Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

- f. ~. q b3 c/ N: I$ I) o

* u- P/ \ @* W9 C6 S) \ 前言 % Z( g& ~* J& t* i3 N

! a g" p# F8 Y* g, {% B+ m, R 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。8 ?4 }6 Y2 F/ r3 @0 h& b! R8 _

9 ~5 {, m% U+ f( u9 M7 W+ q* R! { , S7 ]& ]2 H+ Z }4 B1 m( ?

* ~. a3 {) |; X- k& X8 I3 ^ 漏洞分析9 ?8 [2 O- P4 E% d

8 u% d% c3 a# @# T3 s9 ]6 A 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：1 h# ?8 [' K3 k

. d( ]* f, [6 i( n g6 G2 U: ? % Z6 V; _( A/ F1 {0 Y7 E/ D7 s

3 \ S, P* P) a0 n3 }6 f; p' [ 对应着avatar.inc.php代码如下： 7 a1 c" Y5 U6 A, Y/ h+ [( P

3 d/ C. K w* p( F3 i- o5 N! u <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { 4 I3 Y) m: l8 Q/ u

2 k! `: B! N1 t$ v case 'upload': ) D3 [6 I8 ?" v8 n% N1 u

! X* J( R, b* r- z if(!$_FILES['file']['size']) { 7 V7 e4 w0 s. e/ H

; Z2 _' x# A4 \4 u if($DT_PC) dheader('?action=html&reload='.$DT_TIME); 8 c1 X3 h/ \0 a A6 w# x

6 O( n* i* T& q: K2 i4 x) U3 s9 T/ W exit('{"error":1,"message":"Error FILE"}'); ) U) c7 D+ H* a/ m1 z& z2 K, n

0 q8 G! E' L% X0 I* V# d# Q$ n, @ } 6 S. D# z& F! x; j1 K( d

" Y4 p/ [/ H5 T# A# f require DT_ROOT.'/include/upload.class.php'; $ m0 i& k% W5 }. m

' A$ V" [5 j$ a3 h! z# u/ C / n( C- `3 \5 m7 Z

3 k8 |3 C: x' } $ext = file_ext($_FILES['file']['name']); 2 a% D N' X9 o2 K4 K! t3 V8 @

' J' L: J. [! P6 v. ?/ z$ \- h $name = 'avatar'.$_userid.'.'.$ext; - W0 f) l% G- H: s- N) D. m

9 `4 ~/ R& @/ e( ~* K $file = DT_ROOT.'/file/temp/'.$name; 3 n- w: D% X$ @* `6 q @

; R# i/ E a1 i; _: F4 ~2 \. u * t( X/ I' c( x: i/ V

! e9 b6 s4 v% L) ^1 T+ t2 H( g7 l/ K if(is_file($file)) file_del($file); : q' _; D0 u4 O6 H4 J$ n: Z

2 K4 N( ]9 a9 R7 e $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');8 ^) B* C( N5 C5 F! R( X- v; A

1 f( f% [- d0 {( j" C6 q 5 c! _, v: |: s- |4 I

: J z& ^" f9 q3 [- ] $upload->adduserid = false;$ Q ?8 }! @# O4 X

' C( \& l) B8 o 9 u5 ]" c' I$ P. A, l& `3 d5 o# k

: s* B- j8 m3 J0 _- F( c% d; C! | if($upload->save()) {( n8 a- c$ }4 p* g" J6 C- D. u

9 ~: G$ K! a/ N2 p, u6 Z ... % u6 h' W# }4 c! t

$ J* q/ @; Z* z4 T! I% r. k( V } else { . q0 N) `/ n3 s5 d/ _

?$ G# y1 y" [; e$ `0 F' A, h ...* B2 y: z# ]0 E. |# i$ m

9 o, c+ v7 g, @" ?. }8 @+ x } { f2 z0 E) R8 F- ]+ C

% S0 b- q* S; m/ L; k- z3 f break; 4 y" d( z* t o% g" b' e3 t

/ |8 |. T" B9 _: l' H 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 6 `+ y: v# V7 p6 _

* H& o c( J; Y! b0 |/ S+ A8 |' ? upload对象构造函数如下，include/upload.class.php:25：7 s+ P3 I$ o5 d' ]5 C& d

u( O' k# r& W0 N1 d <?phpclass upload { / Z/ \ ^& F# G/ p

6 g# {& S" C& a. _# q function __construct($_file, $savepath, $savename = '', $fileformat = '') {0 C9 N6 h. {4 T

1 e7 `) S% N9 Z: I global $DT, $_userid; ( I3 e# J; M6 `' Q2 t9 F

, j: X( t" y7 b! L0 M. H% [ foreach($_file as $file) { ! m5 |4 s2 \- |5 g

* e ^! e+ r8 h $this->file = $file['tmp_name']; 5 L- l0 p2 m& M1 E! E1 t+ W

" a/ d m' i) q; _. i. \ $this->file_name = $file['name']; : D% d: r8 x+ P+ _3 F* W

8 c9 h# B6 W/ M1 t& E! L( R $this->file_size = $file['size'];4 q3 k9 n) z v' {& k

1 r, d7 P& m3 a1 x6 E! s $this->file_type = $file['type']; & g& O# f; e; e

6 N# u3 F9 _. \& E $this->file_error = $file['error'];8 s5 \2 K6 ^% K

$ ]& Z' E& T- j/ u0 ~1 x# h" O # E/ a3 G# W9 _( `6 r

$ g7 L, f' L Z' n$ f. {4 k. [ }8 M7 Y1 w7 s( U$ A7 R

9 K$ n) z; n/ \ $this->userid = $_userid; 6 W! j! [, w5 s3 @" y

2 a. D, y+ @7 Q $this->ext = file_ext($this->file_name); / @, H M; u6 r5 Z, u* S

2 \+ R& a/ ^8 _: }/ q $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];! e6 U" e4 K* A+ L7 R

# U: V, @% F7 Z' o7 u7 o( u' [7 V$ T $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;1 V8 U$ {7 K$ [

( A0 `: N9 A6 W6 Z4 H $this->savepath = $savepath;, \6 J: }. k6 s* D7 q, D: u

0 R' U/ v) h9 L* s. Y3 D# P $this->savename = $savename;; H% V9 D3 R$ r4 c+ ^4 ^

& p2 s6 r+ `: ~3 i5 ^/ y3 k }}! F. z. n) g0 h3 A

+ e( Z- U& _& X& C: A 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。2 j, {5 X' j8 \0 [" B. }% C9 K

2 F' C+ P4 c( P3 ?4 x6 F% ? A 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 # x/ y" ?% {4 z+ U! ?5 e- N* `

8 _8 d q: U* d7 B $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php 1 w0 i; ]6 i9 x- M+ w4 W K+ f

4 w4 z/ w+ Y" J( ^3 K" F$ O 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： , K2 g e. A6 O. C; H. A. C

8 _# Q/ T5 F) n% `+ P ' J9 H% I( z7 P& O6 D7 p2 {

! ]: Y! O" w6 y 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: 7 r$ p8 P" q/ m( R$ g

& q; x6 L2 G" b3 d <?phpclass upload {+ e) {1 u. z6 P

& r0 l3 e, b' o: y" F9 J8 x function save() { 9 Q Q/ l1 V( f" P( u

+ t0 f, x' s: p; W3 z, p; q9 I include load('include.lang'); 8 s. p8 U3 F4 V! ~$ K# _$ ?! N i

2 w/ q% C$ E0 j4 U6 `7 p if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');1 C3 R/ c) B) E4 W! g

$ A7 K) T% u t3 \8 Y$ x 6 L4 n$ u) n' j

0 E" ` g% I. l! \2 a1 f if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); 8 F# `' u! _3 v$ \4 x5 ~- Y

; s/ k# J4 c1 @: X T" l* Z + O! n y! E( ]9 _

q' N5 f/ {3 ?2 a3 _2 o2 ` if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);: Q2 ^! m B3 v$ f9 [

; y1 o% |7 |9 g4 [- X " ~/ x! e" G, k) ~' E

8 b1 e: l. A$ }* z, ?7 }; ~ $this->set_savepath($this->savepath); 1 l9 n. d6 g, a% y7 [

/ ~3 T; m0 `9 H+ D" k7 f( v! Q $this->set_savename($this->savename); , a4 M$ I0 u. ^7 h2 Q

F3 l! W3 Z r; t$ K $ V/ @* l4 J5 s+ w$ G6 d

$ D9 T/ `6 r7 x2 o/ r if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);8 a2 u1 g- b/ o9 m) \9 l( {

Q3 P* X8 ?; _; W8 J if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); ' l( X" H' j9 E+ y9 l! e) L: U

$ U' I; k0 c9 ]2 J1 c if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); 0 ?) ]% L4 d: }% ]: f- ?

/ h4 I6 _; W4 @! b ) K$ } J2 r8 z, A- T5 \& [

* A1 ^+ k @& f- w $this->image = $this->is_image(); 9 R, ~) l/ {; j

- z X7 c. l( p4 {, W# } if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); 0 V; f4 G4 M* h8 ]- Y6 F" p

* }. N* F4 Q6 F( }. \7 _, R, P return true; 3 l3 P0 ~7 A1 j7 C

; Z( Z% N1 x1 {( k' a r0 q }} 1 {6 r* s* e. }# R

u$ `$ n# a2 U 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：1 k/ L/ b& x, Z9 E

& O7 m) c! e& w: A4 F <?php; V# i: }% M) s {6 j. }6 Y

* J# W( b o# w$ E8 q4 Q function is_allow() {7 ]* X: a$ N1 v1 B% [8 T* k' o

" h; z! R/ d& l7 l3 j' E) C if(!$this->fileformat) return false;7 `5 \/ [3 A' [2 l% m: a" ^

T! A% ^6 b2 I3 W. M5 g* b if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false; ) g7 z9 u+ m8 J- L2 o% n

4 ~3 r) w8 @5 J! u$ D if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false;8 B- g$ \+ t% i, B8 c

3 o0 D/ y2 A: c8 f. n8 d. T# a return true; % Q; s) K4 f6 t) ?; C2 s% C

# U3 j" f* K, Y" X% [& C } 0 ]( n5 h0 Q$ Y. M

* ~0 X: z, n7 a0 B 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。1 u) X4 `" D: i! E" W

4 I% r1 `+ T% Z 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 ! c/ h( I4 U; ?5 s; ], h# f+ w4 ]" r

8 |* ^8 j* q! ~) f( S1 @2 g2 b; j 漏洞利用: K. P8 ?) I3 }; h, |

: Z( q9 `$ p1 ^& l* s1 u 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。# M3 Z& k4 Z5 ]/ f! `# `8 q% z

0 d, l' _$ l" V& d. H ; G, h8 c% j4 u* H m6 C

. d( o( F4 B6 W: }" {/ O# i- T 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid y0 a0 g" Y8 N) j2 j

4 A: P. F5 u) P9 \% ?' M% |" Y 不过实际利用上会有一定的限制。 0 o, S) J/ G( U; _/ z1 B* r

; }+ T& Z4 R, U' d# K, M- t, X 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。! q, |. m' `. \0 l5 L

/ g7 [. `3 ^% P- l3 H 1 K L' v6 p- ~6 u* p- Q1 d! i

9 Q- e9 y- s! m) m2 M2 s 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： : M6 e- r, c4 |! _& s1 R

+ u6 U7 W2 G7 Y6 V4 B 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...( p' b* ~$ }0 `. V$ H

% w- j% H" X" \9 G( w4 [ 因此要利用成功就需要条件竞争了。 : D" Z8 u- B0 U% z! q

& V3 }" y) T" O5 T8 q2 K' C/ Z' ] 补丁分析0 O9 [% {- I; c" i8 y0 j' ~

; i) i2 q2 m! O' I9 [; O 2 A1 X6 N# Y* f

% s# I! V$ j" R4 V 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：) x9 B2 |4 G. t @. f; V Y

4 y) C3 |* R/ p8 u+ c$ c7 \( j function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} M) G; T$ q9 b- T4 F" t

& u1 l4 t: _8 H) @ * Y+ I( _4 M: R& _; ^

, z0 b& K- ?. H* d$ J! _& W( m8 I 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 . O ]6 V' |' h2 c- f1 B3 _3 U

: ^: j$ o# V# ^! y2 V 在is_allow()中增加对$this->savename的二次检查。 & v7 j9 r- H( i9 R

) z4 m& j$ ]7 G/ A7 q 最后+ Z+ j: G5 S3 t3 D

/ i2 I } p! n$ d6 Z6 ^; d 嘛，祝各位大师傅中秋快乐！ ( H) s i' w! q2 S

, @3 \: s' A( e* E 5 n4 V4 T, h4 c. E2 h6 n+ F% u' H

		自动登录	找回密码
密码			立即注册