PHPWIND论坛是一款流行的PHP论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和DISCUZ都非常相似,具体原因我想也就不用说了,毕竟DISCUZ出来比它要早很多。但安全上它没有继承DISCUZ的优点,DISCUZ论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全,第一非DISCUZ莫属。PHPWIND虽然代码严谨,逻辑清楚,但还是有一些漏洞,而且还相当严重。
skin变量未过滤导致管理员密码更改
漏洞代码如下(header.php):
!function_exists(\'readover\') && exit(\'Forbidden\');
if (!$skin) $skin=$db_defaultstyle;
if(file_exists(R_P.\"data/style/$skin.php\")){
include_once(R_P.\"data/style/$skin.php\");
}else{
include_once(R_P.\"data/style/wind.php\");
}
$yeyestyle==\'no\' ? $i_table=\"bgcolor=$tablecolor\" : $i_table=\'class=i_table\';
if($groupid==\'guest\' && $db_regpopup==\'1\'){
$head_pop=\'head_pop\';
} else{
$head_gotmsg=$winddb[\'newpm\']==1 ? \'您有新消息\':\'短消息\';
}
require_once(PrintEot(\'css\'));
require_once(PrintEot(\'header\'));
?>
其中$skin变量是我们提交的,在运行到这里之前,只有一个地方处理过$skin变量:
$_COOKIE[\'skinco\'] && empty($skin) && $skin=$_COOKIE[\'skinco\'];
语句判断COOKIE中是否已经包含skinco的信息,如果有了,就取得COOKIE中的值,这是处理个人页面风格用的。但如果我们的COOKIE中没有这个值,那么我们提交的skin变量就会一点不变的传到上面的漏洞代码。有人问,如果系统关了register_globals会怎么样,关了也没关系。
if(!ini_get(\'register_globals\') || !get_magic_quotes_gpc()){
@extract($_POST,EXTR_SKIP);
@extract($_GET,EXTR_SKIP);
@extract($_COOKIE,EXTR_SKIP);
@extract($_FILES,EXTR_SKIP);
}
系统在global.php中又给释放了。所以我们不管是用GET方法或者POST方法都可以把构造好的SKIN变量传给程序。那传给程序有什么用呢?这是重点!
我们看这段代码:
if(file_exists(R_P.\"data/style/$skin.php\")){
include_once(R_P.\"data/style/$skin.php\");
}...
含义是如果(R_P.\"data/style/$skin.php\")文件存在就把它包含进来,我也不分析有几种用法了,我直接给出我最简单危害最大的利用方法。
我们把skin的值设为\"../../admin/manager\",那就变成了R_P.\"data/style/../../admin/manager.php\",很显然,这是论坛管理用户的一个程序,存在而且可执行。这个程序是专门用来修改sql_config.php的,这里面都是重要数据,包括论坛创始人的用户名和密码。我们只要构造好就可以改它的密码,直接登陆后台管理。在改之前我们可以先查看创始人的用户名。
PHPWIND1.3.6
下载官方提供最新补丁及版本,http://www.phpwind.net
共 1 兑换了
京公网安备 11010502034610号
暂无评论