bo-blog index.php include任意php文件漏洞

漏洞发现日期:2005.6.13 漏洞涉及版本:Bo-BlogVersion<=1.7.0108(未打补丁前) 漏洞分析及利用: 刚发现bo-blog的一个致命的漏洞。我是看1.7.0095版本的。不过估计最新的也有这个漏洞.在index.php中的job变量没有过滤.导致用户可以任意include一个php文件. index.php ----------------------可爱的分割线----------------------------- [codzbegin] 33if(empty($job))$job="listall"; 34if($job=="main")$job="listall"; 178if(!file_exists("include/$job.php"))$job="listall"; 179include("include/$job.php");//未加过滤,只是判断是否有这个$job.php文件,然后就include了. [codzend] ----------------------可爱的分割线----------------------------- 我们可以通过这个$job变量include任何一个有php扩展名的文件,只要他在服务器上存在(我们可以通过../来绕过目录).其实他的admin_cp.php文件中一样有这个问题.只不过要调用admin_cp.php文件是要权限的.所以我们就只能用index.php进行利用了. 现在我们开始测试，_blank>www.bo-blog.com这是他的主站。我们先来看看他的php设置.输入:_blank>http://www.bo-blog.com/index.php?job=../admin/change&action=phpinfo 这个action是传递给admin/change.php的,作用是这个文件可以显示phpinfo.不用担心不能调用.index.php是include了global.php的,定义了inwork.所以可以使用change.php而甚至不用登陆 得到了一些基本信息:WindowsNTNS5.2build3790服务器是php5的,safe_mode=On. 再来正式利用拿他的webshell。在_blank>http://www.bo-blog.com/index.php?job=../admin/ban这里,本来是给admin在后台设置禁止ip\语言等的.但是同样没有过滤,导致我们可以直接写入一个shell。但是我们必须自己构造一个表单,先看他的原文件,我们用他还没用过的那个bansearch(禁止搜索词汇)。 ----------------------可爱的分割线----------------------------- [codzbegin]