摘要:原理分析還是很早之前爆出來的漏洞�,現(xiàn)在拿出來學(xué)習(xí)一下,參考阿里巴巴漏洞發(fā)生在頁面中��。并且與此同時,齊博并未對進行過濾操作��。漏洞利用這里還是以文件中的變量為例��。
**
0x01 原理分析
**
還是很早之前爆出來的漏洞��,現(xiàn)在拿出來學(xué)習(xí)一下����,參考阿里巴巴:
https://security.alibaba.com/...
漏洞發(fā)生在/inc/common.inc.php頁面中�����。首先看這個函數(shù):
首先使用ini_get來獲取php.ini中變量"register_globals"的值����,而register_globals代表的意思是提交的請求是否注冊為全局變量,取值為OFF和ON�����,一般默認配置為OFF,那么將會執(zhí)行extract()函數(shù)�����。
extract()函數(shù)是對于提交的$_FILE變量,如果已經(jīng)賦值那么將跳過����,不進行賦值操作,如果沒有賦值����,那么進行初始化操作。
并且與此同時���,齊博cms并未對$_FILE進行過濾操作��。
因此���,我們只需要找到一個未進行初始化的變量,已$_FILE的形式提交����,那么他會自動的給你一個賦值,并且沒有進行過濾,如果參與到sql注入語句中�����,那么就可能形成注入����。
0x02 漏洞利用
這里還是以/member/comment.php文件中的變量$cidDB為例����。
這里的cidDB變量沒有進行初始化操作����,并且參與了sql語句,因此只需要通過$_FILE的形式提交該cidDB變量��,從而對其進行覆蓋�����,完成注入��,過程如下:
首先構(gòu)造上傳表單頁面��,源碼如下:
提交后抓包�,并修改filename為payload�,成功注入。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/25667.html
