漏洞代码如下:
// go.php
$q_url=$_server["request_uri"];
@list($relativepath, $rawurl)=@explode('/go.php/', $q_url);
$rewritedurl=$rawurl; // 来自$_server["request_uri"],可以任意提交的:)
...
$rewriterules[]="/component/([^/]+)/?/";
// 这个正则限制的不够细致,可以很轻易的绕过:)
...
$redirectto[]="page.php?pagealias=\1";
$i=0;
foreach ($rewriterules as $rule) {
if (preg_match($rule, $rewritedurl)) {
$tmp_rewritedurl=preg_replace($rule, '<'.$redirectto[$i].'<', $rewritedurl, 1);
$tmp_rewritedurl=@explode('<', $tmp_rewritedurl);
$rewritedurl=($tmp_rewritedurl[2]) ? false : $tmp_rewritedurl[1];
break;
}
$i+=1;
}
if ($rewritedurl==$rawurl || !$rewritedurl) {
...
$parsedurl=parse_url ($rewritedurl);
// 这里的$parsedurl['query']就是要利用的变量了:)
parse_str($parsedurl['query']);
// 通过这个地方可以覆盖任意变量
include(basename($parsedurl['path']));
// 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(
这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[php>5.2.0&allow_url_include=on].不过没关系,还有更好的利用方式
来看下global.php文件:
...
unregister_globals(); //when register_globals=on
...
function unregister_globals() { //when register_globals = 'on'
if (!ini_get('register_globals')) { //already off
return;
}
// variables that shouldn't be unset
$nounset = array('_get', '_post', '_cookie', '_request', '_server', '_env', '_files');
$input = array_merge($_get, $_post, $_cookie, $_server, $_env, $_files, isset($_session) && is_array($_session) ? $_session : array());
foreach ($input as $k => $v) {
if ($k=='globals') {
global $kgr;
$kgr=0;
kill_globals($input[$k]); //globals is recursive -,-
}
elseif (!in_array($k, $nounset) && isset($globals[$k])) {
$globals[$k]=null;
}
}
}
在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_globals()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题。
如对本文有疑问, 点击进行留言回复!!
Microsoft Visio多个远程代码执行漏洞(MS08-019)
Microsoft Project资源内存分配远程代码执行漏洞(MS08-018)
Linux Audit audit_log_user_command 栈溢出漏洞
FoosunCMS Sql Injection Vulnerability
我要评论
网友评论