当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076463

漏洞标题:B2Bbuilder 最新版任意文件包含

相关厂商:B2Bbuilder

漏洞作者: 路人甲

提交时间:2014-09-19 11:20

修复时间:2014-12-18 11:22

公开时间:2014-12-18 11:22

漏洞类型:文件包含

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

过滤不完全导致任意文件包含

详细说明:

先看过滤函数:
function inject_check($sql)
{
return preg_match("/(select|insert|delete|\.\.\/|\.\/|union|into|load_file|outfile|\'|%27|{|\()/i", $sql);// 进行过滤
}
function magic()
{

if(!get_magic_quotes_gpc()&&isset($_POST))
{
foreach($_POST as $key=>$v)
{
if(!is_array($v))
$_POST[$key]=addslashes($v);
else
{
foreach($v as $skey=>$sv)
{
$_POST[$key][$skey]=addslashes($sv);
}
}
}
}

//===========GET
if(inject_check(implode('',$_GET)))
{
die('Invalid URL !');
}
//===========POST
if(isset($_POST))
{
foreach($_POST as $key=>$v)
{
if(!is_array($v))
{
if(strpos($v,'eval(')or(strpos($v,'$_POST[')))
die('Invalid POST');
}
}
}
}


在这里,对POST的数据进行了转义。 而对get的数据只是做了判断。 其中只是判断了get
请求中是否有../ ,在windows环境下,可以使用..\来作为目录。

在看b2bbuilder.php 文件中的代码:
if(!empty($_GET['m']))
{
$_GET['s']=!empty($_GET['s'])?$_GET['s']:'index';
$s=str_replace('/','',$_GET['s']);
$m=$_GET['m'];
if(file_exists($config['webroot'].'/module/'.$m.'/'.$s.'.php'))
{
if(file_exists($config['webroot'].'/config/module_'.$m.'_config.php'))
{
@include($config['webroot'].'/config/module_'.$m.'_config.php');
$mcon='module_'.$m.'_config';
@$config = array_merge($config,$$mcon);
}
@include('module/'.$m.'/lang/'.$config['language'].'.php');
include('module/'.$m.'/'.$s.'.php');
}
elseif(file_exists($m.'.html'))
include($m.'.html');
else
header("Location: 404.php");


先看$config['webroot'].'/module/'.$m.'/'.$s.'.php', 当m=.. 就会被重定向到网站根目录,由于没有过滤掉\ 这样利用s可以包含任意的php文件。利用%00截断功能,可以包含任意类型的文件。
也可以通过include($m.'.html'); 这个来包含,其没有过滤..\这种格式。

BaiduHi_2014-9-18_10-5-56.png


漏洞证明:

BaiduHi_2014-9-18_10-5-56.png

修复方案:

过滤\

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论