php substr_replace替換指定位置字符與內存破壞漏洞.

提示和注釋

注釋:如果 start 是負數且 length 小于等于 start,則 length 為 0.

$username = "zongzi"; echo substr_replace($username,'**','1','2');

定義和用法:substr_replace() 函數把字符串的一部分替換為另一個字符串.

語法:substr_replace(string,replacement,start,length)

參數 描述

string 必需,規定要檢查的字符串.

replacement 必需,規定要插入的字符串.

start 必需,規定在字符串的何處開始替換.

正數 - 在第 start 個偏移量開始替換

負數 - 在從字符串結尾的第 start 個偏移量開始替換

0 - 在字符串中的第一個字符處開始替換

charlist 可選,規定要替換多少個字符.

正數 - 被替換的字符串長度

負數 - 從字符串末端開始的被替換字符數

0 - 插入而非替換

功能同 php的substr_replace()

參數:被替換的內容,替換內容,起始位,替換長度,實例代碼如下:

1. function substr_replace(sourcecon,repcon,startx,lenx) 
2.    dim reped 
3.    reped = mid(sourcecon,startx,lenx) '取出原內容同樣長度 
4.    dim scleftx,scleft//開源軟件:Vevb.com 
5.    scleftx = startx-1 
6.    if scleftx<1 then 
7.     scleft = "" 
8.    else 
9.     scleft = left(sourcecon,scleftx) 
10.    end if 
11.    substr_replace = replace(sourcecon,reped,repcon,startx,1) 
12.    substr_replace = scleft&substr_replace 
13. end function 

()中斷內存破壞漏洞

bugraq id:

cve id:cve-2010-2190

cncve id:cncve-20102190

漏洞發布時間:2010-05-31

漏洞更新時間:2010-06-28

漏洞起因,設計錯誤.危險等級,低

影響系統:php 5.2 <= 5.2.13,php 5.3 <= 5.3.2

不受影響系統,危害,遠程攻擊者可以利用漏洞泄漏敏感信息.

攻擊所需條件,攻擊者必須訪問使用substr_replace()函數的應用程序.

漏洞信息,php是一款流行的網絡編程語言,php的substr_replace()函數存在信息泄漏問題:

1. php_function(substr_replace) 
2. { 
3.     ... 
4.     if (zend_parse_parameters(zend_num_args() tsrmls_cc, "zzz|z", &str, &repl, &from, &len) == failure) { 
5.         return; 
6.     } 
7.      
8.     if (z_type_pp(str) != is_array) { 
9.         convert_to_string_ex(str); 
10.     } 
11.     if (z_type_pp(repl) != is_array) { 
12.         convert_to_string_ex(repl); 
13.     } 
14.     if (z_type_pp(from) != is_array) { 
15.         convert_to_long_ex(from); 
16.     } 
17.     if (argc > 3) { 
18.         separate_zval(len); 
19.         if (z_type_pp(len) != is_array) { 
20.             convert_to_long_ex(len); 
21.             l = z_lval_pp(len); 
22.         } 
23.     } else { 
24.         if (z_type_pp(str) != is_array) { 
25.             l = z_strlen_pp(str); 
26.         } 
27.     } 
28.     if (z_type_pp(str) == is_string) { 
29.         if ( 
30.             (argc == 3 && z_type_pp(from) == is_array) ||  
31.             (argc == 4 && z_type_pp(from) != z_type_pp(len)) 
32.         ) { 
33.             php_error_docref(null tsrmls_cc, e_warning, "'from' and 'len' should be of same type - numerical or array "); 
34.             return_stringl(z_strval_pp(str), z_strlen_pp(str), 1);       
35.         } 

使用不同類型的‘from’和'len'參數調用substr_replace()函數,會觸發e_warning錯誤,如果php沒有刪除調用時通過引用傳遞功能,用戶空間錯誤處理器會使用這個中斷更改'str'參數類型,如果'str'類型更改為整數類型可導致泄漏任意內存,如果'str'更改為數組,允許泄漏使用重要內存偏移的哈希表.