ref:https://www.seebug.org/vuldb/ssvid-96217

简要描述:

为准备乌云深圳沙龙,准备几个0day做案例。 官方承认这个问题,说明会发布补丁,但不愿承认这是个『漏洞』……不过也无所谓,反正是不是都没美刀~

详细说明:

CI在加载模板的时候,会调用 $this->load->view('template_name', $data); 内核中,查看view函数源码: /system/core/Loader.php

public function view($view, $vars = array(), $return = FALSE)

    {

        return $this->_ci_load(array('_ci_view' => $view, '_ci_vars' => $this->_ci_object_to_array($vars), '_ci_return' => $return));

    }

...

    protected function _ci_load($_ci_data)

    {

        // Set the default data variables

        foreach (array('_ci_view', '_ci_vars', '_ci_path', '_ci_return') as $_ci_val)

        {

            $$_ci_val = isset($_ci_data[$_ci_val]) ? $_ci_data[$_ci_val] : FALSE;

        }

        $file_exists = FALSE;

        // Set the path to the requested file

        if (is_string($_ci_path) && $_ci_path !== '')

        {

            $_ci_x = explode('/', $_ci_path);

            $_ci_file = end($_ci_x);

        }

        else

        {

            $_ci_ext = pathinfo($_ci_view, PATHINFO_EXTENSION);

            $_ci_file = ($_ci_ext === '') ? $_ci_view.'.php' : $_ci_view;

            foreach ($this->_ci_view_paths as $_ci_view_file => $cascade)

            {

                if (file_exists($_ci_view_file.$_ci_file))

                {

                    $_ci_path = $_ci_view_file.$_ci_file;

                    $file_exists = TRUE;

                    break;

                }

                if ( ! $cascade)

                {

                    break;

                }

            }

        }

        if ( ! $file_exists && ! file_exists($_ci_path))

        {

            show_error('Unable to load the requested file: '.$_ci_file);

        }

        // This allows anything loaded using $this->load (views, files, etc.)

        // to become accessible from within the Controller and Model functions.

        $_ci_CI =& get_instance();

        foreach (get_object_vars($_ci_CI) as $_ci_key => $_ci_var)

        {

            if ( ! isset($this->$_ci_key))

            {

                $this->$_ci_key =& $_ci_CI->$_ci_key;

            }

        }

        /*

         * Extract and cache variables

         *

         * You can either set variables using the dedicated $this->load->vars()

         * function or via the second parameter of this function. We'll merge

         * the two types and cache them so that views that are embedded within

         * other views can have access to these variables.

         */

        if (is_array($_ci_vars))

        {

            $this->_ci_cached_vars = array_merge($this->_ci_cached_vars, $_ci_vars);

        }

        extract($this->_ci_cached_vars);

        /*

         * Buffer the output

         *

         * We buffer the output for two reasons:

         * 1. Speed. You get a significant speed boost.

         * 2. So that the final rendered template can be post-processed by

         *  the output class. Why do we need post processing? For one thing,

         *  in order to show the elapsed page load time. Unless we can

         *  intercept the content right before it's sent to the browser and

         *  then stop the timer it won't be accurate.

         */

        ob_start();

        // If the PHP installation does not support short tags we'll

        // do a little string replacement, changing the short tags

        // to standard PHP echo statements.

        if ( ! is_php('5.4') && ! ini_get('short_open_tag') && config_item('rewrite_short_tags') === TRUE)

        {

            echo eval('?>'.preg_replace('/;*\s*\?>/', '; ?>', str_replace('<?=', '<?php echo ', file_get_contents($_ci_path))));

        }

        else

        {

            include($_ci_path); // include() vs include_once() allows for multiple views with the same name

        }

        log_message('info', 'File loaded: '.$_ci_path);

        // Return the file data if requested

        if ($_ci_return === TRUE)

        {

            $buffer = ob_get_contents();

            [@ob_end_clean](/ob_end_clean)();

            return $buffer;

        }

        /*

         * Flush the buffer... or buff the flusher?

         *

         * In order to permit views to be nested within

         * other views, we need to flush the content back out whenever

         * we are beyond the first level of output buffering so that

         * it can be seen and included properly by the first included

         * template and any subsequent ones. Oy!

         */

        if (ob_get_level() > $this->_ci_ob_level + 1)

        {

            ob_end_flush();

        }

        else

        {

            $_ci_CI->output->append_output(ob_get_contents());

            [@ob_end_clean](/ob_end_clean)();

        }

        return $this;

    }

且看这一段:

if (is_array($_ci_vars))

{

        $this->_ci_cached_vars = array_merge($this->_ci_cached_vars, $_ci_vars);

}

extract($this->_ci_cached_vars);

这个extract将导致变量覆盖漏洞。 $this->_ci_cached_vars是来自$_ci_vars,而$_ci_vars是来自用户传给view方法的第二个参数。(正常情况下是开发者传给模板的变量) 而我们看到extract后面:

extract($this->_ci_cached_vars);

ob_start();

// If the PHP installation does not support short tags we'll

// do a little string replacement, changing the short tags

// to standard PHP echo statements.

if ( ! is_php('5.4') && ! ini_get('short_open_tag') && config_item('rewrite_short_tags') === TRUE)

{

    echo eval('?>'.preg_replace('/;*\s*\?>/', '; ?>', str_replace('<?=', '<?php echo ', file_get_contents($_ci_path))));

}

else

{

    include($_ci_path); // include() vs include_once() allows for multiple views with the same name

}

include($_ci_path),$_ci_path是模板地址,因为之前的变量覆盖,将会导致任意文件包含漏洞,进而getshell。 所以,只要我们可以控制view的第二个参数的『键值』,传入 _ci_path=file:///etc/passwd ,在被extract后覆盖原来的模板地址,将可以包含/etc/passwd。 这个漏洞和 http://**.**.**.**/bugs/wooyun-2014-051906 有点类似,就是在assign(CI里叫$this->load->vars或是$this->load->view)的时候传入数组导致的。

漏洞证明:

如下Controller将可导致漏洞:

<?php

defined('BASEPATH') OR exit('No direct script access allowed');

class Welcome extends CI_Controller {

    public function index()

    {

        $data = $this->input->post();

        $this->load->view('welcome_message', $data);

    }

}

这个也类似:

public function index()

{

    $data = $this->input->post('info');

    $this->load->vars($data);

    $this->load->view('welcome_message');

}

当开启了远程文件包含的情况下,也可以直接包含php://input

ref:CodeIgniter框架内核设计缺陷可能导致任意代码执行的更多相关文章

  1. 转载--Typecho install.php 反序列化导致任意代码执行

    转载--Typecho install.php 反序列化导致任意代码执行 原文链接(http://p0sec.net/index.php/archives/114/) 0x00 前言 漏洞公布已经过去 ...

  2. Apache Flink任意Jar包上传导致远程代码执行漏洞复现

    0x00 简介 Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎.Flink以数据并行和流水线方式执行任意流数据程序,Fl ...

  3. 「漏洞预警」Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现

    漏洞描述 Apache Flink是一个用于分布式流和批处理数据的开放源码平台.Flink的核心是一个流数据流引擎,它为数据流上的分布式计算提供数据分发.通信和容错功能.Flink在流引擎之上构建批处 ...

  4. [典型漏洞分享]YS忘记密码机制设计存在缺陷,导致任意用户口令均可被修改【高】

    记录了安全测试过程中发现的一些典型的安全问题 YS忘记密码机制存在缺陷,可导致任意用户口令被修改[高] 问题描述: YS网站提供用户密码修改功能,当用户忘记密码时可通过该功能找回密码,但该修改密码的流 ...

  5. [2012-4-10]ThinkPHP框架被爆任意代码执行漏洞(preg_replace)

    昨日(2012.04.09)ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码. ThinkPHP作为国内使用比较广泛的老牌PHP MVC框 ...

  6. HDwiki文件上传导致远程代码执行漏洞

    漏洞版本: HDwiki(2011) 漏洞描述: 互动维客开源系统(HDwiki)作为中国第一家拥有自主知识产权的中文维基(Wiki)系统,由互动在线(北京)科技有限公司于2006 年11月28日正式 ...

  7. fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录

    环境搭建: 漏洞影响版本: fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master ...

  8. 关于Fastjson 1.2.24 反序列化导致任意命令执行漏洞

    环境搭建: sudo apt install docker.io git clone https://github.com/vulhub/vulhub.git cd vulhub fastjson 1 ...

  9. fastjson 1.2.24 反序列化导致任意命令执行漏洞

    漏洞检测 区分 Fastjson 和 Jackson {"name":"S","age":21} 和 {"name":& ...

随机推荐

  1. HDU 5928 DP 凸包graham

    给出点集,和不大于L长的绳子,问能包裹住的最多点数. 考虑每个点都作为左下角的起点跑一遍极角序求凸包,求的过程中用DP记录当前以j为当前末端为结束的的最小长度,其中一维作为背包的是凸包内侧点的数量.也 ...

  2. 20155307 2016-2017-2 《Java程序设计》第七周学习总结

    学号 2016-2017-2 <Java程序设计>第七周学习总结 教材学习内容总结 认识Lambda语法,方法参考在重用现有API上扮演了重要角色,重用现有方法操作,可避免到处写下Lamb ...

  3. Shell编程之运算符和环境变量配置文件

    一.shell运算符:    declare命令:         declare    -i 变量名     #声明变量        eg. movie[o]=dzp     #定义数组      ...

  4. 【CC2530强化实训02】普通延时函数实现按键的长按与短按

    [CC2530强化实训02]普通延时函数实现按键的长按与短按 [题目要求]      用一个按键实现单击与双击的功能已经是很多嵌入式产品的常用手法.使用定时器的间隔定时来计算按键按下的时间是通用的做法 ...

  5. Go语言的接口interface、struct和组合、继承

    Go语言的interface概念相对于C++中的基类,通过interface来实现多态功能. 在C++中,当需要实现多态功能时,步骤是首先定义一个基类,该基类使用虚函数或者纯虚函数抽象了所有子类会用到 ...

  6. python 面试题4

    Python面试题 基础篇 分类: Python2014-08-08 13:15 2071人阅读 评论(0) 收藏 举报 最近,整理了一些python常见的面试题目,语言是一种工具,但是多角度的了解工 ...

  7. java8中对lamdba表达式方法参数传递时,方法重载之后的类型推断

    java8中可以向方法传递一个lamdba表达式,今天看书关于类型推断碰到一个问题: 这个问题我实际操作了一下:得出结论 如果是只有一个方法的情况下,方法参数使用lamdba表达式的时候是不需要写类型 ...

  8. bzoj 3236: 洛谷 P4396: [AHOI2013]作业 (莫队, 分块)

    题目传送门:洛谷P4396. 题意简述: 给定一个长度为\(n\)的数列.有\(m\)次询问,每次询问区间\([l,r]\)中数值在\([a,b]\)之间的数的个数,和数值在\([a,b]\)之间的不 ...

  9. python3之pymysql模块

    1.python3 MySQL数据库链接模块 PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务器的一个库,Python2中则使用mysqldb. PyMySQL 遵循 Pyt ...

  10. Python标准库笔记(6) — struct模块

    该模块作用是完成Python数值和C语言结构体的Python字符串形式间的转换.这可以用于处理存储在文件中或从网络连接中存储的二进制数据,以及其他数据源. 用途: 在Python基本数据类型和二进制数 ...