漏洞介绍:PEAR是PHP的官方开源类库, PHP Extension and Application Repository的缩写。PEAR将PHP程序开发过程中常用的功能编写成类库,涵盖了页面呈面、数据库访问、文件操作、数据结构、缓存操作、网络协议等许多方面,用户可以很方便地使用。它是一个PHP扩展及应用的一个代码仓库,简单地说,PEAR就是PHP的cpan。但是80sec发现,Pear的Mail模块存在安全漏洞,某些情况下将导致用户以webserver权限在主机上读写操作系统任意文件,继而控制主机执行php代码等。
漏洞分析:PEAR的Mail包错误地使用escapeShellCmd来过滤传入到sendmail命令的用户参数,用户提交精心构造的参数即可调用sendmail的其他参数,即可在操作系统上读写任意文件。
Sendmail.php
可以看到 $from 变量的过滤并不完全,由于escapeShellCmd会将等字符替换为空,即可绕过对空格的检查,而escapeshellcmd本身并不检查对于参数的调用,所以导致安全漏洞的发生。
......
if (!isset($from)) {
return PEAR::raiseError("No from address given.");
} elseif (strpos($from, " ") !== false ||
strpos($from, ";") !== false ||
strpos($from, "&") !== false ||
strpos($from, "`") !== false) {
return PEAR::raiseError("From address specified with dangerous characters.");
}
$from = escapeShellCmd($from);
$mail = @popen($this->sendmail_path . (!empty($this->sendmail_args) ? " " . $this->sendmail_args : "") . " -f$from -- $recipients", "w");
if (!$mail) {
return PEAR::raiseError("Failed to open sendmail [" . $this->sendmail_path . "] for execution.");
}
......
漏洞测试:
ini_set("include_path",ini_get("include_path").":/usr/local/lib/php/PEAR:");
require_once("Mail.php");
$from = "From: " . $_REQUEST["email"] . " ";
$to = "xxxxxxx@zzzz.com";
$subj = "subscription request";
$body = "subscribe me";
$hdrs = array(
"To" => $to,
"Cc" => $cc,
"Bcc" => $bcc,
"From" => $from,
"Subject" => $subject,
);
$body="test";
$mail =& Mail::factory("sendmail");
$mail->send($to, $hdrs, $body);
?>
即可看到此漏洞的利用。
漏洞影响:所有PEAR的Mail函数包
漏洞状态:通知官方
评论加载中...
|
Copyright@ 2011-2017 版权所有:大连仟亿科技有限公司 辽ICP备11013762-1号 google网站地图 百度网站地图 网站地图
公司地址:大连市沙河口区中山路692号辰熙星海国际2215 客服电话:0411-39943997 QQ:2088827823 42286563
法律声明:未经许可,任何模仿本站模板、转载本站内容等行为者,本站保留追究其法律责任的权利! 隐私权政策声明