by ryat[puretot]
mail: puretot at gmail dot com
team:
發現時間 2008-10-02
公開時間 2011-02-27
漏洞影響版本 2.1.0 2.1.1
狀態 已修補
漏洞**如下:
// go.php
$q_url=$_server["request_uri"];
@list($relativepath, $rawurl)=@explode(/go.php/, $q_url);
$rewritedurl=$rawurl; // 來自$_server["request_uri"],可以任意提交的:)
...$rewriterules="/component/([^/]+)/?/";
// 這個正則限制的不夠細緻,可以很輕易的繞過:)
...$redirectto="page.php?pagealias=\1";
$i=0;
foreach ($rewriterules as $rule)
$i+=1;
}if ($rewritedurl==$rawurl || !$rewritedurl)
// variables that shouldnt be unset
$nounset = array(_get, _post, _cookie, _request, _server, _env, _files);
$input = array_merge($_get, $_post, $_cookie, $_server, $_env, $_files, isset($_session) && is_array($_session) ? $_session : array());
foreach ($input as $k => $v)
elseif (!in_array($k, $nounset) && isset($globals[$k])) }}
在這裡取消了全域性變數,但是我們可以通過go.php中的覆蓋變數和包含檔案來繞過unregister_globals()的限制,觸發變數未初始化漏洞,這將導致xss、sql注射、命令執行等眾多嚴重的安全問題:)
其實這裡還有其他的利用思路,就不多說了,各位看官發揮自己的想象力吧:)
exp or poc?自己搞嘍;p
Sablog X v2 x 任意變數覆蓋漏洞
sablog x v2.x 任意變數覆蓋漏洞 author 80vul b team 一 描敘 由於sablog x v2.x的common.inc.php裡 evo初始化處理存在邏輯漏洞,導致可以利用extract 來覆蓋任意變數,最終導致xss sql注射 執行等很多嚴重的安全漏洞。二 分析 c...
變數覆蓋漏洞
變數覆蓋指的是可以用我們自定義的引數值替換程式原有的變數值 經常引發變數覆蓋漏洞的函式有 extract parse str 和import request variables 函式 一 使用函式不當 1.extract 函式 該函式有三種情況會覆蓋掉已有變數 第一種情況是第二個引數為extr ov...
DedeCMSV53任意變數覆蓋漏洞
dedecmsv53發布了,但是依舊沒有將變數覆蓋漏洞徹底修補。這個漏洞和ryat那個很相似 看核心檔案include common.inc.php中的 這個地方可以通過提交 cookie變數繞過cfg 等關鍵字的過濾 接著是註冊變數的 然後初始化變數 看似不能利用了,但是幸運的是在檔案最後有這樣一...