找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2426|回复: 0
打印 上一主题 下一主题

PHPCMS 2008 最新漏洞之通杀注入漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-25 20:43:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
0×01 前沿0 {! }$ s5 d$ W' p6 \

" W" |7 ]/ B9 L) ^( X( P      Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms  采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms  团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms  得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
$ r4 C1 N& `' n* A6 J& |$ w4 @1 O9 x  C9 U$ J
0×02 写在前面的话  j. s4 p3 U3 g5 {' J

1 z* b- h( F; o( s4 ]6 t    phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题! U9 w8 f; B* R

6 l2 ^' M+ Q- {4 Z; N8 Y4 {/ t这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强- e, N( S- C/ c$ `/ a3 C! j
1 h+ [- S( ~1 P" f
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论5 O( p- ?: D$ q
  y, X$ l0 X3 P3 |( x7 m  w* k
0×03 路径? ? ?; }1 T3 F% [$ D2 p/ K) W  R+ U# M+ Q
8 F' v3 Z( {4 ?& M) ^$ M3 v
    在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件. S0 V, U1 a7 S, i6 s8 K6 g
  d8 x& j( n. x, O* ^+ {0 z1 `5 ^
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
! _  b  p9 L# m; j, d7 J3 t* ^$ r) m' N3 y; d( |$ I* z- U3 @
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
4 a$ Z; K- J+ M& B% G* v' E) p& D: D, X; A
然后就是将我们传进来的参数进行变量化
$ h9 g1 I) ~9 @8 X7 S$ z0 k6 l2 o
" B5 [: x9 {: k' g( D  }这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量- p8 {4 F% g/ w

9 u6 K; J, c- P& s. H但是接下来这行呢?
- \3 Q9 |* G6 l$ G0 o. k; x0 Q. u: e  {
; N5 D9 {7 w+ @6 @8 J" n9 [/ \' I1 E0 ?

( P$ j# A3 E+ v$ a2 E: E; ~if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } , q3 x- S0 @: A! D$ s2 K

2 i' W: G" K( w7 f8 o1 |' e2 K7 w9 a4 P
* I* O3 b7 A6 z5 ?
, z9 q/ f+ j7 j6 h  F& b看看这里?
( z& N) j0 o0 _+ C; A( L1 N& B- \( m; u
这里的QUERY_STRING来自前面
2 g6 i3 \( \* W$ U/ X9 }% P. D5 |
& K5 I% `0 A& u8 U
8 E' p2 A; J" z; B+ t0 V- L3 M/ t
: B$ l, `. {! Qdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
; l" m8 J- O, t8 B8 b这里有个过滤,但是不影响
+ d: S4 h  j- _3 ~9 R: H7 _6 X& K9 d
; e" ^, B, q. t" P如果我们在这里进行覆盖这个db变量呢& B* L1 u5 m: L# y
3 ]: G# W1 W) [2 x; }
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
. u/ s' l% @8 J- \3 r* H7 P0 W$ f) j* D: @8 X1 }4 C% L. f4 Q
可以将我们传进去的/ - 进行替换/ f9 d2 u' t1 L" x/ w
' T# a1 [$ `5 L$ Q. N
所以我们如果提交如下字符# C# J2 B  T7 g, a$ ~$ R  ~3 S' o  b7 b
1 f$ J: m: n/ s' u  g  P) m
http://localhost/phpcms/index.php?db-5/gid-xd.html$ ?2 h. m. G  }6 B

: J- ^( A$ H0 W) P4 \他由于这个db被覆盖就会出错,所以物理路径就爆出来了
4 T6 J9 ~/ m! [  ~1 z% Z0 m* m* i1 a/ B2 d5 F0 S$ ?. \9 ?' I; ]
0×04  SQL注入!!!
- x4 W4 Z4 s$ k  ^; z1 |+ ], ~
, G9 h! N. l6 t7 {  在c.php中& J5 a# g1 m  b, {% R# _0 j0 r

5 F, W' _- a1 z- W8 W! y
- Z, Z) x5 |% r
# P) e' K# O7 X* o7 b$ C<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } 6 D5 q2 Y) x0 y! Q' a

+ F1 ?/ `+ y* R- R) x0 C2 Y
! V# j# h# u' V* I+ S) [) v( K5 V7 W% d" r8 ?9 x4 C
注意这里的HTTP_REFERER这个常量
6 F9 N% V/ O, s  @5 U$ x( @4 f6 w2 T* @+ N; ~: E% ?& G) q
这里的常量是通过前面的common.inc.php定义好的
* w! j1 @2 Y- j; y" z: h5 J- j. U+ X3 c
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);3 C& L8 F7 N9 t8 n
' Y- K  n; u9 O7 x6 F: \
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我; ]4 `% F. U4 I

4 x- u8 M! ?: R然后3 W+ N( s5 P& ~4 T# }1 ]7 ^9 S* B8 i
* H) w) M* B. D% _0 Z) X
$db->insert($table, $info);* K* U$ A1 z5 }6 S% f2 u: i8 |
我们来看一下它这里的操作! J. g$ z9 e3 D# m
7 M# t  N7 H0 q% i! x. X: f! z
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } ; |6 k5 @! G; M! ^  R/ v1 A9 n, F; ^

, l- l& ]( ?9 X6 g: ]; z. q所以你懂的
1 Q- B$ V- b: D( w8 T6 L
4 u; i# |, z% @- t3 w6 H   V' o0 k! u3 b9 C
! ?8 X0 n  g* P+ z
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
- X+ a/ b4 i, L& @9 D9 V7 p" A1 g' ~- m$ F8 v( F

! d; N. T* U# r- \* w& B1 N4 L1 i
" {6 m6 {" Z  x9 A, n6 h! D, V6 c" ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表