0×01 前沿
- v! a; D+ `- V3 M% |
; b3 o$ A, S' C" \5 w. ? Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。" z# J2 D6 t. K8 Q' e3 F
+ I, b4 @: S/ D0×02 写在前面的话
9 u: g. j6 f' a; u2 M3 d( O1 J. y _
+ J* I! z6 u# a2 e0 K1 M* } phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题2 B$ m M# \1 A1 e# w: [
, D4 x$ M/ i" v7 B. f2 @; e8 c
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强
2 k, ]; Y$ g6 H3 k; ^. l$ a4 g/ U
4 h$ y* g$ _, F+ |3 R这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
; p2 A2 G* Z" c6 S8 x4 I
8 y: |6 X: `4 X8 J2 S5 `0×03 路径? ? ?
( f& [" r& ^$ ]7 F8 J- \! h
N& {3 H/ a& s9 W 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
, g1 S( n% g+ W
7 ?% x; b6 u0 q. F/ C8 _$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
+ S+ Y8 e8 U' o7 @2 ~. T& I0 e8 }+ `0 c7 @# |
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
: i/ t& X% A% v# x$ [/ Q' ?/ x* h
2 {; i3 _( Z% o! l然后就是将我们传进来的参数进行变量化6 x+ D7 O+ U s* q2 `, W, `- d
' ]- B% A8 U) V4 N
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
; ?* D$ R4 F2 T& r/ k, i9 a u- I
) y5 x' ]# L/ P4 m但是接下来这行呢?, f2 s+ p. D. { M" V
, }* a# g# O2 d5 v: | 3 ]/ E/ G. Q3 [6 e, D
- P- E* |; t+ M7 d2 l
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
6 Z- d9 \' l, H3 z9 _- D
9 g; g" b. I* n5 L& v1 N, p ) d' S6 d3 u$ T% M% B0 H
" }2 z# |; d4 y" Y
看看这里?3 ^$ B$ `" c0 e5 A
+ _/ L1 r& [# k# x4 ]
这里的QUERY_STRING来自前面
% }$ i. T( k' z" J, q ^" h8 r" |
. ^- I: q) |( Z( `+ j
/ Q4 A) M9 k' |$ ^: P! ^; Tdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));% t* m7 V, |9 z: I
这里有个过滤,但是不影响8 h& g% K) M" f8 [% j
; p1 E+ t1 ^9 C; e) [# ~如果我们在这里进行覆盖这个db变量呢
( |# X. }& p0 p) i# m& V, ^& R
' Z. K$ J3 a8 f/ I因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));! W0 j1 H l) U: J8 M+ Z) a
: H+ W7 b- H0 n* _" L# p& O# \可以将我们传进去的/ - 进行替换( H0 m) i; ]- n) `* p8 }2 H
" r6 e8 K/ U2 [, R
所以我们如果提交如下字符5 S6 w3 p: C- G/ M) [
7 @0 [- [- M6 ~) i4 o
http://localhost/phpcms/index.php?db-5/gid-xd.html! ]' h; h5 j2 V; J5 O/ f
1 s4 Z, N! T4 N2 @* \- E+ u& b- ]
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
+ @) H1 @( V7 y6 g% q7 S9 b
7 Y- O5 w A" }: ?4 u. D9 {0×04 SQL注入!!!
2 P" P/ { G q6 T- x, c" c) w" f5 X+ @6 Y
在c.php中
3 C1 J- j) S8 y
) G( y! t! [. V6 ?3 N4 d5 Q5 F % u+ Y% ~! p0 T8 S, J
% D' b, @( k8 X1 Y' V<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } 0 j9 S# y" m& k1 I5 d
2 t" n+ R8 Y& @9 G2 r7 Y, L3 [
9 |3 w0 l" X ]/ d% S
: F$ r/ e& C2 Q/ N+ Z注意这里的HTTP_REFERER这个常量
3 Y" I; M( ?: _' p% X; l, C* a. h- D" ~$ z" g* u4 r
这里的常量是通过前面的common.inc.php定义好的
! H8 \ \* Z# h _3 \/ k) f2 s' F7 h# I) Z; B6 r; I
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);, A4 [; F* N. M$ ]9 d! @2 k
1 f V$ z5 U6 V& s4 P
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
* j0 i" V; } k. g' P+ i
/ ^: p5 I" b% Z4 }' v然后; |& e& m* v! m* ]; n" ]/ e
) H* l* y! p) D) J$ `
$db->insert($table, $info);
0 b( k- ]! A* f8 Z# I我们来看一下它这里的操作
( X/ f2 H7 F l
' d$ b9 [( n2 c) {1 ?/ N7 `' Qfunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } " \5 ]6 v& H- f$ u/ O. { N+ m
6 u3 H* j; N0 R. }5 @ i# }4 ]
所以你懂的
' v% R: w+ y/ y) n7 b8 A5 Y R2 T# U! o
: a, Q; v) M* T. B
$ H8 |9 N% ?( J附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
- }& N5 O* G8 }( x
3 O. R3 y7 `+ k7 S; D 8 W. U2 m) Q: p) t8 J
" o- {8 r3 F' ~
|
发表于 2013-3-25 20:43:29
收藏
支持
反对