0×01 前沿
5 g0 E( v U1 _/ @% n4 e
+ [# U* a0 p5 c6 m. p( F/ @ Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
* E4 ]) u& O: g! m
# P- ?! ]: R7 t1 O% G9 k4 v0 P) ~& _0×02 写在前面的话
D* p* S- d1 ?+ O
- U( w& W$ ?; U% u- { phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
' k2 Z2 ?. l% k) e, [. k) B2 m! M5 ]5 F1 I* l" j, C! w
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强6 B, h. Z8 V# ~8 Z7 `5 c$ \2 z
& ~: O& [' y G, }" k# e/ x
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
/ K9 y2 j9 S% ?0 L. q
" H, A7 p& z# Y0 ?0 `# R& P. k" f0×03 路径? ? ? ]; b; t" }$ K' O* c6 n; ?0 Y: Y3 {
3 w; H2 g; A' L7 O6 o) m 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件1 u R+ t) d+ O# L/ k3 F2 R/ F3 ?7 c( M
" F& @9 O& x8 _8 U' r
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
8 D( S2 [: C9 Z; V* [& s# E3 V% J+ I$ E3 h7 X' M
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
! {6 q3 i3 r1 E1 H* R; C: [& j' b
/ U6 M5 D& L, Z V然后就是将我们传进来的参数进行变量化0 U/ a7 M. _) |: W/ U
% `, F, d' e, x/ N6 X2 G9 {这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量. _/ y# ^) h; @! N4 \
* d4 }; M( ^1 E: }0 r但是接下来这行呢?
. N$ ?& L# P9 H$ P; G4 f# z' ]- P* W" o
( W0 ?! U* y/ Q. ?" X6 c& N; }2 o; j( ], j
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
( R. E3 S( D& D* ~8 `& Y2 ~4 t, Q% _* C
9 c2 R @; a7 J
) Z" Z. y3 N r/ Y/ v5 S看看这里?
' `+ x/ O# N$ h& K l+ r K$ {" S$ J) j C
这里的QUERY_STRING来自前面
9 m1 ]3 [" s) w' d. c: r: J2 g" Y3 e! T
' }4 P4 P; _5 x O7 v0 X7 H3 X) O& b. {5 X% J) V* [
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));: D, b# Y4 ?0 s) [7 d6 E
这里有个过滤,但是不影响
) n2 O( N: |9 q9 \( w: a( i' t9 l Z: {/ ~4 j
如果我们在这里进行覆盖这个db变量呢
% {! K; G8 C+ q; I
7 x7 V6 r* q- F5 G `因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
0 ~' {5 g7 [/ k' O! p* r6 }2 f- [9 \/ X! y
可以将我们传进去的/ - 进行替换
2 N3 l* w5 _4 {
+ [6 j, `3 {. `* e所以我们如果提交如下字符
7 \7 p4 ^4 P, w' w1 _( |& ~7 e7 _: l
http://localhost/phpcms/index.php?db-5/gid-xd.html9 e% u# n2 ^/ a: P u( b' N1 W: b
& g P6 w" v# m
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
; C1 \: u- `) I3 E+ i( @* X; _3 b! l. ]8 \1 R" W% H* n4 T
0×04 SQL注入!!!) N0 z9 Y# I' x" A/ C% [
- \- e$ g4 G0 Q5 ]. q
在c.php中* X- Y+ a4 p! H. D& }
" k2 @1 Z$ ?' Y I$ h% P% S9 D6 |/ d0 D9 c
! w9 x- n* u, o$ M2 J<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } 4 }2 G6 V& C$ E& D. R) D) D8 a3 K
+ R) Z, g6 y9 x0 N* L6 \ 1 k% d! W+ _. W! \# k% c K
( b( K T& P& N( D T
注意这里的HTTP_REFERER这个常量
- `+ J" ?! [ T* N
. j% e/ z3 D- C# E( ?+ K这里的常量是通过前面的common.inc.php定义好的9 b5 G; [/ P9 S* A/ J0 H4 K
4 o$ W" K& ]2 l9 @ {( N7 X, s- ldefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
! _) |+ q, T0 p0 r8 l! K# n- O# d% j e* b2 j2 w5 w% p1 \
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
+ j; w8 h# Q z! O! \' v; _6 Q; Q0 Y. M. _- C& I- q! ~3 r
然后1 _5 \" ?8 _7 j. ?) k, w- \
7 z# @# x: E: j5 E4 L* Q; ~% S$db->insert($table, $info);0 _8 i1 r7 m, [. A5 X; e0 e
我们来看一下它这里的操作2 _' X& z; V9 P/ v* F
p. s5 l" q8 d/ [function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } 1 s; o6 x4 m1 a9 X1 f4 b6 \' p
# g6 s4 C/ c1 d6 I# w/ ?所以你懂的5 J/ d/ G2 f* S7 |6 ~2 X r
8 X' q( U$ G9 X" _1 g" z# g
% p, b& j f- t: H; y
3 [4 {& C& t+ D* D/ L" I: o
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
1 F, D- L9 o/ r
2 @4 M" s+ \& d4 r' {- g" h
. V4 Z5 Q% i: c( {8 [
' W. p; w: \) S* T& y" {- [9 g7 q: U0 i |