うｐろだ管理してる狼住人いたら大至急こい

【速報】俺氏複数アップローダースクリプトの脆弱性発見　任意の拡張子のファイルがアップロード可能
http://maguro.2ch.net/test/read.cgi/poverty/1394376340/
1 名前：番組の途中ですがアフィサイトへの転載は禁止です[] 投稿日：2014/03/09(日) 23:45:40.11 ID:GgkYfs4Y0● ?2BP(11919)
なおHello-UPを利用している嫌儲ろだ（新）は先ほど対策完了した模様
既に更新を終了？しているスクリプトもあるので方法と対策方法をここに書く、どうせ対策方法だけ書いてもバレるし

今のところ影響を受けると思うのは次のスクリプト：
Hello-UP http://idol.nm.land.to/
PHPぁぷろだ（TOGASHI）改ver2※
金糸雀式JLABscript
（いずれも http://livech.sakura.ne.jp/jlab/souko/jlab.html で公開）
※他にも TOGASHI(実況) というバージョンがあり、それも影響を受けるかもしれないがソースが公開されていないので不明
他にもあるかも？

方法
これらスクリプトはGETやPOSTで送られてきたクエリをそのまま展開してしまう
> extract($_GET);
> extract($_POST);
> extract($_COOKIE);
> extract($_SERVER);
↓
さらに上で挙げたスクリプトは、設定ファイルを読み込んだ後にクエリを展開しているため、変数名に合ったクエリを指定すれば設定の上書きが可能となってしまう
↓
PHPはクエリ名に[]を付けるだけで勝手に配列として認識される→拡張子設定の上書きも可能

対策方法
クエリを展開した後に設定ファイルを読み込ませる
行数が足りないのでアップローダースクリプトを提示してくれれば詳しく解説します

なんか怖いからロダやってないけど
extractって危険だな
ためになった+1

なんかわからんけど上げとくのに協力しよう

ハローアップてうちらのとこのじゃん

phpてクソだな

入力データをextractに食わせるとか阿呆すぎる

PHPがクソなんじゃなくてプログラマがクソ
同じ事はどんな言語でも出来る

PHPが糞なのは事実だ
この件に関しては使い方がいけないけど

MS系の言語はクソだけどPHPは別にクソじゃないだろ
Cライクな文法だしPHP否定はその系統の否定にもなる
危険な言語というのならC言語で適当に書くのが一番危ないわけだし

わけわかめだけどage

スタックとローカル変数を同一のスタックポインタで管理してる仕組みが悪いな
これって何とかならないのかな

XSSとかよくわからんしPHPこわいお

>>11
は？

PHPよくしらないがEXTR_SKIPじゃダメなのか？

Cライクな文法が古臭い
配列のサイズがcount( $array )とか古臭い
グローバル変数を使いにくくしてるかと思えばmagic_quotes_gpcなんてものがあったり
レンタルサーバだと古いバージョンだったりするから便利になるんだったら早くどんどん進化しろよ

任意の拡張子のファイルがアップロードできたら何が問題なの？
イミフすぎる

そうだね
どうせ拡張子では無関係なデータ置き場として使われることを防ぎきれないし

任意の拡張子のファイルがアップロードできる

動かしたい任意のコードを書いた hogehoge.php というファイルをアップロード

アップロードした hogehoge.php を呼び出すことで任意のコードを実行できる

かなり致命的

ちなみにハロガ（改）の最終版をさらっとチェックしたけど

extract した後で conf 読み
extract は EXTR_SKIP付き

ということで、今回の件に関しては問題ない模様

でももし自分で作るのなら extract は怖くて使わんだろうなぁ

>>18
普通のうｐろだはphpではアップロードできないの？

何やらがんばって

◆更新履歴
2014/03/10 v2.7a configの読み込み位置の修正

これじゃ意味わからんだろ
最低でも「任意の拡張子のファイルをアップロードできる脆弱性を修正」くらい書けよ

あともーこーは Windows + IIS だから exe ファイルアップロードされて即死じゃないの？
よく知らんけど IIS って SYSTEMアカウントじゃなかった？

そんなんで即死しねえよ

extractのマニュアルにも明記してある禁忌事項

http://www.php.net/manual/ja/function.extract.php
警告
extract() をユーザー入力 ($_GET や $_FILES など) のような信頼できないデータについて使用しないでください。

phpでアップロードされたらどうなるの？
アップロードされた瞬間にそのろだが死ぬの？
それともろだは生きたままだけどダウンロードしようとした人のPCが死ぬの？

>>25
既にサーバ丸ごと乗っ取られて問題になってるのを知らないのか？

まずバックドアしかけられていつでも鯖が遠隔操作できるように出来る
あとロダを開いた奴に任意の埋め込みコードを実行させることが出来る

>>26>>27
まじかよ
そう書かないとわからんて
任意の拡張子でアップロードできるっていわれてもさ
大多数の人は「うｐ主がZIPやMP3を選べるのか　便利だな」
「他のろだは選べないのかよｗ不便すぎｗ」って思うんじゃね

そもそも論として実行可能ファイルあげられたとしてもそれ実行可能なようにクリックできる方がおかしい
ストリームでデータだけ送れよ

ファイルへのURL直でなく
単純なつくりでスクリプトがデータを送るようにするとブラウザのキャッシュが効かなくなるから
最近見たやつでも毎回ダウンロードするからなあ
それにダウンロードして保存しようとするとファイル名がスクリプトの名前になるとか起きなかったっけ

もしYouTubeとかでこういうのが起きたら世界中のPCクラッシュできるのかな？
例えばグーグルが世界中のWindowsPCを減らしてAndroidタブレットに以降させようと思ったら
こっそり脆弱性を作っとくだけでハッカーが実行してくれるんじゃ

いやPCがクラッシュするんじゃない

ロダを開いた奴に任意の埋め込みコードを実行させることが出来る

ってことはPCがクラッシュしてしまうような無茶なコードも可能なんじゃないの？

あ