中国网络渗透测试联盟

标题: PHPCMS 2008 最新漏洞之通杀注入漏洞 [打印本页]

作者: admin    时间: 2013-3-25 20:43
标题: PHPCMS 2008 最新漏洞之通杀注入漏洞
0×01 前沿! O8 S! s% P/ \. X' K

; }5 S" `& R  w/ A! t# U5 R' T      Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms  采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms  团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms  得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。- R: X4 C/ Z5 k2 Z! G
$ l: U  T* I7 S# D
0×02 写在前面的话( X+ H( o  s3 K7 p& z1 X

# q; b8 O; _' E& E+ f; g8 j    phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
  c+ z, |# c, d
. E9 `# w' z) H- x5 j! I3 r这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强: l. U6 F' V0 {) f* m; h0 l

6 P2 n& P2 t# L' l: [这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
- `+ R! b* P. b- q3 Y& Z4 a5 R; J! \" N* s/ n; z( {
0×03 路径? ? ?
* \3 m- w! W1 z5 b3 k( R5 D8 W# d" F  w8 ?& @
    在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件! q: W& J8 t1 v. o2 g3 I" S

3 A, O: k/ v6 }# z! K9 G$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
; `8 c  F5 o) A- k1 y! a$ m7 ?, }( b& [
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
+ Y' k- l% E5 G* _6 ~: [" \; N) e; g
然后就是将我们传进来的参数进行变量化  b6 J, o0 D6 V/ p' t3 P

" `. \& q( }1 J0 w" f/ K& m这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
, Q6 H- o# ^/ S7 P4 z4 M
! ]1 M- D* @! M4 Z8 ?但是接下来这行呢?
0 G9 J5 ?! B7 L: r
7 T7 e8 B+ U" G& c" P! m $ W2 d9 @# |4 x1 `
% [+ X- c. w/ S0 q* J9 H# k
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
3 b. A3 L# T$ O1 L: d& k
" a! x& Z& ~$ a! k9 \0 x: @% m
: p$ T% Z  V1 _5 s: ^1 }5 F3 W
/ M8 ^' s" c, V4 J/ c" b看看这里?
: \: H& b( t1 [& M- A5 }0 K$ R, A7 I/ A! j3 F. B2 x, `2 l$ v  K
这里的QUERY_STRING来自前面7 [8 B% }5 t5 }' N' i
" h. Y* @4 r0 `) `$ V  ~
& J2 r3 \3 f7 r; m

3 d1 ^9 V& X- L  Q, U6 O8 cdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
) r8 v' n' }9 K- i! [7 X+ B9 l/ R这里有个过滤,但是不影响
1 a3 _0 ^5 a0 {( ^7 b# f
- U' ^( y) ?7 Y- R2 b) m# z& T如果我们在这里进行覆盖这个db变量呢2 Q4 F3 F0 g0 u4 [5 T4 l; H
4 N, S! C' e" ?& L7 K5 A
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));% @' \- X# n' N
1 X5 ]1 |# K2 b4 c" \
可以将我们传进去的/ - 进行替换
# b0 e) A, b/ E  q5 H
7 U7 U' C6 Y9 r7 g$ I( i所以我们如果提交如下字符* h3 `  B) G) H& u9 @, q* M) @3 v

9 ~0 N" A( \- e0 j9 V  [% ]http://localhost/phpcms/index.php?db-5/gid-xd.html
+ Y3 n) }! ?! Q2 w
( z. g) C# s: t他由于这个db被覆盖就会出错,所以物理路径就爆出来了
8 O8 w- \" j' G; t4 x: l/ {5 C4 }2 D/ o. l: {2 c5 E
0×04  SQL注入!!!0 p# b" R3 K1 D& P- I/ J
4 o( Z( ~5 o9 j5 {
  在c.php中( a6 S6 k8 u, U; T+ {1 w2 I2 C+ G

$ D# U( t/ x" Q8 s ( C! y: M! k/ K% Z$ V
6 j2 Z# {; J% E4 M
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
' \6 {; Q0 N% s; I- V9 O! X
+ ]# J. ~/ J. f6 D- ~7 Z% A 7 a) s) e- w, C, X( R5 k  e* X  ?
) V: n4 g  L$ o: V3 e
注意这里的HTTP_REFERER这个常量7 X/ o( o8 [' V

9 G. F9 |& K9 D5 {' c4 ^7 t7 ^这里的常量是通过前面的common.inc.php定义好的) ]/ K0 z7 t7 B  U' t8 ~

6 x  `, X  k2 B' Mdefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);5 F4 ~/ c" a, [' \
" R5 G% v+ C. D! H
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我( [" G7 |+ q: |$ i$ b9 @
( m$ E! P8 W* ?1 t4 Q# N
然后* x" z( x+ k2 \, I

# L$ Y% ?- I# ^! U$db->insert($table, $info);
1 s; ]( }/ Q6 v/ ^3 y) E; l我们来看一下它这里的操作
. F6 f6 `. S. q$ k' v5 Z$ b' G+ A. X- i# n
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } / ?6 y# C/ f$ p7 s

. X* Q( d9 v3 X- e- c# n所以你懂的
; E1 r# Y/ J* d6 u* C
! J0 ~* O/ \  X; v. }1 V8 t $ ?- i5 u, j- F2 l( c- r& z
. G5 E  N: U+ x" A
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
$ T) |: R* y6 V+ U4 C
3 P/ B# S5 _9 P6 p: ^ 1 W6 m* n$ D' C) x* }5 q& {: i

% B: T; X0 v, W/ K/ s' A5 d! g+ x; L




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2