boblog任意变量覆盖漏洞

2025.04.25

    漏洞代码如下：
    // go.php
    $q_url=$_SERVER["REQUEST_URI"];
    @list($relativePath, $rawURL)=@explode('/go.php/', $q_url);
    $rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)
    ...
    $RewriteRules[]="/component/([^/]+)/?/";
    // 这个正则限制的不够细致,可以很轻易的绕过:)
    ...
    $RedirectTo[]="page.php?pagealias=\1";
    $i=0;
    foreach ($RewriteRules as $rule) {
    if (preg_match($rule, $rewritedURL)) {
    $tmp_rewritedURL=preg_replace($rule, '<'.$RedirectTo[$i].'<', $rewritedURL, 1);
    $tmp_rewritedURL=@explode('<', $tmp_rewritedURL);
    $rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];
    break;
    }
    $i+=1;
    }
    if ($rewritedURL==$rawURL || !$rewritedURL) {
    ...
    $parsedURL=parse_url ($rewritedURL);
    // 这里的$parsedURL['query']就是要利用的变量了:)
    parse_str($parsedURL['query']);
    // 通过这个地方可以覆盖任意变量
    include(basename($parsedURL['path']));
    // 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(
    这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[PHP>5.2.0&allow_url_include=On].不过没关系,还有更好的利用方式
    来看下global.php文件:
    ...
    unregister_GLOBALS(); //When register_globals=On
    ...
    function unregister_GLOBALS() { //When register_globals = 'on'
    if (!ini_get('register_globals')) { //Already off
    return;
    }
    // Variables that shouldn't be unset
    $noUnset = array('_GET', '_POST', '_COOKIE', '_REQUEST', '_SERVER', '_ENV', '_FILES');
    $input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());
    foreach ($input as $k => $v) {
    if ($k=='GLOBALS') {
    global $kgr;
    $kgr=0;
    kill_GLOBALS($input[$k]); //GLOBALS is recursive -,-
    }
    elseif (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {
    $GLOBALS[$k]=NULL;
    }
    }
    }
    在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_GLOBALS()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题。