0×01 前沿
/ {/ p* c8 s' {0 M+ X& F4 I, y# G) Z( q3 H2 ?7 f! L( x
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。 K! j/ D+ z/ d& W+ G8 g! L% t
% |6 H% l8 W% O0×02 写在前面的话2 W0 @% T6 x4 N! H, K I! N
. {+ |: W2 {: _" S& X/ ~. \ E
phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
! P9 K8 k5 O, T9 x
; a$ q1 F8 }& d. d" D这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强4 ^9 O8 g* y$ u ]% ]
6 j3 C" m/ r; v3 W* h$ s, y* g" o
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
% E. R9 K3 d# `; _$ @* z# r: \- _
0 v% E g' |6 c J. w1 _1 |' K0×03 路径? ? ?: g2 ?; X+ }' Y6 |- I" o" O8 I
5 L6 @ j: f( U; [! C1 y
在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
7 o v" t2 _( c2 T, x- v1 I6 C$ Z e2 B$ {- v4 a9 d6 D! k: X
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } , `6 g* N# ^( `+ y0 R# i, v$ n
" X P+ p; r9 p a* v这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
" ~7 \, j* f( \/ j. E* v. |
2 v8 q( _* l: a# ~然后就是将我们传进来的参数进行变量化
: s8 V! R% Y2 U; u% g" c5 L ~
8 k$ \7 S9 e0 `2 ]* O这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
4 S1 z, ^- a6 x. d7 s h+ f9 y' b. `& l$ e1 p: c
但是接下来这行呢?0 i/ M& j ?$ w- n/ Q3 K6 H6 f
- \' t9 m: Y$ K
2 F) k4 } w7 D M2 y) r9 {( Q f9 O2 ^4 e$ I0 w
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
* o0 k# H7 i" q+ z
6 r: P7 I. `/ p1 l3 _4 \: T
: J% ~. L4 f+ g+ E. e; |2 i& `1 u6 {4 f3 s4 H) E# M! I
看看这里?- @2 K$ D3 ?4 ` p: v8 ]
( y6 V- _6 T( \, y
这里的QUERY_STRING来自前面
7 A. X* k1 Q+ j) t0 }; U1 R
) Z( [& ], W R5 T 0 m) R2 O& e+ u. a+ p
- U0 E0 u% [; D& r
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));" f& w1 W5 S4 m: X
这里有个过滤,但是不影响
O% c8 u" p5 \
6 ?; {3 B! L. r7 c- i如果我们在这里进行覆盖这个db变量呢. ]% W7 |. m3 w7 a# D3 @9 N/ ^
6 n* c' Q4 F- h5 h
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
: M6 _- W$ H1 N$ q' [/ H" [
1 G! }/ ~2 v+ ?3 d4 v. R可以将我们传进去的/ - 进行替换
2 Y. U0 N: |2 _0 c# B2 L2 U" ]2 `9 J; N5 ^& \% W
所以我们如果提交如下字符8 U4 X O: D2 H6 o! I. o8 ^
- X' N% g0 A9 j# S
http://localhost/phpcms/index.php?db-5/gid-xd.html# @9 L: {3 I0 u. h9 R6 ^
! H ?+ G9 _- }; M2 L) t8 T
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
- q& q% C+ [: D$ g
+ Z$ K( I' B$ s/ [0×04 SQL注入!!!
- M6 f2 Y' A T m0 B8 ?7 G$ a+ Y3 c6 N6 N& ]
在c.php中
; m- ~% H3 ?# p6 y# c4 r/ a; C: g5 R' g5 }. e( ~/ j/ [' Q7 ?
+ h) J2 }# R" @0 q" [
, x9 U! a% `, A& d
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } " h7 j& K! G7 `0 b$ q/ R; u% u
2 i# P; m7 V6 P0 R, ]
o" y8 L! y2 ^6 O! ~* ]
$ n/ F0 g! p- Q" T7 U" t注意这里的HTTP_REFERER这个常量( k1 i5 K! Q% i( i: }+ E
" a8 p! C4 p- j" C& K: _这里的常量是通过前面的common.inc.php定义好的
' J+ t# G* S- I3 b, f7 E J5 L1 \8 \( m8 M% o
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);6 F: n/ H/ w0 b) c
2 f! s" c4 U3 A% X没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
& z3 h' L2 a; w. k
. ]" W; P1 q) @$ \4 \5 I# C然后 W2 j+ {$ N/ M P f8 m* j
/ c4 x/ u) T. v" }
$db->insert($table, $info);5 m; C0 Y7 x% k, X+ G. T
我们来看一下它这里的操作
4 F( C v; P& ^. ?2 {3 N7 ?
/ r# d8 S: h( O3 Ufunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } 5 N, a4 ?4 x. S G
, s/ n# X/ q D6 v" b所以你懂的6 R+ i3 g3 C+ W+ c; j# U: U
( H8 n2 X X* Y# v7 X
# n1 g1 F6 S% m# @5 |/ c4 v& L8 `3 w, K; P
" o- W+ z) S) z3 X( {) \/ o% N附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737% g2 G3 c0 G( ?2 Q8 d7 j3 _
* b* |- X& O: u: c9 x3 u
8 X$ t" O* B2 n, t# u" y g9 C
% ?7 D' ?. K0 d* S: h1 _' q |
发表于 2013-3-25 20:43:29
收藏
支持
反对