0×01 前沿
0 B; r( ^& D! U7 x$ y# n9 o& }/ R/ \% y( y% E) n1 W
Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。* ] p& a* S- v! i4 ]
4 f/ Z! M' B* D* ]( Q
0×02 写在前面的话
: V) L7 [/ }9 ^
& A& e8 V( F$ L* }: ^/ r phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题7 s5 R- d7 r3 \" Q* r# r a
) h5 I: a x- X3 Y2 Y这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强' v; m3 ?5 s6 P" w8 Q- s
2 e2 f# A7 k% }
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论$ g, P& [ u6 L# M1 z
* e/ o( r( n( ^% L$ H( e) |5 P$ k0×03 路径? ? ?
4 ?+ D& {. J1 G6 B1 t; L! ^5 J6 }( T3 R) |7 K
在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件5 i0 D0 A' b9 \' ~1 l
# z( }4 O! B- q+ @! W L$ a$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
* G* g7 U+ ?: `* V6 @, }5 D
: j0 R, s# y3 F8 I0 t I. B这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的7 D) [7 M8 v% Y5 q- I% r
/ B4 v7 n9 h- s# ]" @# R
然后就是将我们传进来的参数进行变量化/ }& l2 p/ J! V4 P
$ `; e; `) x; R; Q1 k
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
/ [; ?7 k" k& K3 F& V! M) R% i
, F/ i! q5 i6 d) f但是接下来这行呢?) Q& L" B3 Q5 f3 T' i% T
@- Y2 o- ~5 k8 i- N% n
% E: @9 s; |% D2 }. D8 w4 s
# K. J, t* `5 H$ z5 \if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } b8 ~' u0 G; ]6 W3 n3 ^
& K4 L9 g" e3 J0 V# |9 }
5 Y* W1 y- K! a+ R5 E6 P. I
2 g9 X8 ^7 ~4 U; f0 z8 m看看这里?
# F: |/ i; ^' \* Y8 i0 @( E5 V
6 }+ U S0 ?7 n这里的QUERY_STRING来自前面
3 B% z+ t- A6 a+ u3 G+ ]" W# T+ S
6 `3 i2 R' R5 h9 l1 ^# ?2 R1 ]. r) m' W" |7 u- D+ T; \3 M4 [
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));1 }9 W, l8 n& [
这里有个过滤,但是不影响: X. w. \0 a! f
. v& J5 H0 g# ^: S8 A3 H- I1 B如果我们在这里进行覆盖这个db变量呢# }5 ~5 L0 _% X( l+ R
- ]* j5 \" y" U% S( O# }- C5 _
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
3 m5 R6 z4 x$ p# l, v
( }: p( d% w- w0 m6 L9 Z- T可以将我们传进去的/ - 进行替换9 u: Y( { T0 ]* @6 I
9 @) u1 @, x( [1 a6 A
所以我们如果提交如下字符
% V/ R l3 ]" M1 E, W/ \8 C: h9 n
http://localhost/phpcms/index.php?db-5/gid-xd.html
" E4 ?9 B0 ~9 y' Q( C* ]
7 a# ~5 }5 \5 z他由于这个db被覆盖就会出错,所以物理路径就爆出来了 x( `. R. V% T
$ c; r, s' i @5 J* j
0×04 SQL注入!!!% {7 W2 p+ s7 L2 t) \7 L4 R8 l- F
% ~% @4 F( p, ]" H1 d D0 s
在c.php中$ K2 h& l3 j& @6 V, j4 ^5 {; G4 w6 Y
9 F$ Q. ?6 a6 v3 f: U
0 ?- f: B* I+ W; w" N
% {4 ?3 D4 B& d) x8 p% H
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
8 E" z, K' e: m6 p
4 J6 A% |0 C+ a' I5 C
3 ^; q& [- g l) ?6 |) C" N2 z% w$ b6 C( U
注意这里的HTTP_REFERER这个常量
7 q! P+ |* H, C X1 @5 e' r7 g" A3 ~( y l& ], U
这里的常量是通过前面的common.inc.php定义好的
+ `! I( s& o4 r6 c
) h' o Y, J1 r! q) r7 d3 odefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);6 g H; u% T' Y
/ ~/ i2 t0 ?& J0 Z- ?
没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我
! {' R, j5 r( i% J& Z- S7 V, `+ |4 G0 g" x- m8 k
然后
9 ^* u; d. B/ @/ U9 \; D9 n' d1 S0 h% A+ |# t: \( f: W+ T
$db->insert($table, $info);
% J& w4 I0 O& r3 _我们来看一下它这里的操作
" H6 m) ^3 t, m3 i1 q/ E4 B2 b) s* }' w# U) A, T
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); } 0 |; [5 U4 S$ ^* g& L3 k- Q
- a r- s4 [) h1 o; U
所以你懂的' i; N& o t, E2 u$ _9 W a
' o1 {$ q2 _* H: K6 ?4 r, V
) K! E E X! C/ u v* O
4 j) V' {$ ~ L附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
; G( i: H3 z% ?. V) T% T% G1 L3 m% G d6 Q; m, E# ]- |; Y
$ N2 i7 o0 B, q; B- `; E
: T# u. \) G, s$ y0 H7 ^( q/ P' v
|
发表于 2013-3-25 20:43:29
收藏
支持
反对