PHPCMS整站系统漏洞分析.docVIP

PHPCMS整站系统漏洞分析 （原始稿件，已发表于2010年黑客手册第一季） （廖坚先）Bykid@广东科干 今天要跟大家分享这个漏洞是版本为phpcms2008SP3 _gbk整站系统的，这是个包含漏洞。立刻进正题，最后再总结分析； 漏洞还是出现在最容易被忽视的wap模块，打开wap文件夹下的index.php文件，关键代码如下： include ../include/common.inc.php; include ./include/global.func.php; $lang = include ./include/lang.inc.php; if(preg_match(/(mozilla|m3gate|winwap|openwave)/i, $_SERVER[HTTP_USER_AGENT])) { //这里检查浏览器是否为手机的，但是可以伪造HTTP_USER_AGENT绕过 header(location:../); } wmlHeader($PHPCMS[sitename]); $action = isset($action) !empty($action) ? $action : index; if($action) { include ./include/.$action..inc.php; //重点 } 第14行也就是“include ./include/.$action..inc.php;”，程序员很放心的直接把用户提交的$action变量放进了包含文件的路径中，虽然后缀被限制成“.inc.php”，但是有没有想过管理员的管理模块的文件也是后缀为“.inc.php”的呢？而且很多这些模块文件都是用常量“IN_PHPCMS”作为防止直接访问的标识，同时管理员的管理模块的访问权限的检查是在整站根目录的admin.php文件进行的，那样我也就可以放心的包含了。还有一点值得高兴的是因为是“变异”的包含文件所以有的变量是没有初始化的也就是我们可以控制了。但“杯具”的是很多模块的功能小模块是通过“switch($action)”来运行的，也就是这类型的文件我们只能找“default”语句块来利用了。 经过双手都数不清双击打开文件检查，找到了一个不算完美的利用方法。可以包含的文件是“include/fields/box/field_add.inc.php和field_delete.inc.php”，“fields”下的文件都是对表中的字段操作的文件。这次要进行操作的字段是“phpcms_member_cache”表（PS：这个表是phpcms_member的镜像表，真搞不懂为什么要搞出这个表来）中的“password”字段。为什么我会说不完美呢，因为是操作的是password字段，不是一个记录，但是却可以达到进入管理后台的目的。field_add.inc.php和field_delete.inc.php关键代码如下： field_add.inc.php ?php if(!$maxlength) $maxlength = 10; 。。。。。。。。 $sql = ALTER TABLE `$tablename` ADD `$field` $fieldtype( $maxlength ) NOT NULL DEFAULT $defaultvalue; $db-query($sql); ? field_delete.inc.php ?php $sql = ALTER TABLE `$tablename` DROP `$field` ; $db-query($sql); ? 接下来说我的思路，首先是通过“field_delete.inc.php”删掉password字段，然后再通过“field_add.inc.php”添加一个默认值为admin的MD5值的password字段，这样所有的记录的password都是admin了（很郁闷吧），不过最后还是可以把“phpcms_member”重新复制到“phpcms_member_cache”表中的。 实践是检验真理的唯一标准。实践用的是“phpcms2008sp3_gbk_091230”，但打过“phpcms2008_patch_gbk_100125”补丁。实践要用到的文件如图一：首先运行“drop_cache_password.bat”删掉删掉password字段，相关文件“drop_cache_password.bat”（内容如图二）和“drop.txt” （内容如图三）。“drop.txt”提交了变量action（包含的文件），tablename（表的名称），field（字段）。执行之后如图四表明成功删除表，：接下来