PHPCMS 2008 最新漏洞demo测试详解-php手册-php.cn

Home

php教程

php手册

PHPCMS 2008 最新漏洞demo测试详解

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 10:12 AM

demophpcmsintroducepicturearticletestDetailed explanation

本文章来给大家介绍PHPCMS 2008 最新漏洞图文测试详解，有需要了解的同学可进入参考参考。

Phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统，也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发，功能易用便于扩展，可面向大中型站点提供重量级网站建设解决方案。3年来，凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念，使得 Phpcms 得到了近10万网站的认可，并且越来越多地被应用到大中型商业网站。

0x02 写在前面的话
phpcms 2008 这是我看第二次代码了，之前已经发现了一些问题，只是没放出来，这次稍微仔细看了看，又发现了一些问题
这次就放2个吧，其中啥啥的getshell暂时就不会放了，比起v9来说，2008的安全性能确实差很多，模块化以及代码严谨程度也没有v9强
这次还没把代码看完，只看完几个页面，就先放2个有问题的地方，如果有更好的方式，到时候一起讨论 0x03 路径? ? ?
在include/common.inc.php中，这是phpcms的全局要加载的配置文件

$dbclass = 'db_'.DB_DATABASE;
require $dbclass.'.class.php';
           
$db = new $dbclass;
$db->connect(DB_HOST, DB_USER, DB_PW, DB_NAME, DB_PCONNECT, DB_CHARSET);
           
require 'session_'.SESSION_STORAGE.'.class.php';
$session = new session();
session_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN);
           
if($_REQUEST)
{
    if(MAGIC_QUOTES_GPC)
    {
        $_REQUEST = new_stripslashes($_REQUEST);
        if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE);
        extract($db->escape($_REQUEST), EXTR_SKIP);
    }
    else
    {
        $_POST = $db->escape($_POST);
        $_GET = $db->escape($_GET);
        $_COOKIE = $db->escape($_COOKIE);
        @extract($_POST,EXTR_SKIP);
        @extract($_GET,EXTR_SKIP);
        @extract($_COOKIE,EXTR_SKIP);
    }
    if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS);
    if($_COOKIE) $db->escape($_COOKIE);
}
//echo QUERY_STRING;
if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*).(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar))
{
    //var_dump($urlvar[1]);
    //echo 'test';
    parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1]));
               
}

这里的话首先实例化了这个数据库，产生了一个$db资源句柄，他是用来操作数据库的
然后就是将我们传进来的参数进行变量化
这里有一些小过滤，自己可以看，所以这里传进来的参数就作为了变量
但是接下来这行呢？

if(QUERY_STRING && strpos(QUERY_STRING, '=') === false && preg_match("/^(.*).(htm|html|shtm|shtml)$/", QUERY_STRING, $urlvar))
{
    //var_dump($urlvar[1]);
    //echo 'test';
    parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1]));
 
}

看看这里？
这里的QUERY_STRING来自前面

define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '');
define('SCRIPT_NAME', isset($_SERVER['SCRIPT_NAME']) ? $_SERVER['SCRIPT_NAME'] : preg_replace("/(.*).php(.*)/i", "<span>\1.php"</span>, $_SERVER['PHP_SELF']));
define('QUERY_STRING', safe_replace($_SERVER['QUERY_STRING']));

这里有个过滤，但是不影响
如果我们在这里进行覆盖这个db变量呢
因为这里 parse_str(str_replace(array('/', '-', ' '), array('&', '=', ''), $urlvar[1]));
可以将我们传进去的/ - 进行替换
所以我们如果提交如下字符 http://localhost/phpcms/index.php?db-5/gid-xd.html 他由于这个db被覆盖就会出错，所以物理路径就爆出来了 0x04 SQL注入！！！
在c.php中

$db->query("UPDATE ".DB_PRE."ads SET `clicks`=clicks+1 WHERE adsid=".$ads['adsid']);
$info['username'] = $_username;
$info['clicktime'] = time();
$info['ip'] = IP;
$info['adsid'] = $id;
$info['referer'] = HTTP_REFERER;
$year = date('ym',TIME);
$table = DB_PRE.'ads_'.$year;
$table_status = $db->table_status($table);
//echo 'test';
if(!$table_status) {
    include MOD_ROOT.'include/create.table.php';
}
$db->insert($table, $info);

注意这里的HTTP_REFERER这个常量
这里的常量是通过前面的common.inc.php定义好的
define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '');
没有经过任何过滤操作，所以你懂的，我估计很多同学已经发现了，只是没去公布了，所以俺就替你们xxoo了，哈哈...别骂我
然后
$db->insert($table, $info);
我们来看一下它这里的操作

function insert($tablename, $array)
{
    $this->check_fields($tablename, $array);
    return $this->query("INSERT INTO `<span>$tablename`(`"</span>.implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')");
    //echo "INSERT INTO `$tablename`(`".implode('`,`', array_keys($array))."`) VALUES('".implode("','", $array)."')";
}

所以你懂的

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

phpcms是什么框架Apr 20, 2024 pm 10:51 PM

PHP CMS 是一种基于 PHP 的开源内容管理系统，用于管理网站内容，其特点包括易用性、强大功能、可扩展性、安全性高和免费开源。它可以节省时间、提升网站质量、增强协作并降低开发成本，广泛应用于新闻网站、博客、企业网站、电子商务网站和社区论坛等各种网站。

phpcms怎么跳转到详情页Jul 27, 2023 pm 05:23 PM

phpcms跳转到详情页方法：1、使用header函数来生成跳转链接；2、循环遍历内容列表；3、获取内容的标题和详情页链接；4、生成跳转链接即可。

微信登录集成指南：PHPCMS实战Mar 29, 2024 am 09:18 AM

标题：微信登录集成指南：PHPCMS实战在今天的互联网时代，社交化登录已经成为网站必备的功能之一。微信作为国内最流行的社交平台之一，其登录功能也被越来越多的网站所采用。本文将介绍如何在PHPCMS网站中集成微信登录功能，并提供具体的代码示例。第一步：注册微信开放平台账号首先，我们需要在微信开放平台上注册一个开发者账号，申请相应的开发权限。登录[微信开放平台]

phpcms是什么意思Apr 20, 2024 pm 10:39 PM

PHPCMS 是一款免费开源的内容管理系统 (CMS)，特点包括：开放源码、模块化、灵活、用户友好和社区支持。它可用于创建各种类型的网站，包括企业网站、电子商务网站、博客和社区论坛。技术要求包括：PHP 5.6 或更高版本、MySQL、MariaDB 或 PostgreSQL 数据库以及 Apache 或 Nginx Web 服务器。

很多站长使用PHPCMS进行二次开发建站，PHP中文网特意推出了phpcms视频教程，大家可以随时随地免费观看视频教程，不需要从百度网盘下载，非常方便。

phpcms不是免费吗Mar 01, 2023 am 10:24 AM

phpcms不是完全免费的。phpcms属于开源cms系统，但是开源并不等于免费，它有两个版本：免费版和商业版，免费版仅限于个人非商业用途，而商业版需要购买授权；个人可以作为研究使用，如果商业应用，需要支付一定费用。

phpcms用什么数据库Feb 21, 2023 pm 06:57 PM

phpcms用mysql数据库。phpcms是一个PHP开源网站管理系统，采用PHP+MYSQL做为技术基础进行开发。PHPCMS V9采用OOP方式进行基础运行框架搭建，支持的PHP版本是PHP5及以上、支持的MYSQL版本是MySql 4.1以上版本。

phpcms怎么实现微信登陆Mar 09, 2023 am 09:33 AM

phpcms实现微信登录的方法：1、在根目录新建“wechat.php”；2、在“\phpcms\modules\member\index.php”下增加“public function wechat() {...}”；3、在“foreground.class.php”文件中通过wechat函数判断用户是否登录即可。

See all articles