找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2452|回复: 0
打印 上一主题 下一主题

PHPCMS 2008 最新漏洞之通杀注入漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-25 20:43:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
0×01 前沿
3 I# d" ]$ n1 j
. ]% i; J4 V$ J0 B      Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms  采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms  团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms  得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站。5 Z' Z+ w( U1 [- ^2 s2 Z" N
4 o  l" L/ Z* r4 x4 Z( P
0×02 写在前面的话% S" k( O! \$ ?9 g$ m3 ^$ b! {
7 I1 v! S0 G& Q- p
    phpcms 2008 这是我看第二次代码了,之前已经发现了一些问题,只是没放出来,这次稍微仔细看了看,又发现了一些问题
! @! G  K4 X+ c0 E2 m9 k7 Q& V' T8 f- o8 A  u2 v
这次就放2个吧,其中啥啥的getshell暂时就不会放了,比起v9来说,2008的安全性能确实差很多,模块化以及代码严谨程度也没有v9强( G' l3 ], Y2 k. T& E
% l  T  S& Y) k% u6 _; ]5 D& I
这次还没把代码看完,只看完几个页面,就先放2个有问题的地方,如果有更好的方式,到时候一起讨论' [* j, A! D& c/ T# f

: W% P  ~3 c- u) G! d0×03 路径? ? ?
/ z" a! s0 v/ w3 e& T0 E9 ^1 y% a) R" R$ [' i9 u/ c7 {
    在include/common.inc.php中 ,这是phpcms的全局要加载的配置文件
4 O: X2 f) Q) r+ a
  ?9 x- L* j3 e( I" `2 q% |' o4 a$dbclass = 'db_'.DB_DATABASE; require $dbclass.'.class.php'; $db = new $dbclass; $db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET); require 'session_'.SESSION_STORAGE.'.class.php'; $session = new session(); session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN); if($_REQUEST) { if(MAGIC_QUOTES_GPC) { $_REQUEST = new_stripslashes($_REQUEST); if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE); extract($db->escape($_REQUEST), EXTR_SKIP); } else { $_POST = $db->escape($_POST); $_GET = $db->escape($_GET); $_COOKIE = $db->escape($_COOKIE); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); } if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS); if($_COOKIE) $db->escape($_COOKIE); } if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
0 u6 Y, [! h" D: m5 M! Y- I+ |0 m% C
这里的话首先实例化了这个数据库,产生了一个$db资源句柄,他是用来操作数据库的
* z0 x. D8 Z2 \- [
$ u/ i: k2 M0 N然后就是将我们传进来的参数进行变量化1 \) U$ k2 K# c- ]& x$ \
9 o% Z% M, h2 c( r7 |) Z
这里有一些小过滤,自己可以看,所以这里传进来的参数就作为了变量
* R( C5 b# _0 T$ R! B) o2 I
5 D. u2 O3 b& z8 t- s7 C但是接下来这行呢?8 |8 E: A0 e" L( ^& ~1 @, g: c9 O

) g" o% i6 D+ i& C+ H% k" E 7 N) F. I3 P5 @4 N$ g+ E$ s
+ J; k( K& j) A- R$ ?+ }
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*)\.(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar)) { parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1])); }
' S8 y0 j. s) k" C$ i
% U/ t0 F9 U/ J4 k/ z 1 m2 z* g% M* k5 k$ h" {  Z

- ^  n) T- X, B* f看看这里?
) `% h6 u9 u0 Z2 ?% c  o8 n7 M7 }; {. U/ J9 R0 H* a/ e
这里的QUERY_STRING来自前面
* S. Z$ C$ l( O  V9 i7 ^0 y
1 `. G; j1 R/ @- O- P
% H  `2 a1 D% W/ L) n
  P& x5 {  I6 b2 a, r8 Q4 m( bdefine('IP', ip()); define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''); define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*)\.php(.*)/i", "\\1.php", $_SERVER['PHP_SELF'])); define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));
7 g. l5 H- Z% A5 e- R这里有个过滤,但是不影响
* \  X$ g1 r! c8 h/ k$ @
4 _$ v! a. I5 f6 i% {% Q. X如果我们在这里进行覆盖这个db变量呢
: ~& I1 M) v5 d2 G  V$ s5 t8 i) }& h% o0 t. j/ v
因为这里 parse_str(str_replace(array(‘/’, ’-', ’ ’), array(‘&’, ’=', ”), $urlvar[1]));
; C9 W' Z/ t- e% `: i( Y; C9 Z$ Y8 o5 L% b
可以将我们传进去的/ - 进行替换
, h# R" `' D, m; P' B: m, h6 J" J) M+ u2 T
所以我们如果提交如下字符6 \$ @. K. V0 A# ^$ [; x" d$ N, ~

6 E7 {* i' s2 k6 `( W; Fhttp://localhost/phpcms/index.php?db-5/gid-xd.html
) `2 {. I  ^, p7 K" O) o- I4 P/ e: p5 `4 ~5 x
他由于这个db被覆盖就会出错,所以物理路径就爆出来了
/ [, d( X) r3 E" X- q" E# W! ^! u8 F' n( W* s
0×04  SQL注入!!!8 d" x+ t2 x4 W" i) T1 C
3 @* u" B5 n7 A- @
  在c.php中; O$ U0 i& F3 Z

, a3 \6 f& U5 D4 [* ~+ l3 d
! v6 d! Y/ F" w+ [1 A* P' i" K5 v, A5 a
<?php require './ads/include/common.inc.php'; $id = intval($id); $ads = $c_ads->get_info($id); if($ads) { $db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']); $info['username'] = $_username; $info['clicktime'] = time(); $info['ip'] = IP; $info['adsid'] = $id; $info['referer'] = HTTP_REFERER; $year = date('ym',TIME); $table = DB_PRE.'ads_'.$year; $table_status = $db->table_status($table); if(!$table_status) { include MOD_ROOT.'include/create.table.php'; } $db->insert($table, $info); $url = strpos($ads['linkurl'], 'http://')===FALSE ? 'http://'.$ads['linkurl'] : $ads['linkurl']; }
) ]  T7 Z$ E0 K6 Q, }) E' _  a# J" x1 Y  r( s5 ?1 y# q
, _% k% Y( E& t. P2 h5 `

. j: B: `. o# \+ d+ D# o8 N注意这里的HTTP_REFERER这个常量- z0 M6 p/ p" f# s( f1 ]

# t9 z+ [9 Q; F3 J* v+ f这里的常量是通过前面的common.inc.php定义好的
5 B  B1 v$ B# R5 n7 M$ n
1 p' I$ Q: v7 K5 `* T/ Sdefine(‘HTTP_REFERER’, isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ”);
3 Y8 M1 R- m( c0 |3 u0 N
) w, n7 q/ P* I, R3 n2 Z没有经过任何过滤操作,所以你懂的,我估计很多同学已经发现了,只是没去公布了,所以俺就替你们xxoo了,哈哈…别骂我8 y/ h& {; u! R
7 }9 m( h1 W5 S# i, h* C
然后
: x6 P9 C; g% Z2 y" T+ A3 ]( E: C( V7 ^& U2 b( y
$db->insert($table, $info);
5 V& j7 ^0 A! B+ b. I8 o( O我们来看一下它这里的操作2 C' H0 t: Q& F  M" d

/ N1 N: B3 m( J% j) b7 _+ A# Qfunction insert($tablename, $array) { $this->check_fields($tablename, $array); return $this->query("INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')"); }
* a3 a. q2 U9 V( M  R0 T
# e2 o8 t8 i2 J所以你懂的# |( j: q1 Z' n2 o4 @( W: ^
7 I3 |5 k8 W& g; F6 Q$ x6 q, D0 B: J! h
* |& i) S7 i+ a- ~2 l* T( k

& s, D% U6 {& O7 F& M附EXP:http://pan.baidu.com/share/link?shareid=468231&uk=4045637737
! l0 R3 u6 |4 b8 l$ X6 s  O' h& v6 ?4 k

' n: \0 h/ M( x3 s, f0 z6 N, o6 ^- @' S& Z
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表