漏洞标题 CodeIgniter框架内核设计缺陷可导致任意代码执行 相关制造商 CodeIgniter框架 漏洞作者 Phith0n 提交时间 2016-03-11 02: 00 公共时间 2016-06-13 17: 20 漏洞类型 文件包含 危险等级 高 自我评估等级 15 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 Php源码评论，白盒测试 漏洞详细信息 当CI加载模板时，它将调用$ this-＆gt; load-＆gt; view（'template_name'，$ data）; 在内核中，查看视图函数源代码： /system/core/Loader.php 公共函数视图（$ view，$ vars=array（），$ return=FALSE） { 返回$ this-＆gt; _ci_load（array（'_ ci_view'=> $ view，'_ ci_vars'=> $ this-＆gt; _ci_object_to_array（$ vars），'_ ci_return'=＆gt; $ return））; } . 受保护的函数_ci_load（$ _ ci_data） { //设置默认数据变量 Foreach（数组（'_ ci_view'，'_ ci_vars'，'_ ci_c'，'_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ { $$ _ ci_val=isset（$ _ ci_data [$ _ ci_val]）？ $ _ci_data [$ _ ci_val]: FALSE; } $ file_exists=FALSE; //设置所请求文件的路径 if（is_string（$ _ ci_path）＆amp;＆amp; $ _ci_path！==''） { $ _ci_x=explode（'/'，$ _ci_path）; $ _ci_file=end（$ _ ci_x）; } 其他 { $ _ci_ext=pathinfo（$ _ ci_view，PATHINFO_EXTENSION）; $ _ci_file=（$ _ci_ext===''）？ $ _ci_view。'。php': $ _ci_view; Foreach（$ this-＆gt; _ci_view_paths as $ _ci_view_file=> $ cascade） { if（file_exists（$ _ ci_view_file。$ _ ci_file）） { $ _ci_path=$ _ci_view_file。$ _ ci_file; $ file_exists=TRUE; 打破; } 如果（！$ cascade） { 打破; } } } 如果（！$ file_exists＆amp;＆amp;！file_exists（$ _ ci_path）） { Show_error（'无法加载请求的文件:'。$ _ ci_file）; } //这允许使用$ this-＆gt;加载（视图，文件等）加载的任何内容 //可以从Controller和Model函数中访问。 $ _ci_CI=＆amp; get_instance（）; Foreach（get_object_vars（$ _ ci_CI）as $ _ci_key=> $ _ci_var） { 如果（！isset（$ this-＆gt; $ _ ci_key）） { $ this-＆gt; $ _ ci_key=＆amp; $ _ci_CI-＆GT; $ _ ci_key; } } /* *提取和缓存变量 * *您可以使用专用的$ this-＆gt; load-＆gt; vars（）设置变量 *功能或通过此功能的第二个参数。我们会合并 *这两种类型并缓存它们以便嵌入其中的视图 *其他视图可以访问这些变量。 * / 如果（is_array（$ _ ci_vars）） { $ this-＆gt; _ci_cached_vars=array_merge（$ this-＆gt; _ci_cached_vars，$ _ci_vars）; } 提取物（$这 - ＆GT; _ci_cached_vars）; /* *缓冲输出 * *我们缓冲输出有两个原因: * 1.速度。你获得了显着的速度提升。 * 2.这样最终渲染的模板可以进行后处理 *输出类。为什么我们需要后期处理？一方面， *以显示已用完的页面加载时间。 *在发送到浏览器之前拦截内容 *然后停止计时器它将不准确。 * / Ob_start（）; //如果PHP安装不支持短标签，我们会 //做一个小字符串替换，更改短标签 //到标准的PHP echo语句。 如果（！is_php（'5.4'）＆amp;＆amp;！ini_get（'short_open_tag'）＆amp;＆amp; config_item（'rewrite_short_tags'）===TRUE） { Echo eval（'？＆gt;'。preg_replace（'/; * \ s * \？＆gt; /'，';＆gt;'，str_replace（'＆lt;='，'＆lt;php echo'，file_get_contents （$ _ci_path））））; } 其他 { 包括：（$ _ ci_path）; //include（）vs include_once（）允许多个具有相同名称的视图 } Log_message（'info'，'File loaded:'。$ _ ci_path）; //如果请求，则返回文件数据 如果（$ _ci_return===TRUE） { $ buffer=ob_get_contents（）; [@ob_end_clean]（/ob_end_clean）（）; 返回$ buffer; } /* *冲洗缓冲液..或者冲洗冲洗器？ * *为了允许嵌套视图 *其他观点，我们需要在任何时候将内容刷新 *我们超出了输出缓冲的第一级别 *首先包含它可以正确看到和包含 *模板和任何后续的模板。 Oy公司！ * / 如果（ob_get_level（）＆gt; $ this-＆gt; _ci_ob_level + 1） { ob_end_flush（）函数; } 其他 { $ _ci_CI-＆GT;输出 - ＆GT; append_output（ob_get_contents（））; [@ob_end_clean]（/ob_end_clean）（）; } 返回$ this; } 看看这一段： 如果（is_array（$ _ ci_vars）） { $ this-＆gt; _ci_cached_vars=array_merge（$ this-＆gt; _ci_cached_vars，$ _ci_vars）; } 提取物（$这 - ＆GT; _ci_cached_vars）; 此提取将导致变量覆盖漏洞。 $ this-＆gt; _ci_cached_vars来自$ _ci_vars，$ _ci_vars是传递给view方法的用户的第二个参数。 （通常是开发人员传递给模板的变量） 我们看到背后的摘录： 提取物（$这 - ＆GT; _ci_cached_vars）; Ob_start（）; //如果PHP安装不支持短标签，我们会 //做一个小字符串替换，更改短标签 //到标准的PHP echo语句。 如果（！is_php（'5.4'）＆amp;＆amp;！ini_get（'short_open_tag'）＆amp;＆amp; config_item（'rewrite_short_tags'）===TRUE） { Echo eval（'？＆gt;'。preg_replace（'/; * \ s * \？＆gt; /'，';＆gt;'，str_replace（'＆lt;='，'＆lt;php echo'，file_get_contents （$ _ci_path））））; } 其他 { 包括：（$ _ ci_path）; //include（）vs include_once（）允许多个具有相同名称的视图 } 包含（$ _ ci_path），$ _ci_path是模板地址，因为先前的变量覆盖会导致任何文件包含漏洞，然后是gethell。 因此，只要我们可以控制视图的第二个参数的“键值”，就传递_ci_path=文件: ///etc/passwd并在提取后覆盖原始模板地址，其中包含/etc/passwd。 此漏洞类似于http://**。**。**。**/bugs/wooyun-2014-051906，称为assign（在CI中称为$ this-＆gt; load-＆gt; vars或$ this-＆gt; ）加载 - >视图）是由传入数组引起的。 漏洞证明： 以下Controller将导致漏洞： ＆LT; PHP 定义（'BASEPATH'）或退出（'不允许直接访问脚本'）; 欢迎类扩展CI_Controller { 公共职能指数（） { $ data=$ this-＆gt; input-＆gt; post（）; $ this-＆gt; load-＆gt; view（'welcome_message'，$ data）; } } 这也类似： 公共职能指数（） { $ data=$ this-＆gt; input-＆gt; post（'info'）; $这 - ＆GT;负载＆GT;瓦尔（$数据）; $这 - ＆GT;负载＆gt;查看（ 'WELCOME_MESSAGE'）; } 当包含远程文件时，您还可以直接包含php: //输入 修理计划： 用。替换提取物 Foreach（$ this-＆gt; _ci_cached_vars as $ key=＆gt; $ value）{ if（strpos（$ key，'_ ci））！==0）{ $$ key=$ value; } } 版权声明：请注明出处phith0n @乌云