一个利用PHP中的file_exists()函数漏洞实现非法入侵的例子
前言
yccms是一款php版轻量级cms建站系统,程序页面设计简洁,生成静态html,后台功能强大,利于优化、超强收录、超强排名,适合做关键词排名、淘宝客程序,是个人、企业建站的理想选择。最近偶然间在互联网上看到了一个关于yccms代码执行的漏洞,详情并没有公开,因为有前段时间echsop代码执行的事件,让我对代码执行的成因很感兴趣,所以我就下载了代码看了看。因为这个cms比较小众影响并不会大,所以这里直接把漏洞详情就写出来了。
漏洞解构
如果想做实验请在网上自行下载yccms3.3也就是最新版。
搭建好环境之后,访问一下首页看看它加载了哪些页面顺便看一下入口。
在这里可以看到你访问首页的时候,其实直接跳到了count.php文件中执行代码了,这里我们直接去看这个文件。
这个文件起到了一个中转站的作用,按照指引进入run.inc.php文件中。
这里使用了魔术方法,在运行文件的时候自动将项目中的类进行了加载,并且执行了圆圈中的类里的方法,进入这个文件中看一下。
这里首先调用了一个内部函数,看一下这个函数的作用。
这里再回到上一个函数中。
圈中的部分作用不是很大,唯一的作用就是将这个漏洞限制在了admin这里面,不然的话a这个参数将变成不可控的。
再接下来,就到了重点了,这里使用了file_exists这个函数判断一个文件存不存在,不存在的话就执行a=index的操作,接下来就直接将用户可控的变量传入了eval函数中。这里没有进行过滤,如果能绕过file_exists函数就能达到命令执行的效果了。看一下file_exists函数:
返回值是布尔值。这个函数允许传入的路径中含有特殊符号。具体来看一下。
这里在ceshi1目录下有一个文件:
访问测试路径,证明文件存在。
l这里加入特殊字符依然可以识别。
再加入一点符号:
这里证明这个函数会识别一个规则就是遇到类似/../这种结构时,会将第一个斜线前面的内容当作一个目录名来处理。
这里也就是说分号、斜线这种是可以在这个函数中逃逸出来的。
也就是说这里可以任意构造类似于xxx/../bbb这种结构的路径,这里bbb可以是圆圈中任意一个单词。
接下来就是进入了eval这个函数。
可以看到这个函数可以直接执行php代码,还一个隐藏属性就是可以执行多条语句只要以分号间隔开就可以了,那么这里就出现问题了。
本地测试:
回到这个cms中我们将a构造成这种形式factory();echo%201;//../。
那么就可以执行任意的语句了,这里解释一下:
factory()这个是用来闭合前面的实例化对象用的,不闭合的话这里会直接报错,导致后面的语句无法执行。分号结束然后就是执行了我们自定义的代码,然后再以分号结束。然后就是返回上级目录为了满足文件存在的要求。
最终的执行效果:
吴中区远程教育学费_吴中区远程教育的学校
私人定制激光切割机 床上用品激光切割机 帐篷布激光开料裁剪机
甘肃蕞新款架子钢管调直机,高效节能一次完成
中山三乡物业电动吸尘器哪个质量好?壹柒机电设备欢迎选购
金光灿灿元宝铜钱恭喜发财吉祥如意风水座 电动旋转
一个利用PHP中的file_exists()函数漏洞实现非法入侵的例子
江苏飞利浦LED灯管批发价
弋江38*50铁箍纸桶白乳胶等可提供危包证
供应联鑫QYTPB650皮带全自动液压纠偏器
幼儿教育培训加盟哪家好?加盟要求是什么?
集成灶10大品牌 火星人集成灶邀你加盟开店
山西大同矿区甲鱼苗利润怎么样有多少
华欧--生产及销售优质玻璃棉制品
山西液压大型机载劈裂机大型机载式劈裂机厂家
法国知名品牌蒂艾斯内衣,诚招代理,欢迎来电咨询
自媒体公众号运营
桥西区诉讼律师的收费标准
不锈钢波纹金属软管厂家|衡水不锈钢波纹金属软管知名厂家
聚氨酯钢套钢保温管厂家一定制加工生产厂家
浙江制冷设备回收费用价格优惠,拆装灵活
yccms是一款php版轻量级cms建站系统,程序页面设计简洁,生成静态html,后台功能强大,利于优化、超强收录、超强排名,适合做关键词排名、淘宝客程序,是个人、企业建站的理想选择。最近偶然间在互联网上看到了一个关于yccms代码执行的漏洞,详情并没有公开,因为有前段时间echsop代码执行的事件,让我对代码执行的成因很感兴趣,所以我就下载了代码看了看。因为这个cms比较小众影响并不会大,所以这里直接把漏洞详情就写出来了。
漏洞解构
如果想做实验请在网上自行下载yccms3.3也就是最新版。
搭建好环境之后,访问一下首页看看它加载了哪些页面顺便看一下入口。
在这里可以看到你访问首页的时候,其实直接跳到了count.php文件中执行代码了,这里我们直接去看这个文件。
这个文件起到了一个中转站的作用,按照指引进入run.inc.php文件中。
这里使用了魔术方法,在运行文件的时候自动将项目中的类进行了加载,并且执行了圆圈中的类里的方法,进入这个文件中看一下。
这里首先调用了一个内部函数,看一下这个函数的作用。
这里再回到上一个函数中。
圈中的部分作用不是很大,唯一的作用就是将这个漏洞限制在了admin这里面,不然的话a这个参数将变成不可控的。
再接下来,就到了重点了,这里使用了file_exists这个函数判断一个文件存不存在,不存在的话就执行a=index的操作,接下来就直接将用户可控的变量传入了eval函数中。这里没有进行过滤,如果能绕过file_exists函数就能达到命令执行的效果了。看一下file_exists函数:
返回值是布尔值。这个函数允许传入的路径中含有特殊符号。具体来看一下。
这里在ceshi1目录下有一个文件:
访问测试路径,证明文件存在。
l这里加入特殊字符依然可以识别。
再加入一点符号:
这里证明这个函数会识别一个规则就是遇到类似/../这种结构时,会将第一个斜线前面的内容当作一个目录名来处理。
这里也就是说分号、斜线这种是可以在这个函数中逃逸出来的。
也就是说这里可以任意构造类似于xxx/../bbb这种结构的路径,这里bbb可以是圆圈中任意一个单词。
接下来就是进入了eval这个函数。
可以看到这个函数可以直接执行php代码,还一个隐藏属性就是可以执行多条语句只要以分号间隔开就可以了,那么这里就出现问题了。
本地测试:
回到这个cms中我们将a构造成这种形式factory();echo%201;//../。
那么就可以执行任意的语句了,这里解释一下:
factory()这个是用来闭合前面的实例化对象用的,不闭合的话这里会直接报错,导致后面的语句无法执行。分号结束然后就是执行了我们自定义的代码,然后再以分号结束。然后就是返回上级目录为了满足文件存在的要求。
最终的执行效果:
吴中区远程教育学费_吴中区远程教育的学校
私人定制激光切割机 床上用品激光切割机 帐篷布激光开料裁剪机
甘肃蕞新款架子钢管调直机,高效节能一次完成
中山三乡物业电动吸尘器哪个质量好?壹柒机电设备欢迎选购
金光灿灿元宝铜钱恭喜发财吉祥如意风水座 电动旋转
一个利用PHP中的file_exists()函数漏洞实现非法入侵的例子
江苏飞利浦LED灯管批发价
弋江38*50铁箍纸桶白乳胶等可提供危包证
供应联鑫QYTPB650皮带全自动液压纠偏器
幼儿教育培训加盟哪家好?加盟要求是什么?
集成灶10大品牌 火星人集成灶邀你加盟开店
山西大同矿区甲鱼苗利润怎么样有多少
华欧--生产及销售优质玻璃棉制品
山西液压大型机载劈裂机大型机载式劈裂机厂家
法国知名品牌蒂艾斯内衣,诚招代理,欢迎来电咨询
自媒体公众号运营
桥西区诉讼律师的收费标准
不锈钢波纹金属软管厂家|衡水不锈钢波纹金属软管知名厂家
聚氨酯钢套钢保温管厂家一定制加工生产厂家
浙江制冷设备回收费用价格优惠,拆装灵活