来源:[F.S.T]火狐技术联盟
文章作者:我非我[F.S.T]
漏洞发现日期:2005.6.13
漏洞涉及版本:Bo-Blog Version <= 1.7.0108(未打补丁前)
漏洞分析及利用:
刚发现bo-blog的一个致命的漏洞。我是看1.7.0095版本的。不过估计最新的也有这个漏洞.在index.php中的job变量没有过滤.导致用户可以任意include一个php文件.
index.php
———————-可爱的分割线—————————–
[codz begin]
33 if (empty($job)) $job="listall";
34 if ($job=="main") $job="listall";
178 if (!file_exists("include/$job.php")) $job="listall";
179 include ("include/$job.php"); //未加过滤,只是判断是否有这个$job.php文件,然后就include了.
[codz end]
———————-可爱的分割线—————————–
我们可以通过这个$job变量include任何一个有php扩展名的文件,只要他在服务器上存在(我们可以通过../来绕过目录).其实他的admin_cp.php文件中一样有这个问题.只不过要调用admin_cp.php文件是要权限的.所以我们就只能用index.php进行利用了.
现在我们开始测试,www.bo-blog.com这是他的主站。我们先来看看他的php设置.输入:http://www.bo-blog.com/index.php?job=../admin/change&action=phpinfo
这个action是传递给admin/change.php的,作用是这个文件可以显示phpinfo.不用担心不能调用.index.php是include了global.php的,定义了inwork.所以可以使用change.php而甚至不用登陆
得到了一些基本信息:Windows NT NS 5.2 build 3790 服务器是php5的,safe_mode=On.
再来正式利用拿他的webshell。在http://www.bo-blog.com/index.php?job=../admin/ban 这里,本来是给admin在后台设置禁止ip\语言等的.但是同样没有过滤,导致我们可以直接写入一个shell。但是我们必须自己构造一个表单,先看他的原文件,我们用他还没用过的那个bansearch(禁止搜索词汇)。
———————-可爱的分割线—————————–
[codz begin]
[codz end] ———————-可爱的分割线—————————– 我们把他另存为一个html文件.注意.要把form栏里的action=admin_cp.php?job=ban改为action=http://www.bo-blog.com/blog/index.php?job=../admin/ban才行.保存好.然后打开这个html. 在表单的htmlarea里,我们写个lanker的微型后门进去。点击保存.(这里注意,不要有' " \等特殊字符.会被php自动加上\的.) 系统提示: ———————-可爱的分割线—————————– 更新成功 保存了禁止搜索词。 ———————-可爱的分割线—————————– 成功了,呵呵. 来.我们用lanker后门的客户端来连接试试.看到我们可爱的shell了吗?说明什么?说明成功啦~~ 漏洞简单修补: 在index.php中178 if (!file_exists("include/$job.php")) $job="listall"; 这一行前加上以下代码: $job = str_replace(".","",$job); $job = str_replace("/","",$job); 我非我当时测试bo-blog官方网站的利用动画: http://www.wofeiwo.info/boblog.rar | ||||||||
