摘要:原理分析還是很早之前爆出來(lái)的漏洞����,現(xiàn)在拿出來(lái)學(xué)習(xí)一下,參考阿里巴巴漏洞發(fā)生在頁(yè)面中���。并且與此同時(shí)�,齊博并未對(duì)進(jìn)行過(guò)濾操作��。漏洞利用這里還是以文件中的變量為例���。
**
0x01 原理分析
**
還是很早之前爆出來(lái)的漏洞���,現(xiàn)在拿出來(lái)學(xué)習(xí)一下,參考阿里巴巴:
https://security.alibaba.com/...
漏洞發(fā)生在/inc/common.inc.php頁(yè)面中����。首先看這個(gè)函數(shù):
首先使用ini_get來(lái)獲取php.ini中變量"register_globals"的值,而register_globals代表的意思是提交的請(qǐng)求是否注冊(cè)為全局變量����,取值為OFF和ON�����,一般默認(rèn)配置為OFF,那么將會(huì)執(zhí)行extract()函數(shù)�。
extract()函數(shù)是對(duì)于提交的$_FILE變量��,如果已經(jīng)賦值那么將跳過(guò)����,不進(jìn)行賦值操作���,如果沒有賦值����,那么進(jìn)行初始化操作���。
并且與此同時(shí)�����,齊博cms并未對(duì)$_FILE進(jìn)行過(guò)濾操作�����。
因此�����,我們只需要找到一個(gè)未進(jìn)行初始化的變量�,已$_FILE的形式提交,那么他會(huì)自動(dòng)的給你一個(gè)賦值,并且沒有進(jìn)行過(guò)濾���,如果參與到sql注入語(yǔ)句中�����,那么就可能形成注入����。
0x02 漏洞利用
這里還是以/member/comment.php文件中的變量$cidDB為例��。
這里的cidDB變量沒有進(jìn)行初始化操作��,并且參與了sql語(yǔ)句�,因此只需要通過(guò)$_FILE的形式提交該cidDB變量,從而對(duì)其進(jìn)行覆蓋���,完成注入��,過(guò)程如下:
首先構(gòu)造上傳表單頁(yè)面�,源碼如下:
提交后抓包,并修改filename為payload����,成功注入。
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11292.html
