阿里雲ECSphpcmsv9各種注入漏洞補丁

思真發表於2017-06-23

用阿里雲ECS伺服器,上傳了用phpcms v9做的專案,沒想到還能幫我查漏洞,於是各種百度,下面記錄下百度到的答案。

1、寬位元組注入漏洞

/phpcms/modules/pay/respond.php 位置約16行

原來程式碼

$payment = $this->get_by_code($_GET[`code`]);

替換為

$payment = $this->get_by_code(mysql_real_escape_string($_GET[`code`]));


2、phpcms注入漏洞

/phpcms/modules/poster/poster.php 位置約221行

if ($_GET[`group`]) {

之後加上

$_GET[`group`] = preg_replace(`#`#`, “, $_GET[`group`]);


3、phpcms前臺注入導致任意檔案讀取漏洞補丁

/phpcms/modules/content/down.php

(1)位置約17行

parse_str($a_k);

替換為

$a_k = safe_replace($a_k); parse_str($a_k);

(2)位置約89行

parse_str($a_k);

替換為

$a_k = safe_replace($a_k); parse_str($a_k);

(3)位置約120行

$filename = date(`Ymd_his`).random(3).`.`.$ext;

之後加上

$fileurl = str_replace(array(`<`,`>`), “,$fileurl);


4、phpcms注入漏洞 

/phpcms/modules/member/index.php 位置約615行

原來程式碼:


$password = isset($_POST[`password`]) && trim($_POST[`password`]) ? trim($_POST[`password`]) : showmessage(L(`password_empty`),HTTP_REFERER);


替換為:

$password = isset($_POST[`password`]) && trim($_POST[`password`]) ? addslashes(urldecode(trim($_POST[`password`]))) : showmessage(L(`password_empty`), HTTP_REFERER);


5、PHPCMS V9.6.2 SQL隱碼攻擊漏洞

(1)phpcms/libs/classes/param.class.php 位置約109行

原來程式碼

$value = isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], `DECODE`) : $default;

替換為

$value = isset($_COOKIE[$var])?addslashes(sys_auth($_COOKIE[$var],`DECODE`)):$default;

(2)/phpsso_server/phpcms/libs/classes/param.class.php 位置約108行

原來程式碼

return isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], `DECODE`) : $default;

替換為

return isset($_COOKIE[$var]) ? addslashes(sys_auth($_COOKIE[$var],`DECODE`)) : $default;

6、phpcms某處邏輯問題導致getshell

/phpcms/libs/classes/attachment.class.php 位置約143行

function download($field, $value,$watermark = `0`,$ext = `gif|jpg|jpeg|bmp|png`, $absurl = “, $basehref = “){

之後加上

     $extArray=explode(`|`,$ext); 
     if(!empty($extArray) && is_array($extArray)){ 
         foreach($extArray as $k => $v){ 
           if(!in_array(strtolower($v), array(`gif`,`jpg`,`jpeg`,`bmp`,`png`))); exit(`0`);//迴圈判斷如果有一個不符合,直接返回 0 
         } 
      }

這樣,加入一個判斷,如果允許的檔案格式是`gif`,`jpg`,`jpeg`,`bmp`,`png`這些,就繼續,不然就跳出,當然這裡的格式可以根據需要增多幾個。
7、phpcms注入漏洞
/api/phpsso.php 位置約128行
原來程式碼
$arr[`uid`] = intval($arr[`uid`]);
$phpssouid = $arr[`uid`];

替換為,二合一程式碼
$phpssouid = intval($arr[`uid`]);  

8、phpcms authkey生成演算法問題導致authkey洩露
照著下面的函式重新生成一下key值,然後找caches/configs/system.php 裡面把兩個引數替換一下就ok了
<?php 
     function random($length, $chars = `0123456789`) { 
       
        $hash = ``; 
        $max = strlen($chars) - 1; 
        for($i = 0; $i < $length; $i++) { 
            $hash .= $chars[mt_rand(0, $max)]; 
        } 
        return $hash; 
    }
    
    echo random(20, `authkey`).`<br/>`;    
    echo random(32, `phpssoauthkey`);exit; 

?>


相關文章