WooYun.org

以下测试没有在特殊说明的情况下均为windows底下

第一个问题：



文件包含，大家都知道php文件阶段这么一个例子，在5.2.x里面很常见，但是有谁关心过，文件包含的时候后面可以跟很长的空格呢



我们来看一个例子：



$filename = "d:/aaa/bbb/cccc/a.png";



include($filename);



这样是完全没有问题的，这里不讨论阶段，如果我们改写一下



$filename = "d:/aaa/bbb/cccc/a.png ";



这里跟了一大堆空格在后面，我们看一下还能否包含进来，我们给a.png里面写上phpinfo()

我没有安装linux版本底下5.2.X的直接在linux底下看5.4.x

我们也可以给后面的空格填充小圆点 ，也是可以的

但是在linux底下5.4.x不行

下来我们测试php 5.3.x，我们搭建环境 还是windows:

我们改为点号也是可以的

由此可见linux底下 应该不存在此问题，后续linux底下我们就不测试了





如果想挨个的去测是，我们下载了phpstudy，里面包括了当前php所有的可能性的组合

下来 我们就不一个个测试了 直接搭建一个最新的5.6

到此为止我们已经分析完毕



结论就是：



文件包含的时候在windows底下，点号 和 空格 是可以被引入进来，并且无妨碍包含





漏洞利用场景：



phpyun：

请看我这个漏洞http://**.**.**.**/bugs/wooyun-2014-075752



当然了 这个漏洞利用了mysql的阶段，重新获取的时候不会添加空白字符导致



那么由以上的推论来算，就是她引入了空白字符，我们照样还是可以进行文件包含





假设：php云对 文件名里面过滤了空白字符，也就是说判断当前的文件名是不是一个合法的文件名，一般点号是不被过滤的，那么我们照样还是可以用点号隔断，在mysql层面阶段，然后正常引入进行文件包含





这个小漏洞我们就分析完了，下来我们再看另一个漏洞



php里面有一个is_file函数，从官网查的的信息是，这个函数是判断，当前传递过来的是不是一个文件

这是w3c给出来的例子，可以足够说明，如果传递过来的是目录的话，这个函数会返回空值



那么实际情况是不是这样呢，看我测试一下





在我们d盘xxx目录底下有三个文件，我们在建立一个aaaa目录作参照

环境为windows底下，代码如下：

<?php


$filename =  "D:/xxxx/aaaa.sql/";


if(is_file($filename)){


	echo file_get_contents($filename);


}else{


	echo "this file is not exist!!!";


}


?>

执行如图所示

这里大家都看出来了，我顺便也把file_get_contents这个函数也测了，其实所有操作文件的应该都具有这个漏洞





php版本为5.2.x这个版本会产生这样的效果，跟官网给出来的定义完全不一样，那么我们在去linux底下验证一下

由此可以看出来，没有去做windows底下的判断，这时候我们也就不去测试windows了，看看php的最高版本5.6.x在windows是不是也是这样

神奇的事情发生了，居然在最高版本，这个函数处理了这种情况，我们测试了我们的三个文件都不能通过



我们对我们构造的三个文件分别同一测试:

<?php





$file_array = array(


	"D:/xxxx/aaaa_1.sql/",


	"D:/xxxx/aaaa.sql/",


	"D:/xxxx/aaaa.sql/"


);





foreach($file_array as $filename){


	if(is_file($filename)){


		echo file_get_contents($filename)."<br>";


	}else{


		echo "this file is not exist!!!<br>";


	}


}


?>

然后访问 这时候php是5.6.x

后续的5.5.x就不用测试了，也就是说在5.2.x时候有这个漏洞





找到了这个，我们就看一下一个oday 我就不发了 直接在这里分析一下这个漏洞的利用

新云cms(yxcms)





dbbackController.php(38-49):

public function recover()


	{


		@set_time_limit(0);


		$file=$_GET['f'];


		if(empty($file)) $this->error('参数错误');


		if(self::$ndb->importSql($file.'/'))


		{


			$this->success('数据恢复成功！',url('dbback/index'));


		}


		else{


			$this->error('数据恢复失败！');


		}


	}

这里做文件还原用：



$file=$_GET['f']; 这个参数没有做任何处理，然后直接流向importSql($file.'/'))



这里 已经看到了没有，程序员的误区，猜测



1.如果它本身就支持单文件还原的话，那么在php的高版本中$file.'/' 永远就是个目录

2.如果它本身就不支持单文件还原的话，那么在php低版本中$file.'/' 这个也可以是个文件



问题就出来了，我们跟进去：

Dbbak.class.php:(158-170):

public function importSql($rdir){


        if(empty($rdir)) $this->error('没有指定备份文件夹路径');


        $dir=$this->dataDir.$rdir;


		if(is_file($dir))


		{


			return $this->_importSqlFile($dir);


		}


		if($link = opendir($dir))


		{


			$fileArry = scandir($dir);


			$pattern = "/_part[0-9]+.sql.php$|_all.sql.php$/";

漏洞出现了吧 ，这里用了一个is_file,如果是一个文件，那么直接读取文件，进行数据库还原操作





再次猜想，我们前台上传一个图片，图片的内容就是大量的sql语句，那么这里是可控的



如果我们上传的图片为 dsada8926372.png，那么传递到这里就是

/xxx/yyyy/ggg/../../../目录/dsada8926372.png/ 这时候 就是一个我们可以控制的sql文件了



哈哈 牛逼不 完全越过了条件判断



我们访问url：

**.**.**.**/YXcmsApp1.2.5/index.php?r=admin/dbback/recover&f=1402565182



这居然还是一个get类型的操作，也没有csrf防御

证实了我所说的一切，我就不前台上出啊了直接给出来一个放到可写目录里面

**.**.**.**/YXcmsApp1.2.5/index.php?r=admin/dbback/recover&f=../../upload/shell.png

这里可怕的 因为可以批量执行sql语句，所以也能进行提权等等，可以参照我这一片文章

http://**.**.**.**/305654676.html





之后的csrf 的利用想必大家都会了 直接给管理员发一个要审核的图片 图片的src就是这个get链接



然后就没有然后了

..............................