·	完美空间提供500M免费AS	04-10	·	企业安全之YY内网准入以	04-09
·	企业安全之意识与策略	04-09	·	剑走偏锋:IIS漏洞利用	04-09
·	我来免费网提供100M免费	04-09	·	1122mb.com提供20G超大免	04-08
·	映像劫持与反劫持技术	04-07	·	让所有"暴力删除工具"无	04-07
·	入侵88red系统的详细过程	04-07	·	Sql Injection脚本注入终	04-07
·	vbs+delphi 反弹后门生成	04-07	·	飞讯网提供100MB免费PHP	04-07
·	突破SQL注入攻击时输入框	04-04	·	结合内核和病毒技术的最	04-04
·	Real Player rmoc3260.d	04-04	·	亿万网络今月最后为您提	04-04
·	php+mysql 5 sql inject	04-03	·	Real Player rmoc3260.d	04-03
·	oblog文件下载漏洞	04-03	·	免费啦提供1G-2G免费全能	04-03
·	完全解析网页后门和挂马	04-02	·	一句话开3389（只测试过	04-02
·	萧萧免费空间网提供100M	04-02	·	谷道免费空间网提供1G免	04-01
·	从本地入手解决双线路由	03-31	·	sablog 1.6 多个跨站漏洞	03-31
·	富文本编辑器的跨站脚本	03-31	·	Cookie注入是怎样产生的	03-31

[推荐]wordpress绝对路径泄露分析

热荐 ★★★★★

wordpress绝对路径泄露分析

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-1-16 12:53:46

无意中改下就暴路径了，应该所有版本都有，测试了正式版和几个beta版，具体版本漏洞代码所在行数不同而已，又是数组和变量的老问题，相信很多地方都还存在。
问题出在搜索的参数，http://XXX.com/index.php?s= 改成 http://XXX.com/index.php?s[]=
Warning: rawurlencode() expects parameter 1 to be string, array given in /home/xxx/public_html/wp-includes/classes.php on line 227

问题很小，突然想起一件很有意义的事，就看了下代码，写个比较完整点的文档
看URL就知道变量s的问题，找sgeneral-template.php 878行：
function the_search_query() {
global $s;
echo wp_specialchars( stripslashes($s), 1 );
}
怎么过滤的，找函数wp_specialchars：
formatting.php 107行：
function wp_specialchars( $text, $quotes = 0 ) {
// Like htmlspecialchars except don't double-encode HTML entities
$text = str_replace('&&', '&&', $text);
$text = str_replace('&&', '&&', $text);
$text = preg_replace('/&(?:$|([^#])(?![a-z1-4]{1,8};))/', '&$1', $text);
$text = str_replace('<', '<', $text);
$text = str_replace('>', '>', $text);
if ( 'double' === $quotes ) {
$text = str_replace('"', '"', $text);
} elseif ( 'single' === $quotes ) {
$text = str_replace("'", ''', $text);
} elseif ( $quotes ) {
$text = str_replace('"', '"', $text);
$text = str_replace("'", ''', $text);
}
return $text;
}
过滤的很好但不是关键，看报错找rawurlencode()函数：
classes.php 222行：
function build_query_string() {
$this->query_string = '';
foreach (array_keys($this->query_vars) as $wpvar) {
if ( '' != $this->query_vars[$wpvar] ) {
$this->query_string .= (strlen($this->query_string) < 1) ? '' : '&';
$this->query_string .= $wpvar . '=' . rawurlencode($this->query_vars[$wpvar]);
}
}
$wpvar被传到rawurlencode函数里，导致函数出错，那$wpvar的值是什么呢？跟变量s有什么关系？往上看，第4行：
var $public_query_vars = array('m', 'p', 'posts', 'w', 'cat', 'withcomments', 'withoutcomments', 's', 'search', 'exact', 'sentence', 'debug', 'calendar', 'page', 'paged', 'more', 'tb', 'pb', 'author', 'order', 'orderby', 'year', 'monthnum', 'day', 'hour', 'minute', 'second', 'name', 'category_name', 'feed', 'author_name', 'static', 'pagename', 'page_id', 'error', 'comments_popup', 'attachment', 'attachment_id', 'subpost', 'subpost_id', 'preview', 'robots');
前面s已经global了，看到s被包含在数组中，接着找$wpvar，137行：
$this->public_query_vars = apply_filters('query_vars', $this->public_query_vars);

for ($i=0; $i<count($this->public_query_vars); $i += 1) {
$wpvar = $this->public_query_vars[$i];
if (isset($this->extra_query_vars[$wpvar]))
$this->query_vars[$wpvar] = $this->extra_query_vars[$wpvar];
elseif (isset($GLOBALS[$wpvar]))
$this->query_vars[$wpvar] = $GLOBALS[$wpvar];
elseif (!empty($_POST[$wpvar]))
$this->query_vars[$wpvar] = $_POST[$wpvar];
elseif (!empty($_GET[$wpvar]))
$this->query_vars[$wpvar] = $_GET[$wpvar];
elseif (!empty($perma_query_vars[$wpvar]))
$this->query_vars[$wpvar] = $perma_query_vars[$wpvar];
}
$wpvar这里获得了s的值，接着就把变量s带入函数rawurlencode里做转换，这里把变量s改为数组提交，漏洞就产生了，很清楚的看到报错提示：
Warning: rawurlencode() expects parameter 1 to be string, array given in....

over！

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：新浪UC 2006 BROWSER2UC.dll溢出演示代码

下一篇文章： MS07-004漏洞分析

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

新云CMS Online.asp页面过滤不严	02-26
对网软网上购物系统的漏洞分析	01-09
测试SQL防注入脚本	12-21
Google Xss又出跨站新漏洞	11-06
一次简单的html injection导致的	11-06
风讯、科讯漏洞利用	11-01
Adobe pdf reader URI利用方式浅	10-23
超星阅览器的最新0DAY	10-19
运用SQL Injection做数据库渗透的	09-22
sa-blog 0day	09-22
HTML注入的一些简单想法	09-10
网站登陆接口的攻与防	09-04