Destoon cms前台getwebshell

admin

% V6 m7 B D! G2 ^: u

/ S( {, j. u( _# n1 T; G7 |

前言 ) O2 a. o; K+ E) v: p4 S

; g8 S& Z) T. S5 t

2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 ( T! d9 M2 U9 J/ e

  1 f3 L6 X3 }8 a! K! u

z1 {) u3 I4 |1 C9 ? 漏洞分析 - S6 ~* l- v* X5 _8 C) Q2 t

根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下： ) h6 w* {" Z. j8 L3 k0 x

" g/ |% t2 t. y3 M( x$ e H   8 V1 J+ ^0 Q0 Z! t+ X" F* L" E

5 g8 w8 J& q7 J* l2 l 对应着avatar.inc.php代码如下： ! R* K( A2 |, F& [+ u; J' J$ r% B

. m9 [) ?/ u5 @" L- u' ] <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { 0 | b3 ?% ^7 U1 E S5 x( Y# Z* v

$ e. \( [: F, S9 ]" Z

    case 'upload':

        if(!$_FILES['file']['size']) {

" |- P: U3 R% v% f9 D; o* Z

- ]! C( R" @3 n3 y$ V             if($DT_PC) dheader('?action=html&reload='.$DT_TIME); ( M6 }( T! ~- f

; k8 K4 P' V; w' Y- e* B2 Y& g8 n

            exit('{"error":1,"message":"Error FILE"}');

; p2 m( V5 D3 \         }

1 g9 C9 y6 `, q5 S% D, P8 z6 [

        require DT_ROOT.'/include/upload.class.php';

$ [ c( R# Q5 g, Q% I# o

; G5 G d' k" ?7 N6 j' l   7 E: a" Z1 h2 u7 t

2 t; Y( P' {. I5 A         $ext = file_ext($_FILES['file']['name']);

+ w' S/ u8 L9 V7 A$ C3 n3 Y( e

        $name = 'avatar'.$_userid.'.'.$ext;

        $file = DT_ROOT.'/file/temp/'.$name;

0 K1 a5 X" v, \8 R; \& z

2 M8 I F6 Q0 y9 y' @; D1 ~ G& ]! d  

3 A) T7 P* z) E0 e. p* E         if(is_file($file)) file_del($file);

5 ^: n0 D* W: a8 ^1 B* j

        $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');

H. i: s7 c1 d$ ~( z' F( \$ w

7 C+ z: s. P4 T+ X& O3 ~0 f  

        $upload->adduserid = false; 5 u7 O9 t: e5 f+ U

6 P/ h$ }7 j. Z0 p) m% r8 V   # U7 m& c% S8 F5 L

( ]3 j' ^# O# d' R4 P

        if($upload->save()) {

; ?4 G" s+ V4 v; z) @: s

1 u% E6 D- n1 J( d6 T. _             ...

7 L* H3 C# f; i         } else { $ g4 @) y7 k" Q4 s

7 ~- l1 T" X4 l, @' A3 \* G n* U; Y             ...

# L' K3 z9 n% @- C

0 _1 P6 O7 E; Q; [& Y8 E" ~         }

; s: [" t% j7 U

    break; 5 Y2 s6 s4 q. F7 w, Q& i8 g* ?

' ?. b! ^3 o# e0 Y( O0 z- o 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。

6 X& m9 O1 O9 S- ^+ f upload对象构造函数如下，include/upload.class.php:25： % ]- X0 q+ b7 R7 n8 D9 I

9 r3 J; s# z0 M C. {# r i, X- o1 B' i <?phpclass upload {

    function __construct($_file, $savepath, $savename = '', $fileformat = '') { , H) @9 y# d' A

# o3 Q) ]+ |9 e0 I+ ]

4 e6 E8 m0 P0 M1 a- t' T; R         global $DT, $_userid; 3 G4 X h+ D6 Z& |, |& E& Z, n

; v4 [: @ ~" _5 k \7 g" g         foreach($_file as $file) { * I. D' u- N; X3 S- Y- N" } b" A) f* S( ?

6 V7 f& D/ @: X, D9 P: }' k2 x

* S1 l* E6 F( H, K/ Q& H& ?             $this->file = $file['tmp_name'];

1 x \4 W1 |* h6 q" s             $this->file_name = $file['name'];

3 ^! e! D' m+ I8 ^! ?. d) _# y             $this->file_size = $file['size'];

( H7 Z- Z4 ~+ i             $this->file_type = $file['type']; 9 j) W& x) h1 o/ L: V( b' T& u+ {

6 r9 ~: N' r4 n/ K3 O$ u' j

            $this->file_error = $file['error']; 9 I# L& ]6 `. j V6 r

 

: J+ o7 p# b8 H* i+ C

8 c* X+ ~1 g6 z0 J9 m         } % R' z2 N* G5 c$ m$ l

" l7 P, T Z! B. h" M0 V         $this->userid = $_userid;

        $this->ext = file_ext($this->file_name);

        $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; " Y Z/ E8 Y s8 A" c" Q. Y" B4 W& P

        $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;

+ L V& v! ^- B/ i1 C2 D6 N! |

8 {; a; h0 n1 U8 _9 \! u% ^         $this->savepath = $savepath; 2 ?' Q8 `* S5 O/ h; L

/ o2 ]: ^5 p( z! ]9 N1 s% g5 y9 z

        $this->savename = $savename; ! ?: k' Y6 G" X9 r! Z

9 v' ?/ k/ o- x- H) }     }} ( A: R$ w) M# K1 i& G

- o' {- J4 _ X' @) D+ l 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。

0 c6 R- i+ t/ q% ?2 H0 `* }

因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 8 P% U8 g' [/ z# k

4 v7 _8 a+ _9 S: a) W% k

3 J# N, @. }7 ? l- ^9 [ $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php

* Z% X- e3 M) t. _

而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：

3 @6 Q( h7 s D, }2 @+ ~: d2 i

  " P2 S+ ^# w' r2 _3 u

& F9 @) w/ Z$ K' F4 d( Q* P 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:

) ^( e0 m5 k/ w6 {; H- s& o1 a <?phpclass upload {

# @( l. b( a8 E% }

    function save() {

1 b+ |* C+ l7 |/ a         include load('include.lang'); % _; m8 ?# L/ g& @+ R! e

        if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); / K v0 B, k' w. c

; g1 K) z s0 v" `& n' `$ ?

  8 d2 h; b; x; n; z" X

5 E8 g; y9 ^$ a5 ?& m( p% R: X

# q. t0 B+ K: [4 e. D S" z; R& A         if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)');

, q/ [, N- I' ]# O, K   : r) b3 l, J" `5 v& f9 S* j+ @

        if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); ( \! S0 E/ d* j

( A1 k1 g' G$ {  

. K5 ^; C( T4 m- m& l( H

- x: J% r4 r& ]9 @         $this->set_savepath($this->savepath);

3 a$ }6 d8 R4 [

        $this->set_savename($this->savename);

# j* w- j/ g% z

  - |) @8 ?3 s- r! Z: I) Q/ w

5 J! I- \& s( I+ C. j

: h1 A K- o/ W: s* z         if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);

9 q7 ]' _: v6 r9 b

: ~5 c9 s( _1 K- g! ~8 t         if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); ) F# G# R+ s# V0 |# [/ m( r; g: Y

; G1 _! |+ ]" x+ q. ]1 s

        if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); ' g% y* K9 k0 y' T1 F# w; _" K9 L

O1 m2 Y# \7 f& ]8 _" |* {  

/ ]2 z. f5 ~) O4 x

, F7 }! m8 h3 L/ l9 L         $this->image = $this->is_image();

        if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);

9 `3 `" ]4 o8 p$ m1 D3 c- s

3 j, Q$ a. ^1 b2 i& C9 p5 f( S T         return true;

1 c7 M2 t' [/ m) w2 i     }} 0 h7 B# ?# E4 q# k# ]% H* @6 ]

先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：

) @0 z7 m' B- k# e

) ~* w6 P' Y5 q# Q <?php , N: g( h! Q1 m7 U% E# |/ w( `

7 j* O" H, x7 q# J

- l1 G" p/ Z# ]1 k' E3 N     function is_allow() { $ a# P2 e1 k' b1 z3 r- N( [! a

; I8 |# V8 ^# B8 I5 i         if(!$this->fileformat) return false; 7 o! F, _# y# g' k: c5 u

$ D2 U* M, ]5 \         if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;

        if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; 6 i" n; w: p" b

) N: ^2 S" G1 t( ?5 l

        return true; & K) u) t& E2 b, w% x4 u& |

    }

( E3 S$ w0 {8 O% ?) X. ?1 ]3 f 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。 6 b" i) K d" s

/ m2 } C: f( K7 D2 h" H3 ?" ^: F 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 ; o. b4 ?# x: O* Z- s

# l' D$ [3 j, P9 w 漏洞利用

8 V0 \$ ~, n) t7 i2 ^+ f 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 6 H5 \3 ]7 G; k8 Y! M% P l5 Z

) O- r \* C& } H! w. |8 d

- i9 ~1 O" \6 e \& ~7 g% F( F# U8 \ k  

然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid

X0 U) z3 s8 O! Q; k% [( C. P. b: U 不过实际利用上会有一定的限制。 ; e, p* X% R- O; u( Z4 B7 z( y

! I) B" ~9 R# B( }

第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 4 |3 e: v8 E. H: c

  3 ?& Q! {$ R3 m/ v3 e( s

第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： ( ^3 |$ j1 v8 f5 d3 @, L4 ?- @) m9 C

( h! V0 \5 L4 U$ f

省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...

! |3 w9 i6 C M; P( J2 G 因此要利用成功就需要条件竞争了。 ( ?, k, z7 _! l6 ^

5 r: ?& k. \0 G. I 补丁分析

 

5 y2 x N9 J5 c; m, r; V

在upload的一开始，就进行一次后缀名的检查。其中is_image如下： H' w8 ]5 n: R3 V! {. W

" {3 a ~/ I! a2 n: O3 ~9 @ function is_image($file) {    return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} ! A( N. H9 u* \4 T8 U( }0 _

) Y( V$ |, A' G$ @  

在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 2 @* {+ G& q5 `) h. q( b3 {1 ?

; k% w. \& j9 l7 O: d/ n 在is_allow()中增加对$this->savename的二次检查。

0 ~ a! P! G) A% y

6 }; m1 t/ Q/ \2 w% } 最后 $ c) S5 \- Q9 R

) e* p& I( b* \9 V. h

0 [( g2 |, [9 N, P5 T( ` 嘛，祝各位大师傅中秋快乐！ 9 m8 K( X* c7 q' `/ h0 A

' F5 ?) y# Q2 d t2 b' z$ m

% Z* @: D+ A3 v: J+ p4 e/ s   $ o0 g6 Y/ }( F# \/ b# Z# W

5 g: M* P0 r' D/ C; D4 g1 X- U9 p