中国网络渗透测试联盟

标题: PHPCMS 2008 最新漏洞之通杀注入漏洞 [打印本页]
作者: admin    时间: 2013-3-25 20:43
标题: PHPCMS 2008 最新漏洞之通杀注入漏洞
0×01 前沿) x! B: V# Z% h, C6 ~* s  c
/ ~9 e% i+ s7 k/ \' Z
      Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms  采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms  团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms  得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
) Y9 g9 x3 j$ m8 ^' k! E
! S- S7 t" k$ k1 u3 W0×02 写在前面的话
' K/ J  f7 l1 o! P7 w6 c
0 O2 f2 m4 Y& K, V3 k* N" V    phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
/ \! S: k' N" @& Y2 A4 r& F* i# T
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强
- V1 ?7 y$ L  w/ u6 L% k8 a0 Q
6 g% p* Q1 r+ d5 U" U4 W) ]5 W这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
1 G& y$ E) X% C0 ~; x; ]; `. J9 G+ Z0 r* j( ?" ~( [5 ]3 `
0×03 路径? ? ?
; m1 g1 T' J6 e1 r8 U4 F) @
: V9 `1 \8 v  \/ V    在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
. ^) h2 N1 Z; ^3 I: \! w; }
: s  w8 w" }! j+ {$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } , ]' H: }' J) ~( i+ M
8 h- Z7 A9 P( h5 K. ^2 w, R7 H) g" w
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的5 ^( J7 h5 W2 m  C* q4 I& _) U- G

( p* m4 B" `" }$ Q8 {; q! d' ]1 T* j然后就是将我们传进来的参数进行变量化7 m* v4 u: E, [
* B9 B7 F  X4 q7 f; v
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量7 }9 \  X* B  @& r
5 S+ q! ~" E4 Y9 v( m9 k( H# a# p; u
但是接下来这行呢?
) d! a4 w4 T) k" i; t. F- o
6 E) J. f& `) R8 S
2 P6 p0 W$ E0 K& x/ [
- h! _/ u# `8 D2 j% b( ^. mif(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } # p: L0 j6 q$ ^) [  D  o6 l9 @& D
* O+ o# w. f$ Z2 V

' N' B% [( a- ^
/ r0 X  `# e# Z% v  f, ^! \看看这里?1 ^& f" @: s4 j9 b7 m% R

' Z- ^0 O' v7 f& O$ t这里的QUERY_STRING来自前面
4 c* g) }) q& d, f
6 ]6 G" C7 g7 e3 I9 A 3 a$ W* Y2 P1 o" X  R

& e4 R! `! x4 j  x1 U% g8 vdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));% \- ]& y0 \1 f! K/ P( p3 L
这里有个过滤,但是不影响
/ \# j2 ]" q0 o  N% K8 J9 N- o# t& d4 f8 v) s3 \* @$ @
如果我们在这里进行覆盖这个db变量呢7 ]7 Y: G6 Q! [  b% v. p+ B
8 b5 K4 J2 h- j! m! B
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
8 F( X+ ^. w: O( x. s2 @4 {1 p0 Y* y  Y# P! N
可以将我们传进去的/ - 进行替换: O( f& E" Z8 E& @  P: u
; `, U% F2 u' @' S
所以我们如果提交如下字符& v) L+ p9 F! v# J, \$ o9 Q  P1 e

) q% K9 x, X+ ^5 w' [) Z2 @http://localhost/phpcms/index.php?db-5/gid-xd.html! S3 _4 a  g1 c9 u% [1 E
, E% Z; J5 f) ?- A5 v9 v; {
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
4 ?9 \" H: i4 Y  ?. u% K# q# v/ T3 ?
0×04  SQL注入!!!- p4 a/ y: c3 c) n( U8 |- }

7 J9 K5 h: h0 ^, k6 A8 o& V  在c.php中
3 N- U! q# t3 n; v$ l
7 f; w: y( d/ o/ O- X) _ 1 q/ u+ B& s. k& o

  t+ H4 x( ]4 ~! t, h<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } 7 n7 W$ p' q7 A3 Z$ X5 z( ^
) }3 j( X1 w9 P  f2 T5 Y

+ H# P6 D' X! W
; I! I! D$ z8 n注意这里的HTTP_REFERER这个常量
1 t4 U5 c# m4 @- y- ?( G* Q" i" ]- d- M4 [( g# b8 D
这里的常量是通过前面的common.inc.php定义好的
- ^, q$ ~8 O: j5 g8 @
# O& p9 {  ?& @" g( c( z4 N- ]define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);$ B0 P2 L" U3 |$ Z$ X+ a* e( x" i. V

5 w+ O$ p& e. n% a) I; Z$ d没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
9 {7 H* N1 E* c; E6 N+ n
$ u5 e2 J+ f) f. w7 a然后
7 I5 F9 D, h* }+ \6 [& ^8 V9 ?$ }8 x" I3 ]* Q& x  v. B+ S
$db->insert($table, $info);: ]0 X9 z+ j$ j2 m  ~
我们来看一下它这里的操作
! v9 K8 Z" a; U5 q) P3 w; H; @3 i, e1 y3 V
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); }
  m2 q4 j: q9 m, R4 H: J, A/ E: @  m0 X" {& T* `3 }, f. @: H
所以你懂的- Q& ?" A' Y/ t

5 M# W: b3 u1 }! x; L" f, I4 Y 8 R4 j  V; W' {2 ?' T+ `
3 p7 A0 H& D* v% P
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
2 g% j% T4 t& k) O
& S) `1 K9 P2 [' l$ d2 I3 n
) o9 Z% j' a8 o$ S
( ^/ J- G# q2 ~# l, W



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2