记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

anwsion缺陷大结合

2013-02-15 16:30
foreach处理不当爆路径,程序设置缺陷,绕过全局变量的包含----变量覆盖

 
(1).foreach处理不当爆路径
 
http://wenda.anwsion.com/search/ajax/search_result/
 
 
 
 
缺陷:
<?php foreach ($this->search_result AS $key => $val)
 
 
代码没有检测$this->search_result是否为空,是否没数组....
 
\wenda\views\default\inbox\read_message.tpl.htm
 
<?php foreach($this->list AS $key => $val) {
 
 
缺陷一样.
 
 
 
2)程序设置缺陷.
 
http://wenda.anwsion.com/question/395
当你直接点击桌面zip下载需需要注册.
 
在源码中看见:
file/download/file_name-5qGM6Z2iLnppcA==__url-aHR0cDovL3dlbmRhLmFud3Npb24uY29tL3VwbG9hZHMvcXVlc3Rpb25zLzIwMTIwNjA3L2JkMGFhY2FhNjg2YzEyNDlkOTY1YzZjZWM5ZDEwY2Y1LnppcA==
 
 
其中:
aHR0cDovL3dlbmRhLmFud3Npb24uY29tL3VwbG9hZHMvcXVlc3Rpb25zLzIwMTIwNjA3L2JkMGFhY2FhNjg2YzEyNDlkOTY1YzZjZWM5ZDEwY2Y1LnppcA==
我们base64解码下.
 
最终连接;
http://wenda.anwsion.com/uploads/questions/20120607/bd0aacaa686c1249d965c6cec9d10cf5.zip
 
 
= =不用登陆能下载了,如果对方指定为VIP用户或者得注册(要邀请码)才能下载的话呢??
 
 
3)绕过全局变量的包含----变量覆盖
 
wenda\system\init.php 中
 
if (@ini_get('register_globals'))
{
if ($_REQUEST)
{
foreach ($_REQUEST AS $name => $value)
{
unset($$name);
}
}
}
 
 
此段代码程序是当全局开启全局时销毁变量,防止恶意代码赋值导致严重的后果.
 
但是程序员没了解,unset()默认只会销毁局部变量.
 
我们测试下:
 
<?php
 
 
 
 
 
if (@ini_get('register_globals'))
{
if ($_REQUEST)
{
foreach ($_REQUEST AS $name => $value)
{
unset($$name);
}
}
}
 
print $a."<br>";
print $_GET[b];
 
?>
 
 
 
http://www.hackdig.com /wenda/system/unset.php?a=1&b=2
 
 
 
 
a变量被销毁,达到程序目的.
 
可是:....
 
http://127.0.0.1:8080/wenda/system/unset.php?GLOBALS[a]=1&b=2
 
 



 
 
 
GLOBALS[a]以覆盖全局变量时,则可以成功控制变量$a的值~~~~
 
还有思路突破: http://www.hackdig.com/Article/201212/174596.html
 
为什么超全局变量$_REQUEST没有读取到$_COOKIE的参数呢?这个是php 5.3以后php.ini默认设置
request_order = "GP",所以你懂的!如果你修改request_order = "GPC",$_REQUEST应该就可以接受到参数了!
所以如果php是大于5.3的,变量覆盖漏洞应该可以再次利用!
 
 
修复方案:
检查是否数组,是否空. 逻辑严格点? 变量覆盖这个我想不出好点子,你写好了我再看看。。
知识来源: www.2cto.com/Article/201302/188967.html

阅读:74010 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“anwsion缺陷大结合”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云