Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

, |, C* O, j* [* {

) u: _, x5 V1 Z 前言 ; ]2 n2 q& R) K4 F: G& a

6 E5 w/ d7 M5 v8 u2 W7 t3 q) v: \ 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。0 c. m8 D# e4 l. R$ e0 m7 O/ r$ ?

n2 m) k! B9 } : g: r7 A2 d/ n, M4 F; A* R

( J, O8 `3 u9 g 漏洞分析 2 E5 [3 l* B' T- w) Y

/ ^( `3 k; V$ i. R 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：* H1 y5 Q+ \) l

5 K* y) l0 v6 q 3 I* Q \, f) f4 [1 \

5 z: h' H" k, }2 \' v7 Z 对应着avatar.inc.php代码如下：4 w( s- i- K0 I% }% u s

9 X1 L2 b8 A" O# l1 }" p6 Z; L <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {" `( g- ?# e& `- \

0 z4 |, H @0 i; b# i case 'upload': 9 P* X: ]* Z$ A3 @. K& O2 S: I

; Q" j' t: f, g if(!$_FILES['file']['size']) {) G! P/ c. n4 g3 |0 |" _

- M& W' K; X! } H if($DT_PC) dheader('?action=html&reload='.$DT_TIME); ; I- F+ ^# ^' X( h7 G) d! O

- q+ g/ c- X- `% Y" u' m exit('{"error":1,"message":"Error FILE"}'); ) P3 e3 T- G, T7 {( ]8 r& M

" X$ z9 U2 r( n# ?5 I: k# P } 0 J+ h/ o* n0 |# ^5 l. h- r

5 t- x6 h/ h: b! w* d! W require DT_ROOT.'/include/upload.class.php';# t8 e7 Z% T# j! P: ^7 ]

6 o* R/ B% v n5 P4 r; J # t* l* O/ A/ K1 N/ X7 w* T

) Z4 \. n: W; l $ext = file_ext($_FILES['file']['name']);1 h+ e! u. C2 Y, q, q! S9 G4 Z# ], f

4 d; Y3 k5 }# N. o$ k+ j2 A6 X $name = 'avatar'.$_userid.'.'.$ext;, v- A8 O7 |# X3 O: c9 `

% ]# @+ R' o+ C $file = DT_ROOT.'/file/temp/'.$name;. ` h4 {! F0 a

" P9 m, o4 V+ q7 k$ S% w8 F / G- K6 d3 [+ M4 b1 f' r, R

4 t( ~" Z* K' I' D5 q4 K& n* X! } if(is_file($file)) file_del($file); " k5 M/ U7 f- t! s6 F: b

/ [( R. f T$ P H $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');: U( ~- ^5 m" ~! X: I- A9 F

v5 h2 b& X2 U4 W* b4 ]/ e9 a 9 A/ o, }, I8 m, L3 G" L

; J7 H" {: f& E' g $upload->adduserid = false; + Q) S/ Z; ~3 B

R$ L9 w$ W& W, V) W- E . n8 x. p( W/ j4 \9 n

. o+ Q7 C3 L: W' ~1 J7 o if($upload->save()) { + \" f! d( J& ~) T( V6 @4 m, C

4 `) b7 a. z- s8 B+ p ... D+ F/ Z" |; ^# z( ~

- E2 b4 m( L& Y& s3 j3 j } else {6 {! c& A% I% l0 f

8 N' g& N# D. J% ~7 S, O9 { ... 7 d5 t/ t" Q0 ~3 r: G$ {0 D

# p$ H- b/ p( m% t) \ }% _+ `( {* J" D

8 ]* }2 K9 c+ O6 p2 T break; 7 s' \& }4 l2 E y

/ f* K" x) f7 Y 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 p+ J6 W' e0 t* J/ w7 d: I

# z, d8 o* e* h d! z upload对象构造函数如下，include/upload.class.php:25：7 ~; a# b9 P8 L) ]

" m7 E" j0 K& G <?phpclass upload {0 D: v f* n8 C1 Z; k

0 J, L2 W9 b! q" N H function __construct($_file, $savepath, $savename = '', $fileformat = '') {8 W# b8 o3 m/ U! Z1 H: C

; h0 X% a+ u H, u& w$ D3 R8 m* d global $DT, $_userid;. W$ m9 o) l" l- e( F1 d8 K

3 ^+ B/ E: U, t V foreach($_file as $file) {1 D. e% H7 c7 a6 g8 ^

I e: F8 ]+ e% @* y $this->file = $file['tmp_name'];8 O+ g" L x5 ~: z( ^6 \! n

2 D+ I# z1 @) t& z* {* Z $this->file_name = $file['name'];5 X0 |0 j# j. H/ }/ ^$ v" o N

! i3 T' A4 [5 {- W% s6 T9 f $this->file_size = $file['size'];* a" [: F, f& F* s$ _/ v

8 e% o% M6 o/ ?4 D $this->file_type = $file['type'];; P1 S7 F2 A1 h( T% s" [' k- o

# e3 V, g! K# C8 o $this->file_error = $file['error'];7 W& ]; m$ N" T$ {, C. j

2 j. X) r, i. I G( b: V . {7 q0 S+ n5 |0 w

. J2 s2 \' F3 |& L/ S1 q+ a }$ V& `, }; w3 `8 {4 o3 J9 j9 \4 _! g% f

( \1 }- d: _7 n/ u) u, O" k $this->userid = $_userid;1 a4 Q1 Y% V( A3 _+ J) P

6 |$ p# t/ `4 @3 }/ o+ [" L $this->ext = file_ext($this->file_name); 1 U7 x" \- E4 z5 f0 f; G

- ?* @' m+ }: T3 { $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; ) ?9 ~" N& f$ D+ ?6 N

6 ~' z% [" S% K $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; : D7 ~1 |" x4 C5 }+ A- L

" a) T6 x! O. q6 l$ Z9 F $this->savepath = $savepath;+ B& V, H3 w: I0 Q' R( f

k) p z5 Z+ o, o' Z) X3 Y) } $this->savename = $savename; + c8 u5 _& Y& ^$ g T

3 R& L( N1 T1 k& t8 J' z }}9 c% f. a D: f

4 P& [ ?' z9 w% ]" A 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。* O! {9 E0 \5 [5 \" Q' l1 @

& x2 u6 c0 o1 M+ _$ @# g8 h; C g 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 / |* D. E$ Z$ S6 b

. w! B4 ~0 w% B% d7 h1 R* o* [ $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php) R' ] G* @# B

1 M0 [# ]- u4 n0 A 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： # X( |7 f7 w4 S5 e+ \

- o( c0 }# w2 J7 e4 {" w8 x c) \& _3 `1 m! V6 N$ Z, d' q

3 \& q l% L4 ~5 q" Y# E, [ 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: 6 _5 f. A* z. |! ]; @, r: [

8 [3 y. s6 k- @ U) z5 @ <?phpclass upload {4 P. x& s0 P2 `1 O# R3 b. T" p

. F: w, p& y$ ~2 n! x4 o1 O; V! l k4 z function save() { 7 ~& s+ b% `9 \4 K& w' d

9 `: ?/ E+ } K5 b# g include load('include.lang');" U6 F( W# q% ]& [2 {" d2 j& j

9 f. U _6 L1 ]/ \, j" d if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');- n0 x: J3 v+ Y( j# e5 n( ~

- Q0 W/ ?$ _8 D! q( E 7 j0 a! u9 g& b T' s

6 C' p4 s: p8 g, K7 K2 R if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); . q+ S" g1 B" A7 K5 C

8 }- g9 P3 q; F3 M) ]8 A1 }+ p , ^! ^/ D& S/ n! F0 n F* ?9 y8 P9 p

8 m$ _1 E+ d! m if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); 0 b1 d! g: H/ f) k5 H: R. X

5 Y. D$ t s9 x4 v Y) C; J 7 [( j3 J/ S% k2 o! M5 ]

- r& z& H8 r3 T! l. L $this->set_savepath($this->savepath);* ~1 J: y$ H P1 v$ n# j( K3 R

~7 w r) ?2 \/ D0 j( w $this->set_savename($this->savename); 0 j, o& O: ^2 Y6 u* }! y

! b! l/ l0 e0 E" L' u ' {, v1 O, I8 X! B

$ G; o: B/ t: ]* \* c3 D if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);: F. C6 K- j, D6 h

9 e6 K; l" W I( G6 }! K5 g if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); : g: G9 t: M; i$ H, q

$ n6 _6 Y: l# m! x( h- {6 t if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); . x3 a |+ I! V6 N# s. p7 ~

4 P: F0 b5 T7 U0 f! Q 2 V3 _5 X" g" J

5 [) m5 | E# ]7 ^ $this->image = $this->is_image(); 7 @: n6 M% _! f" {

( }' l, E8 R5 H" O+ c8 g if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); - ? g( ~1 C' p6 A

1 G$ S/ c1 S* U6 Z! A return true;2 I, {" f6 L2 K/ f7 w" W7 N

6 G. r( ~) E1 {+ K, y$ X+ ?! ] }}6 P* O" r+ X/ L% p1 {- D

$ d. W9 T7 `1 ] 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： + W' R" n' P2 D, C* p+ z% j0 G

- c3 y4 K0 H4 Y' K* q0 O9 Y$ H <?php 5 G! }: ?/ @4 @6 T& B$ j4 i& r3 M) W& }

+ \4 a& {/ f; h9 [) y* ?' L% O% m function is_allow() {5 K8 _1 g$ g6 X; G# n8 i

, }0 l" j; J+ J3 F$ n9 | if(!$this->fileformat) return false;3 ~( W. c' Z- I1 N; {

v% ?- o) [( X% L/ d' X2 m3 j8 L if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false; ) B- t* }4 p( l2 x, E

* \$ |" R: r6 v2 W( H, g- Q if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; . j0 P9 N; O5 q* E- z" O

# u4 U& ~& [& U$ ^" c, w. Y: } return true; B" @) D' @) t; o+ u

8 K# n. ?5 o+ W. A @ } 6 O& R3 C# c a* K$ T

* h3 D" y, @6 K- o* h 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。 0 V# R* s# m1 B. g8 m

7 J% k8 @4 m( a0 P& N% D 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 + C m! ^& e3 O9 D3 `

2 z8 q0 q. D) N, h) L' ` 漏洞利用9 B7 p' n, S5 M% k- A( F1 _

: A7 n; V# O1 M9 c# C& r 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 ^3 J$ }; H5 F5 ~$ w8 L$ g

1 b2 y* K: U# k1 o! D , N4 [' J3 M, {9 X% A

. B Q# {* h' z) g( x$ y0 j6 Z 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid( S* o6 J1 ]5 d0 Y9 b% C2 }

# A: {1 e' w3 D9 [# @9 @( `! u 不过实际利用上会有一定的限制。 ( I; @* X! d( t

+ K( p% G) j4 O1 y) q 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 ) T, [& h2 { k. H' \

) c& K1 J1 G) w' a ; J" Z- H3 e- z `0 X

1 _# O A2 s. q- |7 G7 {6 ], W 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： 9 W3 u/ ~4 O/ c/ l

/ q1 {7 h$ J2 z 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...2 N3 X! v9 ?& `( e% i) g' Y: z

2 b: W. [, Y5 B8 d: u 因此要利用成功就需要条件竞争了。 B: E" U8 e# h. C* `! G( j) s9 ~6 o

* n- ?, X- B7 M1 e 补丁分析 2 |/ V4 D4 \7 J% @# @6 t% a

9 `9 W- z% v* V % z% c2 i; Y, D2 R6 k

# w& [1 t& D2 O# D- z 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：6 r, P+ z# B) {. H" b4 k- `6 f9 T

: X; L0 D: L$ ^, J/ K: p! r2 A function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}7 `' e! D; p; p; S6 t* A! ~1 H& ?2 ?

- k, @* v. Z4 f9 @# b ' i2 ]. n+ j9 D

/ u6 D; ~; X3 b$ V 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 # O7 i: d6 C3 i6 V3 S

+ f) Q! N& |4 x( i9 h+ K: t 在is_allow()中增加对$this->savename的二次检查。 E8 i, u+ S j$ P8 ?

4 ~& U! r/ t1 [. o5 [ 最后 9 a) V" g0 x8 }8 k) r

5 [6 Q* C! S( g* c1 D 嘛，祝各位大师傅中秋快乐！9 I$ {9 _, x3 F6 R2 { @) Y$ z A

6 R0 T& l4 F& E2 p; t, |: i / W0 e. @" x. T# S( w3 d3 r Q

		自动登录	找回密码
密码			立即注册