Destoon cms前台getwebshell

admin

前言

6 q5 T% a; P C, ]) ~1 @ B$ K

2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 7 _# W; M9 K% g+ L' S

2 K9 V3 t- M9 I! [3 }! }

 

+ R* x! c' x; t/ v& S

% s9 e' e- H( Q1 I8 t6 f) b( @) e1 _ 漏洞分析 & ~( _( y0 [# p, p7 W: T/ o' h

3 l. p4 e& d; D9 a- I4 d 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：

+ N" T D- Z5 J! T5 c0 \  

% ~% n! k: ^+ _" K

对应着avatar.inc.php代码如下： : [# U+ X5 u1 g2 x) I3 F# p

4 I% x2 q5 q+ d1 Q" M

" r) R; Y2 ~$ z/ r- E, I <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { 7 u+ Z4 U# g* C( V {* _4 P; N* ~3 D

    case 'upload': 4 b8 U) q& n% z( y: L. f

5 O$ g* o! v" g' T' C" v

        if(!$_FILES['file']['size']) { ! w# N! s: L/ l2 g6 @% `

) D( T2 Z9 C m- b7 z             if($DT_PC) dheader('?action=html&reload='.$DT_TIME);

4 w- H% ~* ?; x3 L9 O7 c             exit('{"error":1,"message":"Error FILE"}');

2 u4 c+ a& r! u( h# [" c+ o

! u# c1 B( m; H2 e         } 0 m' U3 H6 y- _7 a! d" |

" s: L1 w5 p+ g2 j$ E, j0 G3 l         require DT_ROOT.'/include/upload.class.php';

  5 z1 z( S T M% r, ~4 A6 j2 C) H1 P

% X8 |5 z, D% `* q4 R4 k" I4 m

        $ext = file_ext($_FILES['file']['name']);

        $name = 'avatar'.$_userid.'.'.$ext;

; k( q* Z- v" E) B, n" R9 _

        $file = DT_ROOT.'/file/temp/'.$name; , v3 f o! E5 {3 J F1 m

, q* A3 X9 M, d; ~; {

& T1 D o* i; t1 \% U- u   ; H- s" q j# |

        if(is_file($file)) file_del($file); . D! J; K6 U0 }" K

1 C ~) B5 `( }) [         $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); # B8 T `5 E, p6 z, I( A

' L. Z- |3 r5 Q; c" Y3 B   / k; v g$ d2 d2 n

: |7 ?' z; f# D% S$ ]" ~2 i+ j

8 n/ T" f. x' H0 A4 T2 m5 u         $upload->adduserid = false;

4 i" }' j- f) I: n" e) \. w! M

' q1 Z9 O* l/ L) f# c, ]& o, @( T  

, j! v" ^2 R% o# _ B$ f

9 S) N9 A" G: q+ e/ I; G6 o* t( s         if($upload->save()) {

            ... 2 \4 y( n1 U1 S& l2 L

        } else { ) g. y' p- p+ B3 d: R* s

            ... % T3 t% n/ R0 S( C

6 q; k$ Z0 h) d1 X

        }

/ c/ a) n4 l; t# h$ U, |8 Z/ }2 A

+ j. A, h% }# A1 C! b% M     break; $ a. i7 R5 y+ P

4 E/ t( R: T3 t8 I" w' P

9 k& W! K6 z) J& X 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。

7 r' m6 X* v7 G, d# @+ D

upload对象构造函数如下，include/upload.class.php:25： 4 X1 i2 X/ p% G2 c( W) r- m1 K% p

) O+ @/ {" N* |

<?phpclass upload { # ?- I; ]! g! @) ^

# i; y) `2 X# |# y" m

; {$ h0 E1 ?- C9 c) O6 B8 T     function __construct($_file, $savepath, $savename = '', $fileformat = '') {

: u! E5 f. a% M

        global $DT, $_userid; ! ^! f- ]. b y; o5 q3 q0 M

        foreach($_file as $file) {

8 a: v! N$ E$ o& o6 ^4 e8 x" O

            $this->file = $file['tmp_name'];

, b: l1 {; ]6 _- r# D% D

            $this->file_name = $file['name'];

7 R4 j6 B6 y" e; S. L- w

/ X3 g0 b6 P- e+ L6 v& V- r             $this->file_size = $file['size'];

6 u4 e- a# r/ G3 J             $this->file_type = $file['type'];

) ^3 f$ @- u% R8 L$ |8 s' A1 f I

0 q( l; \+ S! F b0 K% t. l: {4 t             $this->file_error = $file['error']; ) E; E: o9 ^4 V/ `3 p

4 {9 t% z5 w8 b# _ K0 G' o0 ^

  3 |9 n8 U4 V, Y

        }

2 ~# |$ w# o6 `         $this->userid = $_userid;

$ X% b R( q! u, a% M

        $this->ext = file_ext($this->file_name);

3 N7 {3 \! a1 u& O: R' W% h1 M3 b! E         $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];

7 k5 z3 T+ Q1 z6 i4 |" @+ C' g         $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; # ^& C: W7 S! q8 }3 k+ c

1 Q5 \4 T0 q4 \6 v

3 F2 L$ ]6 y% y. x         $this->savepath = $savepath; + P. _! {' T( J2 X7 b @

. k2 N* c4 i5 N f8 o0 {

        $this->savename = $savename; ! D) j* Q( C+ r8 Y: |5 x" w

' N' o9 u; _+ m" v8 S

    }} ' t' _; X! s) `0 o7 z- p

! d8 O1 H Q Q% D" _* w 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 5 p7 l6 i! `) y$ J3 Y2 O

) h9 `, t3 [5 J+ k6 B+ @ 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中

0 a5 S2 }2 T" l# Q7 |

$ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php ! Q( J# m7 M( U/ d9 g( i5 S, M

1 m6 l. G. ^; Y2 N+ r7 U

而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：

. h' b$ N0 J) @. x' n# V, m, X   . l I& i+ ^. w( A. W* E' W {

回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:

3 T. R# R) Z7 R& b+ ?) k. A5 h

& r/ J) K$ h' F$ ? z- l/ [ <?phpclass upload {

    function save() {

/ ^* m0 r- v* {" c1 s: Z

% l; f5 ^! o& @2 `         include load('include.lang');

        if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');

# ?+ R. i& g: Z6 V. r9 ^; G: }# p   ( L5 E" {* E* a" C- S

# F; [6 V' w9 v% Y* P         if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)');

" J6 a3 `- c+ f# D. v# L& Q* ]  

6 d9 b! w5 x, V         if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);

 

        $this->set_savepath($this->savepath); / S5 \! H- Q& J8 d! P$ @

1 `9 o- a- M7 b9 d1 b% q# r4 L

' W1 W: `% C+ O- J5 m         $this->set_savename($this->savename); ( p- \* f7 R# p! j3 E

6 P7 Q. K3 y! ^  

        if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);

( e7 }# a/ d0 W l! ]         if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); % k9 ^- D+ ]! k; b

4 G3 [+ m0 \' H' W" j+ y: Y6 Z

        if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']);

4 L8 [# Z' I I' F% G: P

 

        $this->image = $this->is_image(); $ H8 I& {) k& U6 b8 M

3 _% W7 D4 |" A+ j9 u( o+ G, k! a: @

- F. Z9 u& V. L* B8 \* U" x$ x7 \ u         if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); ) e; e ^$ `3 b# t, r

# T( a4 _2 r" y

/ e2 i7 O$ c0 k: S+ T" ~         return true;

, |7 h" H. Z; y     }}

/ f9 f3 J/ h* e: t9 A8 Z H8 M0 @ 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： 2 t/ c6 Q3 ~, M. f( S

<?php - J7 x* J) u1 s5 l/ H

3 R# O' i: j2 v1 w& g5 Y a

    function is_allow() {

4 o: P0 z6 i8 X, ^

        if(!$this->fileformat) return false;

; j }8 W/ L/ |- a! L5 R' y) G/ F

# v5 @$ s5 D4 Z( U4 M" j0 K8 J         if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;

        if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; 2 D; L" @. m0 c6 q6 i9 u1 u' v

) ^1 w! |/ r, m/ |" Y         return true;

    } 1 q% ^1 i% x# H o$ P

/ i9 D4 @5 \4 b; h

可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。 8 @0 u0 P3 E% L8 k9 `3 v/ j

: N% I5 {* P# P K& X

4 d( B7 D6 R6 f 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 # M! H& f5 Z5 f2 c* I! i* \4 v

8 C$ }5 }( g0 K2 I" S- N

漏洞利用

$ C0 a1 t# f! `7 g9 ` 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 ; j% C9 z! `. {7 F

- s7 K3 [3 ?, t3 a0 P; t u n

 

6 ~ ^ v, y1 O% {7 p" x) p

0 ^, U; m0 p1 U 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid : ~& B. X+ M" y2 s# ?6 F/ _

4 @% K5 Y! [6 l# ?6 s

不过实际利用上会有一定的限制。

8 ~% k+ l# c+ m7 |4 Z8 e 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。

  " G4 b5 B6 X- U1 Y, m

5 O: S. |7 P* D

7 s- m3 B8 `7 y% U" Y 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：

# Y' \6 k4 v, ^: F, G7 a 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...

因此要利用成功就需要条件竞争了。 ; ]+ c5 H2 l: v' @0 E

补丁分析 0 X! E! m) e1 N# D

* v% h6 g7 a0 G5 j" {* L

; N5 d" Z& z# e. i   & U1 _$ g7 s# u, F% x6 p9 k/ \. G& |

在upload的一开始，就进行一次后缀名的检查。其中is_image如下： 9 ]4 F) }0 f& O0 R8 D

) P& v1 X9 F: e6 V7 t t) n4 u function is_image($file) {    return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} # ~6 q. ^) q/ y2 y3 S2 ^

, s {$ Q( y1 i5 e7 y$ i- a: ?% a  

z" U# G6 m( m. s, q

在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。

/ U# o8 f/ V% b6 y& o 在is_allow()中增加对$this->savename的二次检查。

2 B! ]' n: Y$ z# y8 L) y! B 最后 7 t* m4 M2 A$ Y$ u/ u8 r" ~' l

% y f! L1 F# p- L 嘛，祝各位大师傅中秋快乐！ . C; u* i4 v. g5 D! n* b- Q/ Z( Z: M

( D: R+ o+ H! P