Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

' V$ R* q5 `) P& S% G |( J' P

4 k$ A) n9 B7 ` 前言 8 R7 ?6 G% ]. m" n ^7 ]/ Z

# U) {# _8 }) K: C4 h 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 % g- }" ]4 d( a, W9 M+ e% g+ G

3 M3 z1 [# c: x2 w- } + V% _: n/ a! p `+ \

5 N$ B3 p) h9 g1 N5 r 漏洞分析 1 |1 o7 T9 l5 Z }8 k7 i( Z

3 s! \+ o Y7 ]0 s( r 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：

i1 U7 ^! L M3 P " g$ K& `) V$ o; M' z3 o

1 R' E" }, ^! _; ^- q2 b 对应着avatar.inc.php代码如下： , p) |9 ]3 E- h; |0 L# x0 l

' C& @) F6 C$ Z' n7 f <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { v% z+ `( @( W& o2 W

# W6 S4 G3 {3 s* Z6 B. v case 'upload':* _- ]# t' G. C Y6 L, m% z

4 y2 K, O2 I; ?' _2 X( W if(!$_FILES['file']['size']) {* V+ w: \$ u s4 u& d$ {' ~2 d

3 l/ ?2 Z/ B+ z if($DT_PC) dheader('?action=html&reload='.$DT_TIME); " U7 y. p" M: P. u

1 S" B( T% T; `; @ exit('{"error":1,"message":"Error FILE"}'); ' {3 C- D! P6 V; B7 D

4 \1 r0 p! I- w+ q }) n7 r0 ^* S3 h7 F# z2 l7 q

& p- D6 ?9 S& N6 y) @, J require DT_ROOT.'/include/upload.class.php'; 0 Y% k2 Y% h! a- ?& W' N3 ^+ T

4 b! F' d) X5 k5 k0 h1 l6 d( q ) B* e9 y& q9 x! V+ q

6 A0 t; u$ a/ B# s" G9 E $ext = file_ext($_FILES['file']['name']);( W4 L% D! \+ p+ d* g2 m/ K0 z

: C4 Q7 `8 r9 A& a7 S# ? $name = 'avatar'.$_userid.'.'.$ext;7 ?4 y2 X5 ~3 I4 f

6 `6 Y; d R. b9 e $file = DT_ROOT.'/file/temp/'.$name; 8 h# k& N: V) q! |4 G

* b: P$ I s. R& z * T) K# d" |: z- x

5 X+ D+ L" ^3 a/ ` if(is_file($file)) file_del($file); ?/ q, `$ C! c

% w& @# t4 W( k6 M $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');2 g$ b: r8 d+ }; n& X

* B- @8 `6 X& I/ J: m" W2 Y$ X, B ) `' a! A! D+ I+ g8 Y

# C7 j0 S# m; ?3 Z, A( J( t+ M4 i9 r $upload->adduserid = false; / S) |- b7 x: R1 x, a4 S

/ u5 _0 K% _' k+ t ( G2 H& d- B1 [9 q" y" x

6 z" U0 N0 W& y1 u/ T if($upload->save()) {2 H; l( P9 R! m2 n8 ?

0 \% W& o! x1 d- n/ A6 R# P ... 9 n8 b! y4 E7 F. z

* w2 I3 T6 p9 J- _ } else {2 ~+ I& h4 r+ Y

) M& x/ g% x7 `: _$ z' m ... $ H: c. s {* h2 p, s) a

, \7 Z* [/ c; V. F, r( r0 D9 s }: N7 o! s$ H) z3 V% A0 D

+ W/ x5 s% Q( N( m break; 2 q, w) }: D: X4 V, f$ D

8 x- R6 G- \' r- i' x4 C 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 3 v% e) G) k! ]) {' [9 Q! k1 {9 |

1 z/ [; \" a" g; ^ upload对象构造函数如下，include/upload.class.php:25：( _+ X" n4 ]& n

9 v- j& G' m- `0 D4 W: O <?phpclass upload {" H" {! X' d) W# H: s7 O

$ m! ~1 C9 e5 @ function __construct($_file, $savepath, $savename = '', $fileformat = '') { % P- Q4 E7 r8 y4 ^3 U/ X5 ]

4 _- S/ ~) n) l" G6 O. ^, i, W global $DT, $_userid;! W* J- d- M) T0 }

" q$ b5 Q. o7 w$ E foreach($_file as $file) { ; ]/ G3 B, N z9 x. c

7 k6 j) T1 T+ u! W6 @. | $this->file = $file['tmp_name'];/ U% W& T6 E) w" l9 p: ~0 q1 b

/ P5 b3 d* V" a" l $this->file_name = $file['name'];# w, {, _1 s8 m

6 Q6 k8 v3 c- S! ]2 n& b6 F5 Q $this->file_size = $file['size'];- O4 A: I; k; l- O" x- [

/ I9 H N' U( n0 T $this->file_type = $file['type'];- m& ~( o8 O- s. b; s8 ^5 a5 A

" W! j2 y$ J& u/ m2 x5 y/ t $this->file_error = $file['error']; 3 K3 k) D) H# r3 t, f

- Q. p8 J1 X4 q) t% | + E3 B; }; C; E

/ u9 l! M) Z! x7 Q }0 ^! G# A; x) B7 L& X

`7 q( S2 x! }6 q* q1 i $this->userid = $_userid;4 C! @# ^' ~% q, m4 T

! ^9 J6 {" \- v1 O H! @ $this->ext = file_ext($this->file_name);; `7 R6 h2 ]: V

( m$ ^, [4 F% D' U# J $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];* v' F9 E4 S. `3 ]# _+ _

7 A* |( R3 \& q" T. s' q $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; 5 H8 V- F+ W$ [. P3 ~

k$ M! \5 Z9 Z" T' ~# V9 t$ Y* Z $this->savepath = $savepath; * r. W% t! y" l# N9 ^1 o, ?0 i

. L% I4 C( Z$ _% n $this->savename = $savename;# w7 a7 r/ V, F

1 a" L6 X- j u1 B% e' E. G4 m }}5 J9 l( y8 f/ _7 L I/ U

3 ~; q6 ~: q6 N* z2 @" V9 t' H# H 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。( B8 G" x# @- g, v

! q) S2 Q! A( Q7 i2 j7 K 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 / b$ ^$ u) ~$ G; t" i

9 ]: q1 S. d+ r+ [0 G7 p $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php $ R0 Q, W: z. d- L$ ]+ x; a

/ }2 x* k- x9 b- K8 q+ b0 }1 N 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： : B- x) m3 Z# Z# j2 J, e7 P9 e

& p% Y p% V6 k# }6 s3 F1 ]8 i 6 _+ [$ S3 V% @6 n: `

0 P9 ?( [$ T' q5 |9 G+ E! A/ U 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:1 [" Z2 g8 J0 o3 W7 T# c

" S# W; K9 P/ w- v/ M5 r2 G <?phpclass upload { ( L9 Y& R3 o2 _) w' }* C3 G# w! v

) f, C9 _4 R! w! ? function save() { }" @: T2 P8 W- W8 p

- O8 L5 v$ r, ~ include load('include.lang'); ! [' D% B8 v, ~9 A( C$ w+ a

$ U# l7 P( N) {. X" W! w0 _9 Q8 i if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); 8 a1 Y5 j: _, m% D9 s

# x, E9 Z2 E( n/ C/ ]7 j" ]% [ / `* C! R4 }! ^8 b. u, o: e+ o

4 l( _2 B$ u1 L if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); 5 [, F' W# J Q1 Y, M+ s: D

5 Y( h6 `! |' ] 3 Y+ T8 }) a6 w% }+ D

L7 N, E# R h: d5 { if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);1 R: m4 e1 g. Y0 Y& c& ^' q) K

. W9 D6 X2 i4 u6 u' k3 d # B* s2 m: G" Q$ [/ i+ L/ i

9 y% L2 |1 J2 _7 s $this->set_savepath($this->savepath);2 w" @7 X/ a' P! z

# v3 {3 h5 g0 S $this->set_savename($this->savename);5 c# F8 E* ]) W. h& K

s0 T# z. {" ?3 s - `; [. n+ C- K$ p' ?+ ^9 q# b* C5 e

, s6 C& k! z8 @, F; f' s1 o" |1 U+ O if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']); % j6 v0 q) n7 L8 |: e9 w. p5 A8 G

: ?& S1 O4 u4 [: A; h/ i if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); F' n' N9 s- a8 O+ B: K7 |0 E

+ k+ ~2 k; K+ z if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']);! z: J1 j+ x0 \1 m7 |

7 _3 t; m3 K; }. W# |5 w& e- h " L8 J9 r0 ]4 \* {( ^# @1 f

( s+ I. t: |% G' @) ~" Z% V. i $this->image = $this->is_image();2 t& G3 A3 V4 U. F* D# E

! k: z$ C) d. p+ ?; n+ N; L0 b if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);! M/ Y$ ~4 j: X* o, Y

5 ]/ V& \& n& C return true; 7 W/ X" X: z2 }" m6 ?" {0 s

' u0 d; [# x1 ~; P }} y6 h# }6 k. L. d

2 q' z0 N4 e/ ~# n8 Q 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：/ Y7 P b1 F" v4 R( O( j

9 P4 k; U: ?( U <?php ; }- ?$ p% ]) @0 C) v( A6 O

2 h2 N( C& W0 L. k3 z2 @ function is_allow() {8 F4 k0 R$ T+ U/ w/ Q- H

7 v- Q* D$ `5 y! o2 ~1 @ if(!$this->fileformat) return false; & G) ^7 z( I1 Y- ~1 q

" g2 B0 ?9 S4 |2 H& a) q1 J8 z( y if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;9 b E. v, t! \

7 q, m7 n) C9 S! ] F if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; 4 ^1 i8 @0 ]7 [8 W/ d$ B

4 d- ~$ y$ y) k, ^+ D' H1 I1 S2 t return true; # t/ W, m5 L# [/ I& Q

% O6 @) T! Y- a/ ^. H; W# a" P } 1 u" r5 W; u# u& H& p' q g

) ~7 l1 ^( d1 X9 d8 \ 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。 4 V- [4 x5 f3 U4 W# w

2 V0 j( _5 f5 J( X 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。& }! M' N+ V d% |; d* X$ Q

9 T- J0 N) P- R) E/ ~9 { 漏洞利用3 _/ i% Y0 O3 x3 j: e9 K' I( `

/ m1 q6 K# O( s 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。& [& M9 \ T- \

W" N( v- y" q! U- r2 \/ k 3 @$ U4 e5 T) T; C: c

! b) M; \' k8 L1 B% `1 W) P7 M 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid + p; ^* w% ^- Y3 c* v

0 `* d. \! u/ t. H& `: K 不过实际利用上会有一定的限制。7 [* N/ e. \( p. K( P6 Q

t# b3 ^& ` W# Z2 { 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。+ {# f) w a2 G! A4 K0 {

- Y1 F; X1 M& p9 U . R' _4 Q5 Z; s7 {! V. s

' f) {, v7 J9 f0 ^% o 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：" @4 ?# u5 n% R7 e

" D7 ~% j5 O& _3 Z5 X4 }9 h; E 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...4 k3 T* |' Q7 p

- q! u) Z! ?9 y- k 因此要利用成功就需要条件竞争了。. c; M1 H3 ^" u

. f7 `3 R9 J: t7 F" d$ V. d 补丁分析 / h; T* c8 z6 K3 e

6 a" I" Q9 K1 B$ }9 d4 S7 d / _2 B+ m3 X. a$ _+ z( _6 n1 t, p2 ~- b

4 D$ y8 o3 V7 v1 M' o: D' N7 C 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：" t$ `9 _- S: C# f

7 J* ]! M/ S8 p8 J# E0 [) m function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} ( _. m F" Y3 C# N2 {# I

- `/ E/ f' M3 y. [- M7 a 0 F& M8 d! ]7 D- z h m5 `8 Q

( q$ n+ @* i% W1 X# | 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 2 u7 n8 y- L# }6 z" `, o

/ ?# D9 F6 C6 }' c- Y, m8 N9 K 在is_allow()中增加对$this->savename的二次检查。4 U2 z! \. R+ m O+ J$ L( U

0 \7 T+ F. N, K& k4 g" s 最后3 x4 n" k3 j# B7 P

. d- v1 @! J& A) O$ M8 T& H 嘛，祝各位大师傅中秋快乐！ 6 r- _( C" V) @% l, O. _

}; u7 y4 ^* z' I , s0 o/ f% P. h; M2 P( M' n

		自动登录	找回密码
密码			立即注册