26.         curl_setopt($curlHandle,CURLOPT_POSTFIELDS, $post); // CURLOPT_POSTFIELDS:全部数据使用HTTP协议中的"POST"操作来发送。要发送文件,在文件名前面加上@前缀并使用完整路径。这个参数可以通过urlencoded后的字符串类似'para1=val1&para2=val2&...'或使用一个以字段名为键值,字段数据为值的数组。如果value是一个数组,Content-Type头将会被设置成multipart/form-data
  28.         $result=curl_exec($curlHandle); // 执行
  30.         var_dump($result);
  31.     	curl_close($curlHandle); 
  33.         }

image_1ci1ipjoquqvs8o145f92emu0c7.png-356.5kB

standard.php文件的代码:

image_1ci1ie3u4i0p3qv1a57r3a1fvibq.png-81.1kB

  1. metinfo
  3. <Met>
  5. <?php
  7. echo "Joseph";
  9. ?>
  11. <Met>
  13. <?php
  15. echo "<?php phpinfo();?>";
  17. ?>

疑问:

这里为什么要有<Met>呢? 我也不饶圈子了下面是解答

解答:

image_1ci1is5nb21ag67ge1660d4mck.png-145.8kB

完成,下面的很简单了,不用再讲了(不要问我为什么不自己审计一个,而是去分析别人的,我是不会告诉你我审计不出漏洞的)~

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注