Medium完整代码:
<?php if (isset($_GET['Change'])) { // Checks the http referer header if ( eregi ( "127.0.0.1", $_SERVER['HTTP_REFERER'] ) ){ // Turn requests into variables $pass_new = $_GET['password_new']; $pass_conf = $_GET['password_conf']; if ($pass_new == $pass_conf){ $pass_new = mysql_real_escape_string($pass_new); $pass_new = md5($pass_new); $insert="UPDATE `users` SET password = '$pass_new' WHERE user = 'admin';"; $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' ); $html .= "<pre> Password Changed </pre>"; mysql_close(); } else{ $html .= "<pre> Passwords did not match. </pre>"; } } } ?>
在第六行增加了一个函数,这个函数相对于我较为生僻。eregi:不区分大小写的正则表达式匹配 ps:这个函数已经被高版本的PHP遗弃了。
关于eregi函数的案例:
<?php $string = "hello world"; if(eregi('E',$string)){//匹配E是否再$string变量中,不区分大小写 echo "xxx";//如果存在输出xxx }else{ echo "bbbbb";//否则输出bbbbb } ?>
知道了那个函数就很容易知道,这个Medium的防御措施是如何的。既然对来源的$_SERVER['HTTP_REFERER']即referer进行了匹配,那么应该咋绕过呢?
绕过方法:
文件名也是在referer当中,那么我们就可以将其匹配的$_SERVER['HTTP_REFERER']当作我们的文件明来绕过。
比如攻击者的域名是www.aaaa.com
被攻击者的域名是:www.bbb.com
在攻击者的服务器上上传一个文件,名字改为:www.bbb.com。即www.aaa.com/www.bbb.com
如此便成功绕过。