0×01 前沿 a6 L! a, s5 Y; `
+ B6 i! E6 f* g9 {* I Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
# V; C0 W$ R8 r3 b5 {/ ?1 z4 A ?% p4 c" R" D
0×02 写在前面的话
C% x2 l1 r( K% {* F$ p
7 Q8 X1 a9 h" O phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
: \! s- b7 p3 W1 W- M) u9 l7 U$ X! E' E5 E0 ^
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强/ O f$ h! l7 l7 d+ ], N
! P* _9 V! ]/ I3 i6 S+ \9 X. ~: h' h这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论$ Z% W' ]4 b5 O/ O0 i
+ |; z9 W& t: F; {3 P, H0 v- f6 ~
0×03 路径? ? ?
# O7 e( G; }9 A+ x2 T; Z
' q# p/ R/ @5 K$ {) ]# l 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
% {; X) f: X0 u/ `) M! L) }! g5 t$ C+ b2 S% `
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
; a7 d8 i4 S7 o, ?
+ G# C* L* l0 X3 ^这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
5 Q4 k5 U7 e3 ~8 ^8 {) } n2 V: E+ k% u/ o l7 w1 v# X8 v9 |
然后就是将我们传进来的参数进行变量化7 w, E! v- C7 D" ^9 d h( R
! V$ O$ A4 _! h( u/ O
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量7 s# c( W" q4 @# z: T' O
/ i3 ^0 h0 z1 i1 o
但是接下来这行呢?; b- K }5 F9 {3 e& q
* X0 w: g: L* \& Y5 ^% ?: C ) r. X8 Y6 @1 j( e" ?
+ s2 M5 N( N, z( eif(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
9 z5 w: v3 P: i; ~; P
# H! B: B3 `: e7 X ' X. k/ b" O( p/ v) o
7 p0 `& j2 E" U( r) G
看看这里?2 D. D; q5 g& Q& A
, r9 u3 J5 b. R
这里的QUERY_STRING来自前面
3 d" n9 |+ V. h2 p1 G; l) Y
/ j& ~# l$ u- ^" a
' ~- I @- \: R- q1 ?* O: M
0 E4 c, ~. K0 G9 D$ @! Fdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
! J) Y( H9 k! W) }" U1 B6 w这里有个过滤,但是不影响* S* J2 ~7 R/ I
- n2 C# t& j0 o0 ~# h
如果我们在这里进行覆盖这个db变量呢
5 F2 V) s/ x7 h1 M# G2 @9 M" J1 Q9 e( a7 ]% S0 V0 m
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));3 J, \8 J" Y+ k2 T& W" Y
6 l: a" u$ j _( v可以将我们传进去的/ - 进行替换
/ m' a3 ~2 H7 C, ^! S8 P1 q, h+ c) W& A3 L# i
所以我们如果提交如下字符9 P% a1 r5 M6 a5 t8 C5 Q, d. \- j
/ X+ s& [% `/ e6 O% w' h Jhttp://localhost/phpcms/index.php?db-5/gid-xd.html
* u" U2 A3 R* P% q+ A
( ?7 p9 B f( K5 e# i& f" A他由于这个db被覆盖就会出错,所以物理路径就爆出来了
/ X, d! N8 s$ n b9 r7 K; |4 _9 l+ F: `: ^
0×04 SQL注入!!!
. J* j3 b8 ~( H7 U) i+ J. j7 z: \* l- }" f# j
在c.php中
. C; X9 E" z+ l- v# _" O! U& k. Y2 z- u
' e3 O: ]6 l5 a! ^! ~
- w7 }" ?% G& j+ M<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } ; |+ P, C" Z- u( f0 G2 H3 K+ L' F/ T$ D
1 W2 J/ J x" K, z
( m* Y0 U/ G) L
/ \4 w4 ?9 e( O- b" \注意这里的HTTP_REFERER这个常量
* p2 w; z. Z) t# Q4 l$ h, M/ p" m3 D( J
这里的常量是通过前面的common.inc.php定义好的
9 x( {7 Z. U. {) u; D [% @8 g4 E) e7 h5 _
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
1 I/ \ G3 a* [/ b
Y9 J9 k# \& {! H" K2 n没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我! T3 W+ _: p/ G# D9 v4 W3 P
! j7 I2 k7 C! E5 @! L
然后
! o6 y/ ]1 w4 f2 v
, u0 H" Q# T1 t$db->insert($table, $info);
. c+ ?- }9 v$ q- g( @( P我们来看一下它这里的操作6 @1 u+ m& [' C: ]$ p/ Y
0 a j% B, R+ |5 _$ }" l9 Qfunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } 3 V$ m# D/ x' h) k4 e0 ~/ E" U v
* M2 Z3 S' @/ y( E& j J所以你懂的- X. r: C2 J: s) F# Q3 d1 _
, M+ W- z5 ^/ u' c+ N
* K" Y1 q; w L) \
7 W, R. S9 Y) T( L, Z附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737" M }$ }( ?- M+ W1 L
) B6 R6 C" b3 t( G& `
9 |5 V% W1 q* t2 X9 b8 P" `6 @! O! q1 E
|
发表于 2013-3-25 20:43:29
收藏
支持
反对