boblog漏洞代码 boblog任意变量覆盖漏洞分析
BoBlogBoBlog是一款基于PHP的、以MySQL为数据库支持的免费blog程序,存在着任意变量覆盖漏洞。该漏洞代码如下:
// go.php
$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode('/go.php/', $q_url);
$rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)
...
$RewriteRules[]="/component/([^/]+)/?/";
// 这个正则限制的不够细致,可以很轻易的绕过:)
...
$RedirectTo[]="page.php?pagealias=\1";
$i=0;
foreach ($RewriteRules as $rule) {
if (preg_match($rule, $rewritedURL)) {
$tmp_rewritedURL=preg_replace($rule, '<'.$RedirectTo[$i].'<', $rewritedURL, 1);
$tmp_rewritedURL=@explode('<', $tmp_rewritedURL);
$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
break;
}
$i+=1;
}
if ($rewritedURL==$rawURL || !$rewritedURL) {
...
$parsedURL=parse_url ($rewritedURL);
// 这里的$parsedURL['query']就是要利用的变量了:)
parse_str($parsedURL['query']);
// 通过这个地方可以覆盖任意变量
include(basename($parsedURL['path']));
// 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(
这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[PHP>5.2.0&allow_url_include=On].不过没关系,还有更好的利用方式。
来看下global.php文件:
...
unregister_GLOBALS(); //When register_globals=On
...
function unregister_GLOBALS() { //When register_globals = 'on'
if (!ini_get('register_globals')) { //Already off
return;
}
// Variables that shouldn't be unset
$noUnset = array('_GET', '_POST', '_COOKIE', '_REQUEST', '_SERVER', '_ENV', '_FILES');
$input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());
foreach ($input as $k => $v) {
if ($k=='GLOBALS') {
global $kgr;
$kgr=0;
kill_GLOBALS($input[$k]); //GLOBALS is recursive -,-
}
elseif (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {
$GLOBALS[$k]=NULL;
}
}
}
在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_GLOBALS()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题。
什么是unicode?字节和字符的区别是什么?
介绍Unicode之前,首先要讲解一些基础知识。虽然跟Unicode没有直接的关系,但想弄明白Unicode,没这些还真不行。字节和字符的区别咦,字节和字符能有什么区别啊?不都是一样的吗?完全正确,但只是在古老的DOS时
详情2018-01-20 12:09:39责编:llp 来源:驱动管家怎么利用microsoft sql server 2000入侵服务器获得主机的命令?
怎么利用microsoft sql server 2000入侵服务器获得主机的命令?有以下的步骤。一、首先确保得到数据库超级管理员权限二、然后执行如下SQL命令:1、exec master dbo xp_cmdshell & 39;net user hacker hack
详情2018-01-23 09:28:19责编:llp 来源:驱动管家怎么保护dns服务器?dns服务器的十种保护方法
本文收集总结了几点保护DNS服务器的有效方法,感兴趣的小伙伴们可以参考一下。
详情2018-01-04 17:09:39责编:llp 来源:驱动管家网吧破解怎么做?怎么破解网吧?
解万象秘笈 一 用Alt Ctrl Del组合键(万象) 开机后,当出现蓝背景时,立即按组合键,弹出“关闭程序”对话框,若里面有“client”后则立即关闭,当发现“未知”程序时也要关闭,因为万象会启动两次。万象被结束了,
详情2018-01-05 09:14:06责编:llp 来源:驱动管家一个导致电脑重启的病毒制作步骤
在一本很无趣的书上看到一个很有趣的事 当然这个重启病毒相对简单 实际上只是改变了图标而已,你可以在你宿舍同学电脑上试验一下 step1:在桌面新建一个bat文件,输入shutdown r ,然后保存即可 step2:选中新
详情2018-01-20 12:09:46责编:llp 来源:驱动管家web安全检测工具:skipfish的优点和安装方法
Skipfish是由google出品的一款自动化的网络安全扫描工具,该工具可以安装在linux、freebsd、MacOS X系统和windows(cygwin)。谷歌工程师Michal Zalewski称,尽管Skipfish与Nikto和Nessus等其他开源扫描工具有相
详情2018-01-23 17:34:18责编:llp 来源:驱动管家什么是dns欺骗攻击?dns欺骗攻击怎么防范?
你是否遭遇过这样的情况?当你在浏览器中输入正确的URL地址,但是打开的并不是你想要去的网站。它可能是114的查询页面,可能是一个广告页面,更可能是一个刷流量的页面,甚至是一个挂马的网站。如果你遇到了上述情况话,那么极有可能你遭遇了DNS欺骗。
详情2018-01-13 12:29:36责编:llp 来源:驱动管家使用加密狗进行硬件保护的方法 加密狗怎么保护软件?
现在的解密技术排除法律和道德因素,就从学术角度来说是门科学。它与加密技术一样是相辅相成不断提高。 以下就针对使用加密狗(加密锁)进行硬件保护谈谈几点心得: 针对于使用加密狗的解密有什么方法? 1、硬件复制 复制硬件,即解密者复制Sentinel
详情2018-01-03 17:53:52责编:llp 来源:驱动管家.net开发人员容易犯哪些安全错误?
微软已经为 Net环境添加了大量的功能,帮助开发人员创建安全的应用程序,例如,身份验证已经成为开发环境集成的一个功能,另外,默认情况下调试消息被禁用掉了。微软对安全的关注程度极大地影响了开发人员,促使
详情2018-01-24 15:38:36责编:llp 来源:驱动管家网络安全知识 揭秘网络安全的五个误区
网络安全越来越成为一个大问题,网络安全事故和个人隐私数据泄露的频发,我们不得不对自己的信息加以保护,一起来看看网络安全自己的一系列误区吧。选择一个话题,什么话题都行,始终有一些人信以为真的误区和无
详情2018-01-08 17:58:17责编:llp 来源:驱动管家
- 什么是私有云?私有云也是不安全的?
- 怎样成为顺手付会员?怎么注册顺手付?
- 暴风影音为什么不能创建下载文件夹?暴风影音下载文件夹创建方法
- 怎么将手机wifi设置成静态ip呢?手机wifi的设置方法
- 开启猎豹免费wifi为什么会开启失败?怎么解决
- 黑客怎么入侵个人电脑?怎么发现黑客入侵个人电脑?
- win7共享文件夹无法访问的问题应该怎么解决
- 不小心误删了文件可以用这个方法恢复
- 太强大!miui手机拨号可以直接充值!
- 红色iphone7与普通版不同?不同之处在什么地方?
- 钓鱼网站是什么?有什么方法可以识别钓鱼网站?
- QQ绿钻升级在哪儿升?QQ绿钻升级地址?
- x-scan是什么?x-scan怎么安装与使用?
- 校内网漏洞 校内网存在xss漏洞
- 微信小程序申请内测的流程是什么?微信小程序申请内测方法
- 网易严选旧订单可以删除吗?网易严选已完成订单删除方法
- 360随身wifi是什么?360随身wifi怎么用
- 这款新出的便携式移动电源技术到底有多强?一起来看下
- 电脑桌面上固定的系统图标能不能更换
- qq聊天记录在哪个文件夹?怎么导出qq聊天记录