0×01 前沿
) [5 G8 x8 C/ t: s& I4 M6 Y; P( Z* x, w/ C: P4 r8 c
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。
& k( f# Q* f+ x# j
' u+ f( g, I' O9 @; J8 a+ O3 J7 X0×02 写在前面的话
: n4 s4 R4 c/ j X9 N
/ a+ w: Y e w- m1 C! B, D' Q phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
2 s4 W/ o: W+ L; ~/ N, J( `* m7 R- H
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强* A' V9 Y+ {- w9 R8 J+ C; D1 C E
1 r6 _0 \! x' Z) W* t4 b这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论! s+ t% C6 }- k! l' L
$ r( [, n/ `. @0 p2 ^ C
0×03 路径? ? ?) V- D) {) W: t! Q
7 W, F4 T; W9 N1 K! E 在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件9 f% H* a% J( h7 y% r# K- [
& L3 Q+ \& G) ] `
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } 2 M6 E$ @1 D5 X# n3 }4 X1 B6 o
- }1 v4 R9 W6 W( l$ }这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
' Q$ K. o5 d2 ?
4 t8 C& }. g2 ^. U8 l+ ^然后就是将我们传进来的参数进行变量化
; Q; r: T2 g# C* L* t5 e/ `5 A+ l: W8 k3 ~. @- Q9 {$ e7 n' W
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
1 x0 B0 j# i1 @: U# D! C2 q' P
但是接下来这行呢?# ?4 A+ ^# j0 N/ Q
8 }7 [# a( ~, }! W v$ M* g) R# Z% n4 b# W& b [
% _: b/ y* v9 x3 u" Q) Qif(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
- C6 C3 _- Q6 g! a8 g
% B0 J/ N8 N. Z/ Z% `
4 S( t5 E+ u5 _8 W5 \5 X* R
( l( z' _" C5 R( M7 U# b8 ~看看这里?
9 t9 k! K: ^, x/ A* J. R& T" u& W4 C1 b7 W# k
这里的QUERY_STRING来自前面
4 K% |( e1 @4 C7 e% @
& O- k( h) K8 I6 B, i1 E. T6 K
" z/ b* i0 j4 L$ |9 J( j$ p
5 l! R$ G' L; v+ n! S6 b; P y+ gdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
3 P6 b l0 O9 m这里有个过滤,但是不影响
' T8 \8 D1 D; [' t- q$ Q4 t- Q" {5 c @+ z
如果我们在这里进行覆盖这个db变量呢
+ {1 s# o/ C4 ?* V. }1 E, |6 S/ {: f4 V+ G7 U: z5 C0 |
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
! ~2 ~$ |( Q' V/ E
2 a1 n' [+ W5 @# }; [( b0 {可以将我们传进去的/ - 进行替换; @& [) Z+ a% u
+ @( V. G2 j8 ?: ~; _8 ]+ V% i
所以我们如果提交如下字符/ Z1 C- D" v' ?0 _5 V
X; s" W1 T7 E( A; Zhttp://localhost/phpcms/index.php?db-5/gid-xd.html
3 e, g1 U# g+ Q0 d1 H( Y: a9 H& t) a. a" O8 s8 W( I* v- m
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
2 L" }8 S" P* E( o
; P9 X0 T! t: J0×04 SQL注入!!!
4 \( g3 p$ S# ~- y
1 w* B4 W& f$ |5 S" v3 G# z 在c.php中; e( d+ K: I5 w( M) C
, r- `: }% j+ {+ ?
2 r6 {& s+ r; Q" r4 F( Y/ R: m- }) j E% m; |7 \& s2 \* M9 ~
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; } @9 O/ L1 F( R# C
0 \9 O9 [% \+ @9 q 9 f$ k2 ?8 c6 ^2 U! _2 @' @ w/ Z
3 m y- @, W8 t% g e; J/ S2 d9 ^5 K
注意这里的HTTP_REFERER这个常量' ?9 w$ v# I/ G2 x7 _ @
1 Z1 V3 L; Z: \5 Z, r6 I这里的常量是通过前面的common.inc.php定义好的: j. `: z# F: u+ }( ? v) i4 P4 e
5 c# }: `8 ]0 u1 w
define(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
, W6 O9 d4 _8 N4 q4 g% l' g- ~, ]& d- O' ]
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
Q: ?8 x6 ~: e: r' U" l9 K% o0 y
2 h1 U8 m7 H) [/ A* |然后# R* D) ]+ I1 G+ @
) G" V- [5 K! \8 Z9 b$db->insert($table, $info);* @% X- h- w& @4 R/ d# B
我们来看一下它这里的操作8 p' R2 j1 I# o4 t8 [. ]$ c
% D/ }) v' y6 _' ]3 Q& o
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } W. G) f7 P/ `2 Y: O6 P' V
; r. @; L( d' a. w所以你懂的% a! X5 c: {9 @( C+ Q/ m
% [- v1 ]' w/ { [+ A* `0 g 2 w- M+ `, A4 U/ c
6 r/ T8 v7 V) | L. ?4 f( t) N
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737( l$ l1 A+ X. E# l, B8 B. V
/ ]$ E' ]8 @+ a 0 b2 U4 N! m0 p: V
+ K& j: J2 O- W+ P& @ |