VULHUB ™

### 简要描述： .... ### 详细说明： 还是那个获取ip的函数，既然可以伪造ip那么坑定可以插入js了。 ``` function GetIP(){ if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown")) $ip = getenv("HTTP_CLIENT_IP"); else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown")) $ip = getenv("HTTP_X_FORWARDED_FOR"); else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown")) $ip = getenv("REMOTE_ADDR"); else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")) $ip = $_SERVER['REMOTE_ADDR']; else $ip = ""; return($ip); } ``` 追终这个函数的输出。在https://images.seebug.org/upload/app/controllers/user/ulog.php第114行 ``` $updata['CS_Zx'] = 1; $updata['CS_LogNum'] = $row[0]->CS_LogNum+1; $updata['CS_LogTime'] = date('Y-m-d H:i:s'); $updata['CS_LogIP'] = $this->CsdjSkins->GetIP();//使用了获取ip函数把值付给$updata数组 $updata['CS_Logms'] = time(); $this->CsdjDB->get_update ('user',$row[0]->CS_ID,$updata);//使用句柄更新了了ip地址...

### 简要描述： .... ### 详细说明： 还是那个获取ip的函数，既然可以伪造ip那么坑定可以插入js了。 ``` function GetIP(){ if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown")) $ip = getenv("HTTP_CLIENT_IP"); else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown")) $ip = getenv("HTTP_X_FORWARDED_FOR"); else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown")) $ip = getenv("REMOTE_ADDR"); else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")) $ip = $_SERVER['REMOTE_ADDR']; else $ip = ""; return($ip); } ``` 追终这个函数的输出。在https://images.seebug.org/upload/app/controllers/user/ulog.php第114行 ``` $updata['CS_Zx'] = 1; $updata['CS_LogNum'] = $row[0]->CS_LogNum+1; $updata['CS_LogTime'] = date('Y-m-d H:i:s'); $updata['CS_LogIP'] = $this->CsdjSkins->GetIP();//使用了获取ip函数把值付给$updata数组 $updata['CS_Logms'] = time(); $this->CsdjDB->get_update ('user',$row[0]->CS_ID,$updata);//使用句柄更新了了ip地址 $ulogin['cs_id']=$row[0]->CS_ID; $ulogin['cs_name']=$row[0]->CS_Name; $ulogin['cs_pass']=md5($row[0]->CS_Pass); $this->session->set_userdata($ulogin); exit('10006'); //登入成功 ``` ### 漏洞证明： 在用户登录的时候抓包， [<img src="https://images.seebug.org/upload/201402/18152438017a8b001e86160570bf1bd04f761286.jpg" alt="QQ图片20140218152320.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18152438017a8b001e86160570bf1bd04f761286.jpg) 插入我们的恶意脚本。 当管理员去后台查看会员的时候payload被执行了 [<img src="https://images.seebug.org/upload/201402/18152641fe13cd6467196c8b7fb7a7950a3fb51b.jpg" alt="QQ图片20140218152552.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18152641fe13cd6467196c8b7fb7a7950a3fb51b.jpg)