影响版本:
Dedecms V5
描述:
这是一个比较有意思的东西，但是成功利用起来并不容易，呵呵。
首先看config_rglobals.php文件，摘的一段代码如下。这里作者本意是为了帮我们注册变量的，但是他却疏忽了我们不但能注册变量，还能覆盖一些变量。config_rglobals_magic.php也有同样的问题
…………………………………………………………………………

if(is_array($_GET)){

foreach($_GET AS $key => $value){ $$key = $value; }

}//可以覆盖任意变量

…………

…………………………………………………………………………

说这个是漏洞还太早了，要结合下面的代码看到底有没有好利用的地方，看config_base.php文件可以发现这样一段代码

…………………………………………………………………………

…………

//载入用户配置的系统变量

require_once(DEDEINC."/config_hand.php");

…………

if($phpold==1){ //低版本强制检查变量

$cfg_isMagic = false;

$cfg_registerGlobals = false;

}else{

$cfg_registerGlobals = @ini_get("register_globals");

$cfg_isMagic = @ini_get("magic_quotes_gpc");

}

//检测系统是否注册外部变量

if(!$cfg_isMagic) require_once(DEDEINC."/config_rglobals_magic.php");

else if(!$cfg_registerGlobals || $cfg_needFilter) require_once(DEDEINC."/config_rglobals.php");

…………………………………………………………………………

从这里可以看出，在register_globals=off 我们可以注册自己的变量并覆盖之前的值。而在register_globals=on时由于服务器配置的原因，ini_get（）函数在很多时候是会失效的。简单的说，就是即使register_globals=On，也可能是ini_get('register_globals') =FALSE，所以依旧可以导致变量覆盖。但是能覆盖的只能是在这之前的内容，向前找看到config_hand.php文件里面定义的值似乎都能覆盖，但是真的能覆盖吗？再向前看到这样的代码，原来程序还是有考虑的

…………………………………………………………………………

//全局安全检测

foreach($ckvs as $ckv){

foreach($$ckv AS $_k => $_v){

if(eregi("^(globals|cfg_)",$_k)) unset(${$ckv}[$_k]);

}

}

………………………………………………………………………

上面代码的意思是cfg_开头的变量不让从外部提交，发现了就unset掉，这样看的话config_hand.php里面cfg_开头的全局变量都是不让我们覆盖的。看到这里也许有人觉得没戏了。厄，多数情况下是这样的，但是别忘记了我们还有Zend_Hash_Del_Key_Or_Index漏洞，在PHP < 4.4.3, 5 <= PHP < 5.1.4时这个unset并不能释放我们的变量，于是这里就带来了隐患。

下面说个有意思的利用方式，就是选择覆盖$cfg_mediatype来上传任意文件呢？但是这个地方是有限制的，在config_base.php中用require_once函数调用文件config_rglobals.php之前有一段这样的代码

………………………………………………………………

//检测上传的文件中是否有危险代码，有直接退出处理

if( !isset($cfg_NoUploadSafeCheck) ){

if (is_array($_FILES)) {

foreach($_FILES AS $_name => $_value){

${$_name} = $_value['tmp_name'];

$_fp = @fopen(${$_name},'r');

$_fstr = @fread($_fp,filesize(${$_name}));

@fclose($_fp);

if($_fstr!='' && ereg("<(\?|%)",$_fstr)){

echo "你上传的文件中含有危险内容，程序终止处理！";

exit();

}

}

}}

…………………………………………………………………

只有$cfg_NoUploadSafeCheck非空才可以绕过这段检查但是由于在这段代码后才用函数require_once来调用文件config_rglobals.php注册变量，所以只有在php设置register_globals=on时我们才可以提交$cfg_NoUploadSafeCheck绕过过滤上传php脚本

下面我们来看如何具体利用，看文件

…………………………………………………………

\include\dialoguser\medias_upload.php

…………

if(!CheckAddonType($uploadfile_name)){

ShowMsg("你所上传的文件类型被禁止，系统只允许上传<br>".$cfg_mb_mediatype." 类型附件！","-1");

exit();

}

$fs = explode(".",$uploadfile_name);

$sname = trim($fs[count($fs)-1]);

if($sname==''){

ShowMsg("你所上传的文件无法识别，系统禁止上传<br />","-1");

exit();

}

$nowtme = mytime();

$filename_name = dd2char($cfg_ml->M_ID."0".strftime("%y%m%d%H%M%S",$nowtme)."0".mt_rand(1000,9999));

$filename = $filename_name.".".$sname; //这里用不带目录的文件名作标题

$fileurl = $rootdir."/".$filename;

$fullfilename = $cfg_basedir.$fileurl;

//严格检查最终的文件名

if(!CheckAddonType($fullfilename) || eregi("\.(php|asp|pl|shtml|jsp|cgi|aspx)",$fullfilename)){

ShowMsg("你所上传的文件类型被禁止，系统只允许上传<br>".$cfg_mb_mediatype." 类型附件！","-1");

exit();

}

@move_uploaded_file($uploadfile,$fullfilename);

……

……………………………………………………………………….

对于检查最终的文件名部分的代码，asa并不在黑名单里面。剩下的就是CheckAddonType函数的过滤了，我们找到相关代码

……………………………………………………………………

\\include\inc_memberlogin.php

//检测用户的附件类型

function CheckAddonType($aname){

global $cfg_mb_mediatype;

if(empty($cfg_mb_mediatype)){

$cfg_mb_mediatype = "jpg|gif|png|bmp|swf|mpg|mp3|rm|rmvb|wmv|asf|wma|zip|rar|doc|xsl|ppt|wps";

}

$anames = explode('.',$aname);

$atype = $anames[count($anames)-1];

if(count($anames)==1) return false;

else{

$atype = strtolower($atype);

$cfg_mb_mediatypes = explode('|',trim($cfg_mb_mediatype));

if(in_array($atype,$cfg_mb_mediatypes)) return true;

else return false;

}

}

……………………………………………………………………………..
依然是依据$cfg_mb_mediatype来过滤的，综合上面的分析，可以将之覆盖为asa来达到我们的目的。实战中要利用起来真不容易，需要ini_get失效，register_globals 为on，php本身Zend_Hash_Del_Key_Or_Index的洞没有被修补,还有更不幸的是需要支持asa。