php变量跟踪,PHP漏洞跟踪报告

最新推荐文章于 2024-03-06 10:14:43 发布
最新推荐文章于 2024-03-06 10:14:43 发布
阅读量117 收藏
点赞数
文章标签: php变量跟踪

阅读:

2,561

由于SugarCRM 6.5.18系统没有对提交的url参数进行过滤,攻击者可以提价一个构造好的url参数,从而将恶意代码写入网站目录中的配置文件中去,配置文件进一步被其他文件包含,导致恶意代码被触发。

97e93ae5dcc94f7f0efc568e756ba5de.png

修补情况

SugarCRM新版本中被修复。

参考资料

http://seclists.org/fulldisclosure/2016/Jun/51

技术细节

现在已知的POC如下图所示:

执行POC,我们可以看到这样的结果

776ce81e3789b494e77fb94e83f19cd3.png

执行POC,我们可以看到这样的结果

67e218599f0897bcf60f2e449573810c.png

下面我们就要通过poc去分析漏洞的形成原因。

找到文件\modules\Connectors\controller.php

ee3302bebd68974836f244426ce5936b.png$source = SourceFactory::getSource($source_id); 这里动态调用了函数getSource()

我们来看看getSource()函数

ed1aac3a3506aa659930e615c16eac3d.png

getSource()函数在这里包含了\include\connectors\sources\default\source.php

我们回头继续看controller.php

50bafe6564fda9be280973e5aeb7e74c.png

这里用了个foreach进行遍历,将$REQUEST提交上来的键名赋值给$name变量、键值赋值给$value变量,然后在判断键名中是否有符合正则表达式”/^{$source_id}(.*?)$/”的匹配内容,并且将匹配值赋值给$matches变量。

我们来看一下poc提交的所有参数module=Connectors&action=RunTest&source_id=ext_rest_insideview&ext_rest_insideview_[%27.phpinfo().%27]=1

这里参数&source_id值为ext_rest_insideview

经过匹配,最后的结果为:

$properties[“[%27.phpinfo().%27]”] = “1”;

接下来看下一条语句$source->setProperties($properties);

Set Properties()函数在\include\connectors\sources\default\source.php文件中

3b19c0edf929358576dbb6ade986bc8f.png这里把$properties数组赋给$this->_config['properties'],这里相当于生成了一个二维数组。

并且$this->_config['encrypt_properties'] =true

然后再看下一行代码$source->saveConfig();

saveConfig()函数同样也在在\include\connectors\sources\default\source.php文件中:

20d58e17925fbfa25446f7a8b671b385.png

我们看一下红框里的代码:这里调用了override_value_to_string_recursive2()函数进行拼接字符串,接下来我们看一下override_value_to_string_recursive2()函数。

override_value_to_string_recursive2()函数位于/include/utils/array_utils.php文件中

d478055c94e3892a0349c0e77cefd79b.png

经过函数处理,最后输出的值应该为$config[‘properties’][”][”.phpinfo().”] = ‘1’;

然后被写入custom/modules/Connectors/connectors/sources/{$dir}/config.php文件中去。

整体流程下来,我们大概了解了poc的构造原理,也明白了漏洞触发的原因,那么我们再看一下poc

b962a2b78f9296b2adca1e58ff9f84ec.png

这里面的source_id的值即“ext_rest_insideview”字符串貌似没有什么作用啊,看起来只是让source_id的值的后面的变量名前半部分一样就好了。我尝试替换下试试。

009f817d7e2454d95f845d82ab9e0b8c.png

但是不能触发漏洞,结果如下图

ed2bcfd121af4ee65d869ae7b5a45547.png

发现SourceFactory.php的61行出现错误,我们看一下getSource()中的内容:

05e4d678706731cdcf5f42acbd18237d.png

看来是load函数出现问题了,load()函数位于include/connectors/ConnectorFactory.php中

363bdda60c0f9f7c7d5fce99a52df14e.png

可见load()函数调用了loadclass()函数,根据报出的错误猜测是loadclass()函数没有包含到相应的文件。

我们看一下三条if语句中要包含的文件:custom/modules/Connectors/connectors/{$type}/{$dir}/$file

modules/Connectors/connectors/{$type}/{$dir}/$file

connectors/{$type}/{$dir}/$file

在这里,$type参数是固定的,即是SourceFactory.php传入的’sources’

6e348deec2211df89621bc5cc9e560ef.png

$dir参数就是用get传入的source_id拼接的,例如source_id = “a_b_c”, $dir = “a/b/c”

$file参数要是$dir最后一个目录的值加上”.php”,如前面那个例子,这里的即$file = ”c.php”

所以我们要找到一个存在的文件满足如下一个条件,就可以触发漏洞:1、custom/modules/Connectors/connectors/sources/a/b/c/c.php

2、modules/Connectors/connectors/sources/a/b/c/c.php

3、connectors/sources/a/b/c/c.php

这里a、b、c可以是任意字符串

我们这里找了一处付符合条件的举例说明:

9eab579f1be6c020d7147ef8c7b4b438.png

漏洞检测

如果对目标网站服务器中的url申请中含有poc中所示的请求,就有极大的可能是攻击行为。

如果您需要了解更多内容,可以

加入QQ群:570982169、486207500

直接询问:010-68438880-8669

Fred Camille
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP网页常见漏洞
L_lemo004的博客
07-20 2125
PHP网页的安全性问题 针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(Command Injection) 2.eval注入(Eval Injection) 3.客户端脚本攻击(Script Insertion) 4.跨网站脚本攻击(Cross Site Scripting, XSS) 5.SQL注入攻击(SQL injection) 6.跨网站请求伪造攻击(Cross Site Re...
PHP代码执行漏洞总结大全
热门推荐
LJW_IIE的博客
10-11 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
sugarcrm php版本,安装SugarCRM 6.5版本
weixin_33480732的博客
04-01 240
环境:CentOS 5.8,安装了Asterisk 1.8升级php到5.2SugarCRM 6.5: Minimum PHP version required is 5.2.0. You are using PHP version 5.1.6官方的yum源里面没有,如下添加一个额外的源:# rpm -import http://www.jasonlitka.com/RPM-GPG-KEY-j...
php 5.6.22 漏洞,SugarCRM v6.5.23 PHP反序列化对象注入漏洞
weixin_34840783的博客
03-19 551
Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-120x00 漏洞概述1.漏洞简介SugarCRM(http://www.sugarcrm.com/)是一套开源的客户关系管理系统。近期研究者发现在其<=6.5.23的版本中存在反序列化漏洞,程序对攻击者恶意构造的序列化数据进行了反序列化的处理,从而使攻击者可以在未授权状态下执行任意代码。2.漏洞影响未授...
php执行跟踪_PHP 代码调试跟踪工具 Ytrace
weixin_42602241的博客
03-08 483
Ytrace是一个PHP代码调试跟踪工具,通过将PHP代码执行过程记录到文件中,再通过webui界面展示出来,并且支持单步调试的方式去查看执行过程。主要特性:可以可视化的看到源码文件哪些行被执行了通过点击行号,直接将执行跳转到对应的地方根据单步历史,往回执行设置断点该调试工具由三部分组成:使用介绍:1、安装PHP扩展git clone https://github.com/yangxikun/yt...
覆盖变量漏洞
weixin_52351575的博客
11-12 1160
\> $a = 1; $b = 2; $a = 3; echo $a; => 输出3 .代码从上而下执行,$a被多次定义\> 经常导致变量覆盖漏洞场景有: $$使用不当 EXTRACT()函数使用不当 PARSE_STR()函数使用不当IMPORT_REQUEST_VARIABLES()使用不当 开启了全局变量注册等。变量覆盖的漏洞危害基本是白盒审计,课堂上老师讲的Session覆盖有点特殊 还是先一步步复盘靶场整个步骤吧 第一步: 你手上有一套CMS,现在你对他就行白盒测试,你在Seay里面添加了一个规则
PHP常见函数漏洞
Elite的博客
04-11 2571
常见的PHP特性(bug)总结,干货满满哦
php常见的45个漏洞及解决方案
qqrrjj2011的博客
03-06 2488
php常见45个漏洞及解决方案
PHP5.5.9整数溢出漏洞
qq_53099802的博客
05-26 2501
php5.5.9整数溢出漏洞
PHP漏洞全解1-9.pdf
06-23
根据提供的文件信息,本文将对其中提及的PHP安全漏洞进行详细的解释与分析,并提供相应的防护措施建议。 ### 1. 命令注入(Command Injection) #### 定义: 命令注入是一种通过向应用程序发送恶意构造的命令来...
php str_replace的替换漏洞
10-30
PHP str_replace 函数的替换漏洞 str_replace 函数是 PHP 中一个常用的字符串替换函数,但是在使用时需要注意一些潜在的漏洞和问题。 str_replace 函数的定义和用法 str_replace 函数使用一个字符串替换字符串中...
PHP反序列化漏洞.pdf
08-10
PHP中,对象是数据结构的一种,包含了属性(变量)和方法。例如,下面的`TestClass`类就有一个公共属性`$variable`和一个公共方法`PrintVariable`: ```php class TestClass { public $variable = "这是一个字符...
PHP序列化/对象注入漏洞分析
10-22
PHP序列化/对象注入漏洞是一种安全风险,它发生在应用程序接收并反序列化用户提供的数据时。当不正确地处理反序列化过程时,攻击者可能能够构造恶意输入,导致代码执行、信息泄露或其他严重后果。在PHP中,序列化是...
php漏洞全解1
08-03
- **safe_mode**:虽然此选项在较新版本的PHP中已被废弃,但在旧版本中,开启它可以限制文件存取、环境变量的修改及外部程序的执行。不过,更推荐使用更现代的安全策略,如限制文件权限和使用容器化部署。 - **magic...
pillow-10.4.0-pp39-pypy39_pp73-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
avif-0.5.0-cp35-cp35m-macosx_10_9_x86_64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
pillow-10.4.0-cp39-cp39-musllinux_1_2_x86_64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
1250KVA本体基础图11
最新发布
07-27
1250KVA本体基础图11
PHP代码模糊测试:20种方法挖掘漏洞
作者强调在探讨PHP漏洞时,我们需要明确漏洞的类型,以便更有效地发现和处理问题。文章分为两部分:快速审计PHP代码的20个方法和自动PHP代码审计器(PHP Fuzzer)的介绍。风险级别从低到高不等,提醒读者仅将此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值