细谈Web系统安装程序安全.docVIP

细谈Web系统安装程序安全 细谈Web系统安装程序安全 Author:Yaseng [目录] 0×00?前言 0×01?关于程序安装文件 0×02?最土团购直接重复安装?加?getShell? 0×03?跳转绕过?phpdisk?header?bypass??getShell? 0×04?全局变量覆盖绕过?sdcms 0×05?非主流?dcrcms?的非常重装 0×06?phpweb?安装会员验证绕过 0×07?其他绕过实例 0×08?安全代码的编写 0×09?总结 前言 作为一个Web系统,安装程序是必不可少的。提供安装系统,已连接数据库和初始化网站数据,当首次安装时,系统一般会生成一个lock文件以免非法重装,但我们可以绕过已安装检测,导致系统重装,系统数据丢失甚至getShell,本文以多个实例浅谈web系统安装程序的安全。 关于程序安装文件 web系统安装在第一次访问程序入口的会自动安装,?以笔者熟悉的php为例,一般是install.php?或者根目录下的install文件夹,安装流程如下 图一 围观以上内涵图先,接下来我们用多个案例细谈之。 最土团购直接重复安装?加?getShell? 参考?http://www.0855.tv/post/46.htm1.访问/install.php?（有的人懒，并没有删除这个文件）2.填写自己本机搭建好的Mysql帐户和IP，重新安装之。3.注册一个帐户，第一个注册的默认为管理员。4.访问/manage/index.php 5.点击?设置–模版—选择about_job.html添加PHP一句话6.用菜刀链接/about/job.php Phpdisk?header?绕过? 参考http://yaseng.me/phpdisk-header-bypass-getshell-exp.html 图二 如图二,已安装检测时,直接?header跳转,而php中的?header?函数跳转之后还可以执行,而为了安装方便去掉gpc,导致重复安装直接getShell.图三 xdcms?全局变量覆盖绕过重装? 参考?http://yaseng.me/xdcms-open-code-audit.html 看?install下的?index.php?文件? foreach(Array(‘_GET’,_POST’,_COOKIE’)?as?$_request){ foreach($$_request?as?$_k?=?$_v)?${$_k}?=?_runmagicquotes($_v); } 经典的全局变量覆盖,代码的意思是把传入的变量数组遍历赋值,比如?$_GET[‘a’]?赋值为?$a?Ok?继续往下看已安装检测代码 $insLockfile?=?dirname(__FILE__).’/install_lock.txt’;?//在全局数据遍历之前 if(file_exists($insLockfile)){ exit(“?程序已运行安装，如果你确定要重新安装，请先从FTP中删除?install/install_lock.txt！“); } 这里的?insLockfile是我们可控的(全局变量覆盖),随便传入一个参数? /install/index.php?insLockfile=1图四 图四位sdcms官方网站,利用poc /install/index.php?insLockfile=1step=4dbhost=localhostdbname=xdcmsdbuser=rootdbpwd=dbpre=c_dblang=gbkadminuser=yasengadminpwd=90sex 加粗部分填写配置?直接绕过?重装 dcrcms?逻辑缺陷导致二次安装 我们来看dcrcms非主流安装程序,没有已安装检测代码,index.php写入配置,传入install_action.php,当安装结束时, function?install_end() { //安装收尾 //把安装文件的名字换了 @rename(‘index.php’,?’index.php_bak’); } 额?改了index.php?有毛用,index.php只是一个配置数据的发射器,好吧?既然你改名的?index?我就本地写一个index吧…图五 提交本地表单图六 Done?!!! phpweb?重装vip验证绕过 Phpweb?作为一个收费系统,安装时有会员验证,所以开发人员的天真的免去了已安装检测.图七 但是安装流程有?post过来的?nextstep控制图八 Firefox?tamper?直接绕过安装?(破解此程序未测试,感兴趣者可深入研究)图九 其他绕过 安装程序不能绕过时,可以通过别的方式,比如