PHPWIND论坛是一款流行的PHP论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和DISCUZ都非常相似,具体原因我想也就不用说了,毕竟DISCUZ出来比它要早很多。但安全上它没有继承DISCUZ的优点,DISCUZ论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全,第一非DISCUZ莫属。PHPWIND虽然代码严谨,逻辑清楚,但还是有一些漏洞,而且还相当严重。 skin变量未过滤导致管理员密码更改 漏洞代码如下(header.php): !function_exists(\'readover\') && exit(\'Forbidden\'); if (!$skin) $skin=$db_defaultstyle; if(file_exists(R_P.\"data/style/$skin.php\")){ include_once(R_P.\"data/style/$skin.php\"); }else{ include_once(R_P.\"data/style/wind.php\"); } $yeyestyle==\'no\' ? $i_table=\"bgcolor=$tablecolor\" : $i_table=\'class=i_table\'; if($groupid==\'guest\' && $db_regpopup==\'1\'){ $head_pop=\'head_pop\'; } else{ $head_gotmsg=$winddb[\'newpm\']==1 ? \'您有新消息\':\'短消息\'; } require_once(PrintEot(\'css\')); require_once(PrintEot(\'header\')); ?> 其中$skin变量是我们提交的,在运行到这里之前,只有一个地方处理过$skin变量: $_COOKIE[\'skinco\'] && empty($skin) && $skin=$_COOKIE[\'skinco\'];...
PHPWIND论坛是一款流行的PHP论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和DISCUZ都非常相似,具体原因我想也就不用说了,毕竟DISCUZ出来比它要早很多。但安全上它没有继承DISCUZ的优点,DISCUZ论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全,第一非DISCUZ莫属。PHPWIND虽然代码严谨,逻辑清楚,但还是有一些漏洞,而且还相当严重。 skin变量未过滤导致管理员密码更改 漏洞代码如下(header.php): !function_exists(\'readover\') && exit(\'Forbidden\'); if (!$skin) $skin=$db_defaultstyle; if(file_exists(R_P.\"data/style/$skin.php\")){ include_once(R_P.\"data/style/$skin.php\"); }else{ include_once(R_P.\"data/style/wind.php\"); } $yeyestyle==\'no\' ? $i_table=\"bgcolor=$tablecolor\" : $i_table=\'class=i_table\'; if($groupid==\'guest\' && $db_regpopup==\'1\'){ $head_pop=\'head_pop\'; } else{ $head_gotmsg=$winddb[\'newpm\']==1 ? \'您有新消息\':\'短消息\'; } require_once(PrintEot(\'css\')); require_once(PrintEot(\'header\')); ?> 其中$skin变量是我们提交的,在运行到这里之前,只有一个地方处理过$skin变量: $_COOKIE[\'skinco\'] && empty($skin) && $skin=$_COOKIE[\'skinco\']; 语句判断COOKIE中是否已经包含skinco的信息,如果有了,就取得COOKIE中的值,这是处理个人页面风格用的。但如果我们的COOKIE中没有这个值,那么我们提交的skin变量就会一点不变的传到上面的漏洞代码。有人问,如果系统关了register_globals会怎么样,关了也没关系。 if(!ini_get(\'register_globals\') || !get_magic_quotes_gpc()){ @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_COOKIE,EXTR_SKIP); @extract($_FILES,EXTR_SKIP); } 系统在global.php中又给释放了。所以我们不管是用GET方法或者POST方法都可以把构造好的SKIN变量传给程序。那传给程序有什么用呢?这是重点! 我们看这段代码: if(file_exists(R_P.\"data/style/$skin.php\")){ include_once(R_P.\"data/style/$skin.php\"); }... 含义是如果(R_P.\"data/style/$skin.php\")文件存在就把它包含进来,我也不分析有几种用法了,我直接给出我最简单危害最大的利用方法。 我们把skin的值设为\"../../admin/manager\",那就变成了R_P.\"data/style/../../admin/manager.php\",很显然,这是论坛管理用户的一个程序,存在而且可执行。这个程序是专门用来修改sql_config.php的,这里面都是重要数据,包括论坛创始人的用户名和密码。我们只要构造好就可以改它的密码,直接登陆后台管理。在改之前我们可以先查看创始人的用户名。 PHPWIND1.3.6 下载官方提供最新补丁及版本,http://www.phpwind.net
