首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

某CMS20180827版前端存在GETShell漏洞分析

作者:Q小泓别_431 | 来源:互联网 | 2024-11-06 11:57
2018年9月21日,Destoon官方发布了安全更新,修复了一个由用户“索马里的海贼”报告的前端GETShell漏洞。该漏洞存在于20180827版本的某CMS中,攻击者可以通过构造特定的HTTP请求,利用该漏洞在服务器上执行任意代码,从而获得对系统的控制权。此次更新建议所有用户尽快升级至最新版本,以确保系统的安全性。

前言

2018年9月21日,Destoon官方发布安全更新,修复了由用户“索马里的海贼”反馈的一个漏洞。

某CMS 20180827版本 前台getshell

漏洞分析

根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包,部分内容如下:

某CMS 20180827版本 前台getshell

对应着avatar.inc.php代码如下:

adduserid = false;

        if($upload->save()) {
            ...
        } else {
            ...
        }
    break;

这里通过 $_FILES['file'] 依次获取了上传文件扩展名 $ext 、保存临时文件名 $name 、保存临时文件完整路径 $file 变量。之后通过 new upload(); 创立一个upload对象,等到 $upload->save() 时再将文件真正写入。

upload 对象构造函数如下,include/upload.class.php:25: 

file = $file['tmp_name'];
            $this->file_name = $file['name'];
            $this->file_size = $file['size'];
            $this->file_type = $file['type'];
            $this->file_error = $file['error'];

        }
        $this->userid = $_userid;
        $this->ext = file_ext($this->file_name);
        $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];
        $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;
        $this->savepath = $savepath;
        $this->savename = $savename;
    }
}

这里通过 foreach($_file as $file) 来遍历初始化各项参数。而 savepathsavename 则是通过 __construct($_file, $savepath, $savename = '', $fileformat = '') 直接传入参数指定。

因此考虑上传了两个文件,第一个文件名是 1.php ,第二个文件是 1.jpg ,只要构造合理的表单上传(参考: https://www.cnblogs.com/DeanChopper/p/4673577.html),则在avatar.inc.php中 

$ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` 
$name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'
$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php

而在 upload 类中,由于多个文件上传, $this->file$this->file_name$this->file_type 将foreach在第二次循环中被置为jpg文件。测试如下:

某CMS 20180827版本 前台getshell

回到 avatar.inc.php ,当进行文件保存时调用 $upload->save() ,include/upload.class.php:50: 

file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');

        if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)');

        if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);

        $this->set_savepath($this->savepath);
        $this->set_savename($this->savename);

        if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);
        if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);
        if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']);

        $this->image = $this->is_image();
        if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);
        return true;
    }
}

先经过几个基本参数的检查,然后调用 $this->is_allow() 来进行安全检查 include/upload.class.php:72: 

fileformat) return false;
        if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;
        if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false;
        return true;
    }

可以看到这里仅仅对 $this->ext 进行了检查,如前此时 $this->extjpg ,检查通过。

接着会进行真正的保存。通过 $this->set_savepath($this->savepath); $this->set_savename($this->savename); 设置了 $this->saveto ,然后通过 move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)file 保存到 $this->saveto ,注意此时的 savepathsavenamesaveto 均以 php 为后缀,而 $this->file 实际指的是第二个jpg文件。

漏洞利用

综上,上传两个文件,其中第一个文件以php为结尾如 1.php ,用于设置后缀名为 php ;第二个文件为 1.jpg ,jpg用于绕过检测,其内容为php一句话木马(图片马)。

某CMS 20180827版本 前台getshell

然后访问 http://127.0.0.1/file/temp/avatar1.php 即可。其中 1 是自己的 _userid

不过实际利用上会有一定的限制。

第一点是destoon使用了伪静态规则,限制了file目录下php文件的执行。

某CMS 20180827版本 前台getshell

第二点是avatar.inc.php中在 $upload->save() 后,会再次对文件进行检查,然后重命名为 xx.jpg

省略...
$img = array();
$img[1] = $dir.'.jpg';
$img[2] = $dir.'x48.jpg';
$img[3] = $dir.'x20.jpg';
$md5 = md5($_username);
$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;
$img[4] = $dir.'.jpg';
$img[5] = $dir.'x48.jpg';
$img[6] = $dir.'x20.jpg';
file_copy($file, $img[1]);
file_copy($file, $img[4]);
省略...

因此要利用成功就需要条件竞争了。

补丁分析

某CMS 20180827版本 前台getshell

在upload的一开始,就进行一次后缀名的检查。其中is_image如下:

function is_image($file) {
    return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));
}

某CMS 20180827版本 前台getshell

__construct() 的foreach中使用了break,获取了第一个文件后就跳出循环。

is_allow() 中增加对 $this->savename 的二次检查。

最后

嘛,祝各位大师傅中秋快乐!


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 我们


推荐阅读
  • post

    yikesnews第11期:微软Office两个0day和一个提权0day

    yikesnews第11期:微软Office两个0day和一个提权0day
    点击阅读原文可点击链接根据法国大选被黑客干扰,发送了带漏洞的文档Trumps_Attack_on_Syria_English.docx而此漏洞与ESET&FireEy ... [详细]
  • post

    构建个人博客站点:基于LAMP环境的WordPress部署指南

    本文详细介绍如何利用已搭建的LAMP(Linux、Apache、MySQL、PHP)环境,快速创建一个基于WordPress的内容管理系统(CMS)。WordPress是一款流行的开源博客平台,适用于个人或小型团队使用。 ... [详细]
  • post

    PostgreSQL中的模式管理

    本文由瀚高PG实验室撰写,详细介绍了如何在PostgreSQL中创建、管理和删除模式。文章涵盖了创建模式的基本命令、public模式的特性、权限设置以及通过角色对象简化操作的方法。 ... [详细]
  • post

    微信小程序:授权登录与手机号绑定

    微信小程序:授权登录与手机号绑定
    本文详细介绍了微信小程序中用户授权登录及绑定手机号的流程,结合官方指引和实际开发经验,提供了一套完整的实现方案,帮助开发者更好地理解和应用。 ... [详细]
  • post

    PHP 编程疑难解析与知识点汇总

    PHP 编程疑难解析与知识点汇总
    本文详细解答了 PHP 编程中的常见问题,并提供了丰富的代码示例和解决方案,帮助开发者更好地理解和应用 PHP 知识。 ... [详细]
  • post

    PHP检测AJAX请求的有效方法

    本文详细介绍了如何使用PHP检测AJAX请求,通过分析预定义服务器变量来判断请求是否来自XMLHttpRequest。此方法简单实用,适用于各种Web开发场景。 ... [详细]
  • post

    新浪笔试题

    1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • io

    深入理解Python的os和sys模块

    本文详细解析了Python中的os和sys模块,介绍了它们的功能、常用方法及其在实际编程中的应用。 ... [详细]
  • post

    深入理解Android中的ADB Shell Input命令:模拟滑动、按键和点击事件

    在维护公司项目时,发现按下手机的某个物理按键后会激活相应的服务,并在屏幕上模拟点击特定坐标点。本文详细介绍了如何使用ADB Shell Input命令来模拟各种输入事件,包括滑动、按键和点击等。 ... [详细]
  • post

    如何在 Angular 6 HttpClient 中获取响应头

    本文介绍如何使用 Angular 6 的 HttpClient 模块来获取 HTTP 响应头,包括代码示例和常见问题的解决方案。 ... [详细]
  • post

    Python + Pytest 接口自动化测试中 Token 关联登录的实现方法

    Python + Pytest 接口自动化测试中 Token 关联登录的实现方法
    本文将深入探讨 Python 和 Pytest 在接口自动化测试中如何实现 Token 关联登录,内容详尽、逻辑清晰,旨在帮助读者掌握这一关键技能。 ... [详细]
  • post

    深入解析Android自定义View面试题

    深入解析Android自定义View面试题
    本文探讨了Android Launcher开发中自定义View的重要性,并通过一道经典的面试题,帮助开发者更好地理解自定义View的实现细节。文章不仅涵盖了基础知识,还提供了实际操作建议。 ... [详细]
  • filter

    深入理解org.neo4j.helpers.collection.Iterators.single()方法及其应用

    本文详细介绍了Java中org.neo4j.helpers.collection.Iterators.single()方法的功能、使用场景及代码示例,帮助开发者更好地理解和应用该方法。 ... [详细]
  • case

    使用Objective-C和dispatch库实现并发素数计算

    本文介绍如何使用Objective-C结合dispatch库进行并发编程,以提高素数计数任务的效率。通过对比纯C代码与引入并发机制后的代码,展示dispatch库的强大功能。 ... [详细]
  • post

    网络运维工程师的前景与薪酬分析

    网络运维工程师负责确保企业IT基础设施的稳定运行,保障业务连续性和数据安全。他们需要具备多种技能,包括搭建和维护网络环境、监控系统性能、处理突发事件等。本文将探讨网络运维工程师的职业前景及其平均薪酬水平。 ... [详细]
author-avatar
Q小泓别_431
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有