0×01 前沿
6 f% S# U1 h `$ U1 C/ m( h4 O9 Y5 [! u$ }5 Y+ B+ V
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
6 {& E6 g* `/ s2 l% T* H- w% l* P9 U8 a
0×02 写在前面的话- U9 [+ M9 q7 B& `$ p
, t7 E5 j" a3 a% v! V9 J phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题: D9 G* F9 G3 w, c P
' }2 n0 I1 r4 h0 S& S4 X3 t, p
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强' u1 J3 S: X6 e( V4 m4 N: L# m/ i
; i& k5 _) j' x6 D1 V. ]
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
h0 Q; O# v) Z" Z6 T7 ?! g; a9 i5 U4 L2 T4 y4 h
0×03 路径? ? ?2 J( ~* ]8 F4 y* U6 Z* ~! _3 S
8 j) X7 l3 A* ?* O 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件* H3 `& j2 }$ Y5 `
1 i$ v/ G! p( h& U8 T$ a; Y$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
% X9 X. v: o8 h4 n
. b1 h2 Y4 R* u4 `/ V0 v9 ~/ Q: g7 l这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的7 } ^3 E2 }" d0 j2 u& M" ?
6 D# Z9 o) \, n d% }$ M然后就是将我们传进来的参数进行变量化
2 R! a7 W9 i) V8 Q4 p2 b4 \% l3 b$ m; `1 i% a F6 ^3 O3 G% N& l
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
, W/ }3 D% V# c+ y. r5 t) Q9 l; c* {6 M3 s8 P5 Y
但是接下来这行呢?' H) U% n' F8 V$ h
* D- J& `: y/ U $ V0 s6 n* y% h$ ~/ `# [( `4 r$ c
+ i8 F& q- `& g) J2 p' Zif(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
# _) j& l, a9 _/ D2 E. S- w# i% c% L& i8 w) n4 V; l3 @8 o( k0 `
5 S6 i/ J# G! s, C2 e4 Q; v
7 `" S# [+ ^) z: [# Q看看这里?8 a# G8 n @6 u, q# D8 Z: k
" g2 S T0 g% G/ f; E4 ] U这里的QUERY_STRING来自前面9 u+ j- l" D6 j) ]1 q3 |
) t! i: D7 T# j& C7 q" ? 5 h* E6 j7 F4 W$ F/ D" l4 a
# L' r& `$ l- |: \! a9 h+ v) e) `define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
* a4 M, h6 B0 j) E1 p+ r这里有个过滤,但是不影响
" b% e; [- ~( N9 N/ |: O3 d- b# k
- r1 s3 j" t% D如果我们在这里进行覆盖这个db变量呢9 F: a( E) z* X2 u- }8 n- q
) t0 X% L' [% H/ J- a. I& H因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
5 ?' N! b e6 v# Y7 x% Y( |$ e1 g- M8 X7 d4 p/ k
可以将我们传进去的/ - 进行替换4 G1 X% x; U: j
, F' p2 W ~- J- L- D) q
所以我们如果提交如下字符
1 q4 Z. r% U, X- U* N7 p4 Y+ ]' D# K( x! Z: @: v
http://localhost/phpcms/index.php?db-5/gid-xd.html% Y c: F8 d# A) M
" B: D1 s* d, R$ d他由于这个db被覆盖就会出错,所以物理路径就爆出来了
) B: S5 m( A. k6 z& A# g4 ~# H; t+ I) `
0×04 SQL注入!!!$ d% V) U1 i( e# |3 g5 _! t a5 A
8 I( c$ D- T/ G
在c.php中
: J* U' X: ]3 a9 I1 |' j* u& A1 z- Q' C
! j% `2 j. V- i! n
/ d0 L" j2 n3 N0 c7 t
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } " Q# Y* S' L% D* W; ~
. |+ ^4 b% P( e9 c( V , W2 R ?1 T9 q$ \' ^/ r
5 P/ T3 J5 o6 n1 m, G注意这里的HTTP_REFERER这个常量5 h: ^. R7 q4 z5 E$ k% j8 x7 M
' T7 N5 ]9 d; K1 U7 a这里的常量是通过前面的common.inc.php定义好的
+ F* P- L. s! {2 q
% g# z! o2 b8 qdefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”); X, ?0 B/ r# S2 M+ R- V5 H3 Y
* `4 U' ?3 G9 w3 O0 k, `% m$ d
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
0 t7 r8 j4 J u) i5 v% l
0 @7 U" H9 \1 M- ~2 L然后3 w! U2 z+ e" R' ^0 ~) s% A
8 `0 B! q; D/ W# d/ a6 n0 R) n" P$db->insert($table, $info);
" ^2 |$ K. R. z3 @$ ~, O我们来看一下它这里的操作
0 F' n+ C+ O8 G/ J+ q0 g# |( Z8 r6 C( a4 |6 P4 V* r
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } ) t8 f/ i; B2 h. m, R
0 t' i. }7 f* A0 B. j7 m1 \6 M所以你懂的9 c0 s2 x4 s! h5 \
- z* k$ u0 _) e: W8 J3 m ) F, }$ ?8 ]: p: E& a; H
2 z& r8 o4 E) t9 J4 m附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
. p2 ^9 s3 w) f) S+ E, o- o
, G5 W- q) b R, a: w . h/ \7 e8 A9 C" L, S( \9 z, p( ~# m
# a" G& c* R/ ^" G' E9 v
|
发表于 2013-3-25 20:43:29
收藏
支持
反对