《变量攻击者漏洞 数据 中心 代码》由会员分享,可在线阅读,更多相关《变量攻击者漏洞 数据 中心 代码(3页珍藏版)》请在金锄头文库上搜索。
1、变量攻击者漏洞数据中心代码事件背景:近日很多网站被爆遭到入侵,经过安全宝安全实验室研究分析,这些网站使用的都是DedeCMS内容管理系统,DedeCMS爆出一个很严重的漏洞,攻击者可以直接向服务器中写入一句话木马。DedeCMS的漏洞成因主要是由于变量覆盖导致而成,攻击者通过提交变量,覆盖数据库连接配置的全局变量,从而可以使被攻击的网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的网站中直接写入WebShell。从整个攻击过程来看,这种攻击利用方式也比较巧妙,避开了传统的注入,破解,登录后台和上传木马的攻击模式,攻击者可以在未授权的前提下直接向网站目录中写入WebShell,从而控制
2、网站,危害严重。随着网站管理员的安全意识的逐渐提高,网络安全设备的引入,模块和程序的过滤;传统的入侵模式也越来越捉襟见肘,从这次攻击中,我们发现传统的Web攻击思想也在发生变换,它们正慢慢由正向攻击向反向攻击过渡,其实在系统的攻击中,反向攻击早就存在,攻击者为了绕过防火墙一些列的前端过滤设备,利用木马使被攻击机器自己发起连向攻击者机器的请求,而防火墙通常是不会拦截机器主动发现的连接,从而攻击者很容易绕过了前端一系列的过滤和障碍。分析报告:下面我们一起来看下Dede的漏洞原因,首先我们来看个变量覆盖漏洞的原型基础:VulTest.php:攻击前图片攻击后图片($anquanbao变量已经被覆盖)
3、有了这个漏洞的基础,现在我们来看看Dede的漏洞详细信息,漏洞主要发生在文件/plus/mytag_js.php中:我们首先读下这段代码的处理流程,程序在开始会获取用户提交的$aid变量,如果需要显示不需要显示缓存内容,则会从数据库表中读取记录,并将读取的$tagbody内容以Dede模版形式写入缓存文件中。在这里很显然存在变量$aid的注入漏洞,但由于该表的内容一般都为空,而且Dede对提交的单引号都会有过滤,基本属于鸡肋漏洞;但是如果结合变量覆盖漏洞,攻击者就可以利用该漏洞覆盖数据库配置文件的连接信息,将数据库的连接重定向到攻击者可以控制的一个数据库,那么这样攻击者就能完全控制$tagbo
4、dy的内容,而且在DedeCMS文章管理系统中,模版中是可以嵌入PHP代码,也就是说攻击者可以执行自己的PHP代码,从而可以轻易地向服务器中写入一句话木马,达到攻击的效果。在对漏洞进行测试的时候,我们发现Dede产生变量覆盖漏洞的代码在/include/common.inc.php中,如下:通过这段代码我们可以对程序中的任何变量进行覆盖,为了覆盖数据库配置文件中的变量,其实我们覆盖$cfg_dbhost或$GLOBALScfg_dbhost都可以,因此我们可以提交形如下面的测试代码:mytag_js.php?_GETcfg_dbhost=mytag_js.php?_GETGLOBALScfg_
5、dbhost=不过DedeCMS对这种形式的攻击也是有防范,但只是对提交的变量中的键值进行了判断,代码如下:但是这个变量$_k只是对一维数据的键值进行判断,而Dede对变量的提取却是支持多维的,如果攻击者提交的是多维的变量就可以很容易绕过,为了绕过正则的检测,同时达到覆盖变量的效果;因此我们可以很容易想到$_COOKIE变量,更重要的是Dede也支持$_COOKIE提交变量,因此我们就可以得到如下的有效攻击代码:mytag_js.php?_GET_COOKIEGLOBALScfg_dbhost=利用上面的代码就可以绕过DedeCMS的正则检测,同时可以覆盖$GLOBALScfg_dbhost变
6、量。分析总结:通过对上面的分析,那么现在我们就能很清楚整个攻击流程:1攻击者会预先准备一个数据库,数据库中包含有一个表明为#_mytag的数据表,其中#是待攻击数据库的表前缀,并在表中插入一条记录来控制$tagbody的内容,使其能够写入一句话木马,而且Dede利用模版写入一句话木马的代码如下:dede:php$fp=fopen(test.php,a);fwrite($fp,在如今这个信息爆炸的时代里,每天都会有数不清的新闻通过各种渠道涌到我们面前,而真正有价值的应该进入我们心里的,却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的比特网新闻中心美国塞尔维亚预赛巴西队中国队每周热点推
7、荐,就是要告诉您过去的七天都发生了哪些新闻,更希望和您一起,站在七天的高度来看待过去一周的新闻。业内首个只为报道数据中心资讯内容的专业频道,是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心,贯穿新鲜资讯、韩版女装减肥计划技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则,以成为用户最信赖的行业专家为目标,打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报,为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐,为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。
