0×01 前沿+ @0 `! x4 Y9 i8 s5 x7 m; U
. B3 Z0 T7 {' |3 j
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。 I* g8 L3 c( h# L1 @
$ q8 g) b6 O( r5 e: l, ?" n0×02 写在前面的话% o3 n7 e3 H1 [3 ]0 W
% f5 T7 z% c% n phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题 T$ ~6 I7 D. q
4 G3 ~# p: R: w: {( s
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强
7 i; U3 [ i3 S* W5 N+ K
. @- [' Y5 ~, b2 d1 N9 v' J6 [这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
7 D7 Q) i: s6 b2 [/ A$ |( W
& b& ]* X% @ i0 V/ ~/ P0×03 路径? ? ?$ C, r) S7 d% r, |' T- S
( ^6 j' H+ X# }; g( h4 I: ^0 J# u 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
- `5 ~3 O; z3 t7 b
& K: g* F6 k* F: G; q8 x$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } ' X: E6 S6 G% v$ P. T% z; o
, i+ o. ~* ?9 Y" K( d9 }9 O2 O这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的( N3 r5 M+ p* W) J. K
- d! J1 t7 _- ~
然后就是将我们传进来的参数进行变量化
6 Q7 Y o9 W. v3 f- R7 e0 H0 M' W. \6 v$ t
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
$ g+ f7 r9 f% H" M# A, w e/ U
( A' U5 r, [. X$ \0 L& v& R但是接下来这行呢?4 j7 i( q* o- d, Z: z( W/ q+ `
+ F9 E. M0 o- r* D3 L3 T" o
% q6 ?# V: j- j# f& S, o3 c; w1 u+ @; k$ o
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
; Q! e" V& G- ~ q2 t3 f/ \' P
$ V8 e) ?- e9 B: B. u; A* f0 [
V. A! m3 }9 |4 d: Q+ S1 n- z+ A1 @2 f* R
看看这里?
9 c0 y8 r. y3 j( \ i: b
& T' l% ?7 s5 A5 B1 }( c1 l( L这里的QUERY_STRING来自前面
3 f' O% M" h, E
1 ^% A9 O5 Y0 D( V0 X8 S" P 1 }# X8 Y+ H+ S* s7 K, |
9 A3 x X) b. `9 a5 J/ cdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
0 ~' ]8 E" z2 Y, y$ H- \9 t% e这里有个过滤,但是不影响) G$ k" v) [, K* S, A
/ E( E& R4 G& Z0 I5 I: m
如果我们在这里进行覆盖这个db变量呢. z- F) v. R! ]' G$ j
9 f4 N9 L5 [4 B3 E. P6 K; ^
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
# a: N8 s2 C, S3 U* n! X! N+ v# \3 T8 c6 P3 V. z' e) L
可以将我们传进去的/ - 进行替换
8 L$ e3 K: \# X7 w
7 ~/ ]) |+ w; S, P. F4 X所以我们如果提交如下字符
: j* ~% g. b2 ?" `* A) r* b2 i& V1 g' z0 V1 s% q+ ^6 ?0 d
http://localhost/phpcms/index.php?db-5/gid-xd.html( X6 a- t0 m$ _
i e9 Y( S9 a) ^# M3 k他由于这个db被覆盖就会出错,所以物理路径就爆出来了
( ^( R( C+ U8 E1 C# H
P. K' _ S* [7 Z) W: S0×04 SQL注入!!!; N. G0 H% c7 |/ j8 h* g
) n! {, D1 O1 W. [) Z; A9 x 在c.php中4 @" E4 d9 ^8 e# w% D( R" d- y! J
' R& r- H0 ?2 f) L! f- V3 B 3 }! H+ U' \7 O: ]
0 T5 u( [& p Y* Q s4 z, H6 M
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } " b% v6 g) A' B/ V9 B+ h7 g4 p" ^* M
) S# k* x9 V; K. ]3 e# {
; D! A2 A+ W7 q- z8 {
" i5 n- B$ e4 p" I% c$ v2 J7 l5 f3 K注意这里的HTTP_REFERER这个常量7 e d! ]5 b4 Z. n! J+ I: A7 P9 k3 Q
* D* n8 A5 |7 m2 o* W) g7 A这里的常量是通过前面的common.inc.php定义好的5 x9 K, s+ M7 K5 _0 R3 s6 k+ Y
- H% G, _( V f1 t$ K' p0 l' e& ^define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
6 i% x, y+ \+ A5 Z& ]
$ h9 s) r& @. n: g/ c没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我3 e7 k* d8 x* X: X, F) b
& |8 R' T; d6 b I. W然后; i4 V3 }: v ~
- Q' m2 i, ~: a& x* g/ P$db->insert($table, $info);
& u% f9 @+ |5 Y7 K) M0 C* I8 c我们来看一下它这里的操作: e+ t$ ^! o8 Y
% _0 M. I* F8 K H+ q- jfunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } ; C* N. M$ n: v% s
7 u/ O3 S0 i( P( _3 u- x所以你懂的
; B' ^7 x: |& Q, r" x% `8 L4 s9 C* Y" y% s+ J" U* @
1 @ Q. }! V! z1 G9 p: x5 y9 e j* ?4 C6 m
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
% P: ]2 H2 I; B! l1 ~6 F/ K6 z. P% h/ v3 N: ?( x& d
7 P/ a1 w& Z1 x! Y
7 c& {% N2 ] |7 w. V5 ^ |
发表于 2013-3-25 20:43:29
收藏
支持
反对