0×01 前沿; }) A& D- f0 a$ w
3 c' k1 A( N# F4 W/ t Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。' Y; W9 s1 m6 i1 S* ~0 a B
& c7 f/ i: m( e6 X# a' U
0×02 写在前面的话# h5 c1 s7 B% Q$ \; ~0 w
K* v: j$ C# g& `# w$ Z/ n phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
! E. U6 w% b; l8 u9 O) f, y& d) I) ^% t5 [
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强
1 `% L4 ]7 c( m2 E9 Q0 i3 M( m( \$ K b- l6 N& N* m, o% S) V
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论
/ M) g r3 ^7 k* B% ?4 l4 h7 X
& ~1 c% N7 L% h2 M' g0×03 路径? ? ?, e% ]0 E- B9 N
1 N% z. c% a) y2 D
在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
& g/ u) N1 J6 C9 r/ b9 Y; ?: m2 n2 V1 D
$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } ! t2 ]: Y( `: Z1 r) ]& a8 R
) l7 p7 ~! B% ^5 Q w$ |这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的) u5 ]4 V) T: d7 b" W! P
$ q t* C+ A/ _, p( R
然后就是将我们传进来的参数进行变量化% `9 c+ j0 T4 @1 y, B7 L) o, M
8 g! |% b1 F5 h2 A
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量! K3 {, b8 C! u/ O/ l* h
: s1 D M3 H7 @3 T2 p: R
但是接下来这行呢?
* e: b" T* \% m$ r( [, G8 X7 B" j
- N+ i4 I3 Z' P& ? , v, ~% X, P' `$ b* O3 r% G+ j
, O& v8 A i, w% v7 Z
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); } 3 ]* j& P: x( L8 M( Z- l
- g+ c9 U! J$ R F
% o0 B9 ~- I4 y3 X- P% U2 E; V& x" G( Q; o' K. n% `
看看这里?
) _' g1 l) b2 T; P* I. ^3 L0 J4 v0 N
这里的QUERY_STRING来自前面
$ D9 Q* C* ?3 M) w9 V8 I7 @3 G6 v$ v4 G1 U" R
2 q! r; b1 X2 |4 P0 T: | q8 G' [
2 E6 F1 I6 r7 d6 {. V9 k" h
define('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
! X3 C7 T# T4 j这里有个过滤,但是不影响
# ~5 U& s- g4 C* d. `5 j* T% f! |+ r$ {( k
如果我们在这里进行覆盖这个db变量呢
8 ?) k9 r0 X' S
+ j0 g% _/ M1 ] ^3 s* j因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));) P7 K7 a) B% y B7 Q! X
0 |' ^2 a3 Z) A可以将我们传进去的/ - 进行替换, x, k# S# q* ]. z, T- R
% H5 j/ O8 \5 v8 J- g
所以我们如果提交如下字符1 @3 @; [8 u( P7 C0 G2 ^8 S1 O) d8 s
0 R* l6 n! J+ {: n8 G& thttp://localhost/phpcms/index.php?db-5/gid-xd.html& | m5 }1 Q+ Q
* e0 \) g$ I& @0 Q7 [
他由于这个db被覆盖就会出错,所以物理路径就爆出来了4 b/ Q0 u# Z/ R
Z; J: e, ~: E F+ W0×04 SQL注入!!!
/ t8 ?! G; {6 R3 |; A6 e: c0 b# |9 v4 `: p
在c.php中* K9 u& s N% \) \. s5 ]) g
, I8 e( l' j: ?
# o) X: h5 d" t9 A5 m/ P0 L8 d
- ?3 J# _" D0 u1 h) a
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
& h8 I! m: f0 h4 ]& I$ y# ?2 k
: X" A: B' A; O+ N* ~4 \. N
. G4 Y1 S7 W. \5 K$ Q+ p2 q- X1 d: E. P$ M
注意这里的HTTP_REFERER这个常量
# }; _/ l4 V- J. }
* y* l$ Y/ ?$ A( B这里的常量是通过前面的common.inc.php定义好的) b6 B# i8 ~+ d* L0 L' K8 I
. g* J( J Y$ u) Tdefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”); ^/ L ]; a' V% [3 P3 ^
f/ {8 l' k- T7 c9 n没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我7 ~" k$ ?* s' u
# h! {; H8 f+ L+ t
然后
; o+ ^/ T7 L2 e
/ J" N% M7 g6 `! _+ y$db->insert($table, $info);7 K; p) ], F2 t2 p# i! y5 f
我们来看一下它这里的操作1 w' p `+ O" Z8 P" q3 [7 }' D
( g+ z W u1 z8 O9 m$ m+ M
function insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); }
% M3 S, Q7 U# W& G3 p! c! z% O) {6 n8 H" q
所以你懂的; q( {. [$ Q& J: ~. O) ^4 ^
' S d- _6 E- z. r
3 o0 E7 u! `" g) n0 ^& U+ p. f$ q; Q1 @
附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
' P. t d2 X; H+ d5 o+ a0 U# p4 n+ v# L& f* ^
/ o# D Q6 Q5 q# g$ l
% d: z7 A0 Y Y, Q3 k0 f5 a
|
发表于 2013-3-25 20:43:29
收藏
支持
反对