0×01 前沿4 m6 s% z T$ G1 f( t9 }$ r
* _* U7 n# _/ f [5 t+ ]8 N
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。9 v. E+ a: t6 \* z
+ a. O, ^$ n9 s, n2 e. f: M0×02 写在前面的话* [5 u9 {2 D2 C" {! G" F6 O
2 z9 E1 C3 v' W0 M+ @9 z" \ phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题0 F2 a8 o/ E: R8 p3 \% i' T+ c0 F
( M; _$ P$ a6 g9 r
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强8 [% u& q- p0 Y8 L" b4 u3 D. |
# }* W9 I9 r; {" H& E, V* A
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论) R. F: p' ]. c) r3 A
7 G; d+ v3 w- W* v; T0 [2 J
0×03 路径? ? ?# z9 s0 E+ @3 x
* y8 P+ g: O7 V. c' m 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件* F% ]4 \1 ^) b# L% _5 L3 g; O
8 }& f) X: b, x7 m" |, t! X/ `$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } % H2 ?, V6 h+ D& f. V" D
1 u: n# v4 K9 D5 J0 o9 ^, Z' B这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的2 @: |5 G! r0 S/ O. b$ I
! m- y0 V& S2 L3 K X
然后就是将我们传进来的参数进行变量化
; u4 w/ b4 X7 y' k+ F8 H, ^3 W9 X! x; z R! e3 h
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量3 D0 q3 c& ]7 e$ m( a: J% f
* ^9 |/ w( V) J" I$ u. q9 g
但是接下来这行呢?
, B0 ]( d+ [5 [- h7 d g( K5 H K, ~! C: [% i' @
H, h4 V+ m: O4 x0 e) O \; w
+ s! O I2 P! x: b3 I
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } . u) j# _% h7 |$ L4 U
; T4 p3 A: _- `
. k1 W/ Z. @( K2 s$ q# x5 D, y0 a5 _4 w/ }9 ?, h; S
看看这里?3 l0 j9 O6 ]% l9 I4 @
! O( `; d- A+ \+ L! e0 s/ M这里的QUERY_STRING来自前面& Z9 z6 J5 m. K' x; [& \
. v6 K9 a1 a! H" g# Z
# S& X& e, a0 f. s) q( z$ I3 v) r" N
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));, D; A5 i. Q! I0 ?; R
这里有个过滤,但是不影响% |: o4 y- [1 @3 u
0 C" ~( E* m- @" a9 U如果我们在这里进行覆盖这个db变量呢
7 q! _" Q% k6 j8 w' |2 y+ T& Y
& l# w S/ b6 h& e y因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));1 Q) o8 o7 Z2 l0 v: I$ S9 ~1 k; E
/ S6 p2 w! j# D6 K& F
可以将我们传进去的/ - 进行替换
" m p0 o- n, y7 c' W: D
3 z- ^' M2 d$ p: J) G/ E; U" I所以我们如果提交如下字符% I9 p/ B9 ^) ?0 Y8 u
" X; o( `/ o; P9 Y" @: Z, h1 {5 U1 Nhttp://localhost/phpcms/index.php?db-5/gid-xd.html, m6 F- u$ L! R2 V8 r7 R. H2 M
* _# B Y( x6 k: s
他由于这个db被覆盖就会出错,所以物理路径就爆出来了/ D7 n$ q% l& ?0 Q! p
Z2 Y3 d' P% Q" t( J! Y+ K
0×04 SQL注入!!!/ L4 g8 w; f1 w
/ Y/ ?) Q3 M1 |' u9 R
在c.php中
* Y8 r: g7 Y7 G6 ]9 b/ B. k8 U) m: r* ~, ^ H0 A) g/ w5 u
2 `$ @8 E2 A" [$ @! g3 V" M- k5 G; k
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
9 D# L& ^4 s( T: s+ f9 D7 ?
9 F: e. v* d. ^7 i : N$ W% I4 |- T* }# o
: {( f! U! S: l7 z注意这里的HTTP_REFERER这个常量
1 C; v! k: R) S3 Q. e; R9 _' M0 [7 j3 W
这里的常量是通过前面的common.inc.php定义好的3 o* d/ C: j; e; [ V) [
4 P6 k, P0 `- j% T& M3 i
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
1 \. D6 T* m" l# j- G7 j0 n8 f5 e% n8 S. Y
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我2 |! R* j% a* [4 B8 Q7 f
Y! o* R: _" t: f) A3 q8 D. ]然后( Z1 ]6 S/ t! X5 `5 S3 u
9 L+ @& k# b+ g K4 R, r
$db->insert($table, $info);
% y2 k( D$ b% f* V1 @- {我们来看一下它这里的操作1 i2 Z# N/ G8 a1 m
' ]* O6 Y/ H% P8 g% T- m" Q
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } 0 I% Y) }6 C) J- _
* W- s( M$ p v& p" a1 K7 K/ o
所以你懂的
) w8 S. N8 ~# F) H2 g
8 I/ Y1 ?' y1 k) K- }% B 5 g7 _+ g5 \5 N3 ^9 n
) a+ y* I0 t( B附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737- t4 i; r' A- i M+ h" A
4 M8 u3 v0 C9 o: ], c5 M L
+ e& p: V7 G L$ o) m) b9 t5 k! @& y) ~4 L: h/ m$ X
|
发表于 2013-3-25 20:43:29
收藏
支持
反对