Boblog - 博客程序任意变量覆盖漏洞(二)

admin

138635
文章

114
评论

2021年4月3日18:52:16评论83 views字数 1330阅读4分26秒阅读模式

boblog 博客程序任意变量覆盖漏洞(二)

    by Ryat[puretot]
    mail: puretot at gmail dot com
    team: http://www.80vul.com
    date: 2011-03-09

先前80vul.com上公布了一个bo-blog的漏洞[1],这个漏洞已经被官方修补,但随后wooyun.com上公布了一个绕过补丁的方法[2],可惜触发时有一定的限制,下面我再来公布一个没有任何限制的绕过补丁继续触发漏洞的方法:)

这个简单来说是正则表达式和代码逻辑不够严谨造成的,来看代码:

Go.PHP：

// go.php

$q_url=$_SERVER["REQUEST_URI"];
@list($relativePath, $rawURL)=@explode('/go.php/', $q_url);
$rewritedURL=$rawURL;
...
$RewriteRules[]="/page/([0-9]+)/([0-9]+)/?/";
// 这个正则看上去很严谨,但是没有使用^和$来限制开头与结尾[可能是为了适应程序自身的需要]:)
...
$RedirectTo[]="index.php?mode=1&page=2";
...
foreach ($RewriteRules as $rule) {
    if (preg_match($rule, $rewritedURL)) {
        $tmp_rewritedURL=preg_replace($rule, '
// 对$rewritedURL进行匹配和替换,并使用
// 经过这样的处理后$tmp_rewritedURL主要分为三部分:
// i.第一个
// ii.两个
// iii.第二个
        $tmp_rewritedURL=@explode('
        $rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
// 这段代码的主要目的是解决之前的正则限制不够严格的问题
// 程序员希望通过这段代码去掉i和iii,使$rewritedURL仅保留ii
// 注意这里还对iii做了限制,按照程序员的想法,iii这部分应该是不存在的:)
// 这部分代码逻辑的关键就在于
        break;
    }
    $i+=1;
}

从上面的分析可以看出这段代码对$rewritedURL处理逻辑貌似很严谨,但事实我们只要通过简单的注入

PoC:
/go.php/

参考:
[1]http://www.80vul.com/boblog/boblog.txt
[2]http://www.wooyun.org/bugs/wooyun-2010-01491

文章来源于lcx.cc:Boblog - 博客程序任意变量覆盖漏洞(二)

相关推荐: 浅析 postgresql 数据库攻击技术

postgresql简单介绍： PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统，可以说是目前世界上最先进，功能最强大的自由数据库管理系统。 PostgreSQL是以加州大学伯克利分校计算机系开发的 POSTGRES，版本 …

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Boblog - 博客程序任意变量覆盖漏洞(二)

Php安全新闻早8点（2011-11-17 星期四） - 技术文章

黑客组织与墨西哥毒贩对峙取胜被绑成员已获释

PageAdmin cms getshell 0day - 脚本漏洞

UFO造访水星视频遭网友曝光美天文学家否认

WordPress 注入检查脚本 - 脚本漏洞

行业之星自助建站系统 v0.87 漏洞 - 脚本漏洞

深山网站管理系统漏洞 - 脚本漏洞

【Php】ABCMS新闻发布系统漏洞 - 脚本漏洞

德清洁工误将艺术品当灰尘擦干净致损失80万欧元

德新型单人飞行器试飞成功

发表评论

在线咨询

微信