Destoon cms前台getwebshell

admin

& P) z: m; z b2 j! q 前言

4 p1 q: }2 e: ~% j& b

2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。

 

7 k: r7 R9 e# r( g* J 漏洞分析

9 m: p" W9 l% V3 u3 c4 [ 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：

+ X5 n3 C, R* w) p9 D  

3 ^% s3 t9 J: h& U0 e I' H+ x) Q) C8 J

对应着avatar.inc.php代码如下： 9 k4 \. p6 C2 L0 A( D

& S5 Z8 i4 T" f; [+ O <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {

% F0 {7 Q& N* I5 k2 ~

    case 'upload': `5 p$ Z3 E3 p! i+ \

% J: X- n {" B$ }

( V' Y; P! I9 \1 @         if(!$_FILES['file']['size']) { 0 y# p; ^, ^ j0 D) B' K+ i$ z1 d

a( z: ^( ]. |0 G

9 E0 G) D, Y4 O9 p* T7 r Z             if($DT_PC) dheader('?action=html&reload='.$DT_TIME); ! [' D7 E- l- L- W5 f

+ ?/ r4 U3 P0 \8 C! L! k- k* A1 C

5 I5 J& }' `& k* L& C( {1 w; [% U             exit('{"error":1,"message":"Error FILE"}'); $ m' G# u/ V6 G% K

        } & P4 b" m0 {( f# t6 l* z

4 w$ H J. |/ j4 {8 A

        require DT_ROOT.'/include/upload.class.php'; - B0 U2 j& v4 X$ w! _9 l: _

O/ z' W2 _2 ~, Y: ~) _* d- a

 

/ V9 w$ N' F; I1 X         $ext = file_ext($_FILES['file']['name']);

2 P7 h6 Q& v/ I' ~8 `8 t& ~

        $name = 'avatar'.$_userid.'.'.$ext; - b6 Y+ j5 u+ R: j

# `$ o: A) K( c1 X; V' R" W- r

        $file = DT_ROOT.'/file/temp/'.$name; ( j/ k/ U. a4 ]& q ]; [

* d. ]9 @6 A2 x8 j0 }1 | j9 `7 y  

" r j. |5 p: r/ N/ Q0 q

; ]5 \( C6 |* o6 h6 A         if(is_file($file)) file_del($file);

5 i r5 J8 o& f7 ]9 U8 \3 R+ m1 y

        $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');

; q5 D- u4 X' N$ ?8 U   - A1 Q* p; B: g" G2 Q

6 D7 B N% A& w5 g* O: s

        $upload->adduserid = false;

+ J' P% T9 a! Z' H1 M, \   ! f% U* |# H" k* V' d

6 c; N3 u |$ w0 E7 W

        if($upload->save()) { : {1 y* w. u( {2 `; l' `( S

# d' n) [7 W% }1 ]% B! R

            ...

% @% E, s3 ?0 U i

        } else { / I2 @: d8 ?6 @3 D |/ u

. y) [) o; r5 k( W' }             ...

        } 4 t2 r1 J! C) J5 N0 B! N, k

( I3 [, c9 Q2 g% K

- _8 H! y* J2 r! B; B$ l: S     break;

这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。

1 p8 h) @% F: L

upload对象构造函数如下，include/upload.class.php:25：

& v& A& x6 P; D5 ?# C# O <?phpclass upload { ( k% T7 ~; E N1 n3 K2 h/ V

& K/ C: k6 F/ r& O5 y( ]& {$ E

    function __construct($_file, $savepath, $savename = '', $fileformat = '') {

' x" H; L% q: M+ \         global $DT, $_userid;

2 A+ e# ~. B7 [+ z o, q7 C         foreach($_file as $file) {

' ]) c/ E$ P4 s% ]. t& t9 l4 d             $this->file = $file['tmp_name'];

            $this->file_name = $file['name'];

" I5 _* v4 ?5 J; z9 m             $this->file_size = $file['size'];

! j1 K* l, w, n             $this->file_type = $file['type']; 9 n9 K5 A8 \" K* D; i

            $this->file_error = $file['error'];

2 o. K( B7 Q0 g; D8 h% N! e

 

8 p3 `. {6 A; F- Q4 j

        }

$ x1 X" _) b2 Z) v2 h1 c3 m

" Z/ U: y# H' \' j         $this->userid = $_userid;

% E8 H- o; u/ {+ ?2 {% m( M1 {) ?$ C

5 k$ q+ I& F2 [8 M! G, @% o% d8 v; s         $this->ext = file_ext($this->file_name); - o4 ]1 v3 g8 B- u, `

        $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; $ n Q* Q6 K& l# ?0 J

7 _+ z+ L! S+ e! p! \- N* L! {" D

8 R* w/ P9 M" L         $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; ; P# M; V3 L2 o6 `, f s( O

4 ~( A1 p5 D5 W% k* O

2 p9 ^) w# \& L; ~0 {         $this->savepath = $savepath; o' n% S+ R3 M- j$ p: G, J

4 ~5 U( t, w1 \; w7 Z( V& l0 w

$ T" ?- t# x6 g/ m0 G) [& {         $this->savename = $savename; : e3 g, c9 G+ o) j$ R

    }} $ {; P) |5 }8 k7 Q6 r; M+ Z2 `! U

" }' L( ~1 E; D& f 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 5 V7 {6 j3 i8 F

2 X6 d9 P$ Y9 U8 V O3 c 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 . ?' u# F* T* `

* p/ f4 c: p3 L2 [( p

4 r9 _3 G8 p2 C8 V $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php 6 X0 x/ D! r+ \* F i4 Y

而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：

$ X$ ^: A1 [( Q& ^) N A- V4 A

  $ _3 p; ^7 ~' {0 d% Q2 a

" h5 h& Z. h A$ ~' N8 G

$ ]6 v& O ?) ^5 r6 b4 } 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: 8 z4 r% I* {3 N2 N9 F

<?phpclass upload { ! z. L8 f5 s# ^& |3 O& h

r2 j4 v1 V) Y) ?' f7 ?7 `# U& N

6 t* f" I0 v4 k+ m' K% a7 @/ g$ J     function save() { ' `5 t2 T, Q- R# @ `

& g1 I$ p/ ?& ]) l

D( W) q. f6 x' t; P# n; o% u         include load('include.lang');

( O; S% N. Q1 r2 B, B) ?1 I         if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); # ~( T3 U' O( {/ `+ R

. m4 l5 |2 J1 e1 K8 z, J( E

  $ I1 @/ b: N U) M/ R/ A

+ `0 z j5 v& L         if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); 6 o0 [/ T/ u. U% H: h0 m; U2 x

5 E% V x# Y" p9 {/ {# o4 J& ~

  " V- [4 p% B: Z+ `) Q, W1 W& ]

3 ?( y* B5 [1 W7 d# I4 Z' h" S0 }

" t1 |6 b1 a$ q8 [0 v         if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); + d0 F0 c5 v& y+ h }

2 p. o$ [% y1 V2 P4 ?  

- O: P9 C; Y& w8 R6 F( O

        $this->set_savepath($this->savepath);

% w ?* I: A0 s

! ~1 [, l* s* w         $this->set_savename($this->savename);

% O7 t$ c# a6 s0 V9 ?- j- t) p- O( }  

! X. ? l. |. {1 w

        if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);

5 C$ n* S* k2 Z6 d

        if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);

        if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); 7 A/ E& w2 C6 T3 R

6 W# y) _% e7 ^% j. d( B8 _9 d2 P

. Y- {6 D1 I/ g2 A; t/ M   ! H' R3 p1 [9 V1 M0 o! ^" X8 e

2 O$ d M8 j8 w- y+ [/ i9 i

" x9 \1 X7 v o0 d         $this->image = $this->is_image();

        if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); 1 e' Z" y$ y# a; B- o7 c8 A

) R# I! m$ Q8 g1 o6 W; _3 m

) e2 T3 Q; Z2 [% t$ c& J         return true;

1 Y8 _, x9 Q7 s     }}

4 \. U& k! h% m3 L8 D; ?* f7 u L 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：

& b% m8 g s4 O2 z, G9 g

<?php

: V1 F( C4 Q8 z) F. }

    function is_allow() {

# ~" O, J" @1 w9 }* s6 j( J9 J/ l

        if(!$this->fileformat) return false; 7 U7 n# c. B7 H6 D

        if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;

        if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; " x+ c& m9 m' X! P$ I* K

- X# P9 j) E9 A8 M

3 j5 x x; k7 X         return true;

( p) J" R# y8 q% v3 Y

' w' a7 O8 }3 z1 ^8 d3 `     } ; K! B% }6 K$ g4 I( r: }# [9 n* K

& h5 q) e& c' l) U% E2 U" u9 g; }# t

可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。

' G N2 ^) Q- J" M4 B/ i

接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 5 W5 a: P) V, B9 z3 B- w

; W& k7 L% G. ]9 y: I$ e

5 e5 O: u! v0 Z) b 漏洞利用

" W+ c, M; q0 M: e- i* A 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 % F1 k3 B: G( u. K

5 f8 R/ r# E7 s1 a- _+ A

7 U1 z( H- A3 D  

然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid * {6 }' S7 l: O% ?5 D& w: n

7 p; d( i( {$ o( p( A$ w. m

不过实际利用上会有一定的限制。 7 z! W. ^- _1 ~! ]# z! Y& U* d' p

第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 + |4 O$ \9 ]" ]4 R1 P* ?

* ?6 v! p, ^4 Q4 o7 g( w

% R% B: ]" N5 U1 N% ?1 H3 j   # e0 k. V9 K3 J: p

第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：

( i+ m- D5 A( s& H V9 F 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... ( F% r, M& m; B8 [% S5 a

* a2 Y V2 h* e3 U, @+ T

因此要利用成功就需要条件竞争了。

补丁分析

7 u: c! \, G W0 o! }* s   2 {7 G( B% X3 X7 S" K4 L. u& C

在upload的一开始，就进行一次后缀名的检查。其中is_image如下：

7 a( t2 }& Y4 [' ?+ s0 [1 g

, e M4 G: ]0 d& }" ^6 x% x function is_image($file) {    return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} ) b! W \6 ?5 E

  - k7 s7 R; R. g- i

在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。

% c0 r; v5 K Q- ~$ @

在is_allow()中增加对$this->savename的二次检查。

/ ~, N( z0 n* q) D% ^0 k

, B- Q2 E4 D+ k9 q0 L4 J3 u 最后 . J/ f0 y# V5 l; e# ?: J S: {

嘛，祝各位大师傅中秋快乐！

4 R( f& C; W) M X9 F

  # ^ b& {1 Q; D% O! X# n m

0 f4 B$ Z, M) T