0×01 前沿$ {! V* d5 E% `0 P
, ^. I% ?1 ^/ r+ S4 H& H) b1 j/ a( | Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
* b& I, |- U' W3 K8 z2 }$ A
6 o A3 {$ _. h* w& x1 Y0×02 写在前面的话
) u9 z3 ^: K: V- a1 q% ^3 Q4 g3 i: _( g
phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题/ a8 r4 w0 f' O; f' {
) U! q( L' z; q6 U$ V. L/ Q$ B- j这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强
/ R4 V6 I S6 \5 T* ^. ^6 c2 ~. }* f8 g1 O
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论9 f) ]/ g$ Q W9 ^
$ X; `1 A" x! X7 U7 w" ]( ]0×03 路径? ? ?
/ B1 V, y) T* |) J+ \4 q7 U6 t P* R7 [; @$ D8 l
在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件0 _6 t% h& }6 A1 j V4 v( D
y0 C O" i j$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
! X' ]" W$ g5 Y8 s
3 Q Y$ w4 ^! P8 X这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的0 ?1 S8 o5 | ^" |
1 x/ _+ R' l' g' q! f. E D+ n
然后就是将我们传进来的参数进行变量化
4 X$ @$ S% ]$ Q8 d! C$ p( D( F6 W; k2 C$ Z4 \3 R' W1 Q
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
5 S5 S; o- B8 ?
7 M4 g: g! ?% ~" _但是接下来这行呢?9 r [0 p+ V: |4 m
7 ` G5 W" @# G
! C4 z6 }0 _1 j* f0 h5 h0 E3 M
7 q9 h# [. T3 G8 [. l0 Qif(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } 2 I2 Q1 t: u4 ^' |1 ^6 R# _6 l
# r4 G" J8 `7 T" A5 G" y . E! }+ t% O; c2 ]/ G% |
1 G# c$ \, ~+ G
看看这里?0 X( d Z: n& a6 o* E
4 @& F2 d8 C6 U/ x0 l0 X这里的QUERY_STRING来自前面 m: g) z4 o2 \0 a# T. d1 p
O2 L! ~) ?( k/ ]
) d; C" B1 S" i# |$ t( s6 T! h7 f/ [2 G3 s( _# m
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));6 F/ t0 a) G2 c9 b+ {( `
这里有个过滤,但是不影响
. P1 G A* T) N+ h- }5 W! O
3 ]/ e' }8 U" M' Q, j' H如果我们在这里进行覆盖这个db变量呢
, R; p6 h' i) v; u3 Q) i
; U% s! Z9 U3 g' J- A- ]; @) t因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));' A% Q# K: `7 e$ a$ X" C. Q
& R. \: l' U( T: h8 P
可以将我们传进去的/ - 进行替换
" k" U9 ]: U% j, A( G, j$ @- X
( {6 @. i3 }( E所以我们如果提交如下字符 N5 z; R9 U8 k# E# d' k" y6 o
( h" n8 T6 [5 y* @: `http://localhost/phpcms/index.php?db-5/gid-xd.html2 B5 d. y. q4 P8 q w H
8 L, W& Q' C( z6 N1 z y( M他由于这个db被覆盖就会出错,所以物理路径就爆出来了5 S5 G2 M7 ~1 D3 r* m) p0 R$ b. r
/ X/ ^% _/ H( i# d* } x* f0×04 SQL注入!!!! o8 t9 A" [! m
& M8 i' m) d& E/ R: g* _ 在c.php中
. |9 H( F. W( A% r2 W
- h+ f2 R7 H: C% S. e8 n+ ?
! t+ `: w7 F6 d: @* A. `3 P \# t) [' s& R- ?1 Q3 v' j# u5 K. g
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
' d% x: p3 K) W7 M. V
( a8 ?# W \, Z+ d! x- h8 P
! }6 x/ ^' j V( r" s0 H' }# [# h# G8 K. N- d5 f+ Y" u
注意这里的HTTP_REFERER这个常量! Y& ^ A* S6 E: P& s4 o
- M/ A" E, T( j' S
这里的常量是通过前面的common.inc.php定义好的
: z! X* m1 H5 S/ M3 f0 G+ n( l0 h. y2 b# E
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
' z" f" l5 \' i" [* m
, p, \# R+ \0 j+ Z3 r! E没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我) S- q: l b' j2 z- k( G# W+ c
/ f& }6 [* A' p6 W
然后5 X2 q, d0 q9 x2 ]1 E$ l$ f
5 ]2 h4 `1 ?. X4 @. f$db->insert($table, $info);# W$ w6 |" P( C" D% R% U9 M
我们来看一下它这里的操作
( W, Z1 |0 p- `2 J" J) \
& q1 B) M Y. b4 D* Bfunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); }
7 e! W$ ^6 `8 Z' b. H' C' B+ a8 ~& x$ n) W3 v. A. L
所以你懂的 U. J* r: x/ ?) i0 M3 R& F7 x; b
3 ~8 c0 B/ a+ y. F m. H
* q4 `# v; V3 `6 O
7 C7 W2 r* @' X5 j: X! w# T1 ?附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737% \; ]! o/ H' G; X
; H3 _2 e- n" A- H6 q
% s2 T2 c& o n/ i% M% r1 ^- ]( u! l, c! N) L
|
发表于 2013-3-25 20:43:29
收藏
支持
反对