当前位置: 开发笔记 > 编程语言 > 正文

vue移动端上传文件插件_wordpress插件wpdiscuz任意文件上传漏洞分析

作者：菜大虾 | 来源：互联网 | 2023-09-14 01:19

下载链接https:downloads.wordpress.orgpluginwpdiscuz.7.0.3.zip测试环境•windowsphpstudy•phpstorm解压插件

下载链接

https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip

测试

环境

•windows phpstudy•phpstorm

解压插件到wp-content/plugins目录下

登录管理员启用插件&＃xff0c;这时文章下面评论区

image.png

上传带GIF头的php文件

image.png

可以看到上传成功&＃xff0c;图片地址也在回显中

http://127.0.0.1/wordpress/wp-content/uploads/2020/08/1-1598075857.9448.php

image.png

分析

wp-setting.php 将wp_ajax_nopriv_wmuUploadFiles写入了$wp_filter

foreach ( wp_get_active_and_valid_plugins() as $plugin ) { wp_register_plugin_realpath( $plugin ); include_once $plugin; /** * Fires once a single activated plugin has loaded. * * &＃64;since 5.1.0 * * &＃64;param string $plugin Full path to the plugin&＃39;s main file. */ do_action( &＃39;plugin_loaded&＃39;, $plugin );}

通过表单action参数插件加载

image.png

$action &＃61; ( isset( $_REQUEST[&＃39;action&＃39;] ) ) ? $_REQUEST[&＃39;action&＃39;] : &＃39;&＃39;;

wordpress先加载插件

image.png

入口文件

image.png

上传的关键代码在wp-content\plugins\wpdiscuz\utils\class.WpdiscuzHelperUpload.php376行

public function uploadFiles() {……require_once(ABSPATH . "wp-admin/includes/image.php");foreach ($files as $file) {$error &＃61; false;$extension &＃61; pathinfo($file["name"], PATHINFO_EXTENSION); //$extension&＃61;"php"$mimeType &＃61; $this->getMimeType($file, $extension);

检测文件mime类型

private function getMimeType($file, $extension) { $mimeType &＃61; ""; if (function_exists("mime_content_type")) { $mimeType &＃61; mime_content_type($file["tmp_name"]); //image/gif } elseif (function_exists("finfo_open") && function_exists("finfo_file")) { $finfo &＃61; finfo_open(FILEINFO_MIME_TYPE); $mimeType &＃61; finfo_file($finfo, $file["tmp_name"]); } elseif ($extension) { $matches &＃61; wp_check_filetype($file["name"], $this->options->content["wmuMimeTypes"]); $mimeType &＃61; empty($matches["type"]) ? "" : $matches["type"]; } return $mimeType;}

继续跟进

……if ($this->isAllowedFileType($mimeType)) { if (empty($extension)) { //$extension&＃61;"php" 没进入 …… } $file["type"] &＃61; $mimeType;} else { ……}do_action("wpdiscuz_mu_preupload", $file); //没什么用if (!$error) { $attachmentData &＃61; $this->uploadSingleFile($file);

isAllowedFileType

private function isAllowedFileType($mimeType) { $isAllowed &＃61; false; if (!empty($this->options->content["wmuMimeTypes"]) && is_array($this->options->content["wmuMimeTypes"])) { $isAllowed &＃61; in_array($mimeType, $this->options->content["wmuMimeTypes"]); } return $isAllowed;}

$this->options->content["wmuMimeTypes"] 内容

image.png

在数组内

$isAllowed&＃61;true

上传操作在

340行 $attachmentData &＃61; $this->uploadSingleFile($file);

uploadSingleFile

private function uploadSingleFile($file) {$currentTime &＃61; WpdiscuzHelper::getMicrotime();$attachmentData &＃61; [];$path &＃61; $this->wpUploadsPath . "/";$fName &＃61; $file["name"];$pathInfo &＃61; pathinfo($fName);$realFileName &＃61; $pathInfo["filename"];$ext &＃61; empty($pathInfo["extension"]) ? "" : strtolower($pathInfo["extension"]);$sanitizedName &＃61; sanitize_file_name($realFileName); $cleanFileName &＃61; $sanitizedName . "-" . $currentTime . "." . $ext;$cleanRealFileName &＃61; $sanitizedName . "." . $ext;$fileName &＃61; $path . $cleanFileName;if (in_array($ext, ["jpeg", "jpg"])) {$this->imageFixOrientation($file["tmp_name"]);}$success &＃61; apply_filters("wpdiscuz_mu_compress_image", false, $file["tmp_name"], $fileName, $q &＃61; 60);if ($success || &＃64;move_uploaded_file($file["tmp_name"], $fileName)) {

到这里已经把文件上传了上传文件名为原文件名&＃43;时间戳&＃43;后缀

v7.0.5的改进

isAllowedFileType 对mime的后缀和文件后缀进行比较

private function isAllowedFileType($mimeType, $extension) { $isAllowed &＃61; false; if (!empty($this->mimeTypes) && is_array($this->mimeTypes)) { foreach ($this->mimeTypes as $ext &＃61;> $mimes) { if ($ext &＃61;&＃61;&＃61; $extension) { if ($isAllowed &＃61; in_array($mimeType, explode("|", $mimes))) { break; } } } } return $isAllowed;}总结

整个上传过程只对文件头进行检测&＃xff0c;并没有对文件后缀进行检测&＃xff0c;导致可以设置一句话木马内容为

图片文件头&＃43;php代码

&＃xff0c;进行getshell

推荐阅读

plugins
PHP WEB项目文件夹上传下载解决方案

PHP用超级全局变量数组$_FILES来记录文件上传相关信息的。1.file_uploadsonoff是否允许通过http方式上传文件2.max_execution_time3 ... [详细]

蜡笔小新 2023-10-16 18:28:28
function
基于layUI的图片上传前预览功能的2种实现方式

本文介绍了基于layUI的图片上传前预览功能的两种实现方式：一种是使用blob+FileReader，另一种是使用layUI自带的参数。通过选择文件后点击文件名，在页面中间弹窗内预览图片。其中，layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块，并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]

蜡笔小新 2023-12-14 17:06:58
function
Vue项目中结合Element UI解决连续上传多张图片及图片编辑问题

本文介绍了在Vue项目中如何结合Element UI解决连续上传多张图片及图片编辑的问题。作者强调了在编码前要明确需求和所需要的结果，并详细描述了自己的代码实现过程。 ... [详细]

蜡笔小新 2023-12-13 13:42:30
function
关于ueditor富文本编辑器出现目录创建失败解决方案

在tp5项目中引入ueditor编辑器并实例化后插入图片出现目录创建失败问题在查看网络上各种解决方案之后总结如下：根据官网提示主要是因为图片保存的路径无权限导致，官方文档链接:ht ... [详细]

蜡笔小新 2023-10-17 20:15:53
scala
浅解XXE与Portswigger Web Sec

XXE与PortswiggerWebSec相关链接：博客园安全脉搏FreeBufXML的全称为XML外部实体注入，在学习的过程中发现有回显的XXE并不多，而 ... [详细]

蜡笔小新 2023-10-17 16:52:48
request
校园表白墙微信小程序，校园小情书、告白墙、论坛，大学表白墙搭建教程

小程序的名字必须和你微信注册的名称一模一样在后台注册好小程序。mp.wx-union.cn后台域名https。mp.wx-union.cn ... [详细]

蜡笔小新 2023-10-17 13:53:34
function
渗透测试基础bypass绕过阻挡我们的WAF（下）

渗透测试基础-bypass ... [详细]

蜡笔小新 2023-10-17 13:05:59
function
Java大文件HTTP断点续传到服务器该怎么做？

最近由于笔者所在的研发集团产品需要，需要支持高性能的大文件http上传，并且要求支持http断点续传。这里在简要归纳一下，方便记忆 ... [详细]

蜡笔小新 2023-10-17 11:10:27
function
Vue项目优化上线

1.移除consol.log()的babel插件安装：npmibabel-plugin-transform-remove-console-D配置：babel.config.js：这 ... [详细]

蜡笔小新 2023-10-17 07:57:34
function
wordpress 一键搭建属于自己的网站

搭建网站很难，wordpr ... [详细]

蜡笔小新 2023-10-16 12:33:03
function
无法打开install.wim怎么办

运维|windows运维install.wim运维-windows运维空间留言网站源码,vscode标准代码,adamsubuntu,tomcat连接共享,sqlite软件基本操作 ... [详细]

蜡笔小新 2023-10-17 10:03:43
function
Wordpress：仅显示未来的帖子减去一天 - Wordpress: Only show future posts minus one day

SoIhavealoopthatrunsperfectforeventsandonlyshowsfutureposts.TheissueisthatIwould ... [详细]

蜡笔小新 2023-10-17 09:11:29
char
PHP操作MySql数据库_PHP教程

PHP操作MySql数据库_PHP教程:链接数据库$conn@mysql_connect(localhost,root,88888888)ordie(链接错误);解决中文乱码mys ... [详细]

蜡笔小新 2023-10-17 04:43:28
function
php 嵌套函数闭包嵌套函数 + 递归调用的 Fatal错误分析

嵌套函数定义时先判断function_exists防止递归调用外部函数导致两次定义内部函数导致致命错误看一下PHP手册中是如何说的： ... [详细]

蜡笔小新 2023-10-16 15:34:50
function
php实现文件下载代码一例，

php教程|php手册php,实现,文件下载,代码,一例,php,实现,文件下载,代码,一例,我们,需要,用到,header,函数,来,发送,php教程-php手册php实现文件下 ... [详细]

蜡笔小新 2023-10-16 15:20:00

菜大虾

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章