Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

( P( P6 a* F7 f2 {

1 Z1 | t2 d- t# s) b 前言 " i8 w) |5 e- M

6 i3 l4 W- P1 z$ y7 F- ]* n 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 C: i+ F( _/ t$ T/ q5 s

* h/ x# i; ]* y' M) m9 \ h: i1 Q" r0 j4 q R1 X1 `# l

$ j) ?4 ~) N7 c1 k+ w, C! ]$ @8 _ 漏洞分析* x' G) e ^) G, F5 E

. a# z& N1 A! T8 r: G 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：. X/ S6 D6 h2 R

) C; c' T) K, v! U' ^ - y+ }" r# N# r) _: y

- ]6 J- W: K% o; U7 T 对应着avatar.inc.php代码如下： o5 A# T8 O" s* s1 N2 `+ ~

/ F& Z$ p2 X9 y" t <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {8 ` I3 I, U7 M6 u, b; Q+ ^7 u1 C% P

# T! X9 J1 [' K! N case 'upload': - ]$ s! }$ ?4 _3 Z! j

+ c4 |* m$ \5 s5 M. }# ] if(!$_FILES['file']['size']) {6 K* _8 l+ }2 x/ I# v0 f

9 h) M( ~7 E1 G0 t, f if($DT_PC) dheader('?action=html&reload='.$DT_TIME); ! B0 \0 `- R6 s

- R: E! V5 t+ \6 z# { exit('{"error":1,"message":"Error FILE"}'); / ]; J. S7 y. h" s8 C: t* `2 Y: C

. E8 f+ O( x* N; g, @4 t( ^' q } ; ^3 ^1 _% @7 C

8 ~ ?8 ^2 O4 F+ o4 [# K$ G require DT_ROOT.'/include/upload.class.php'; 1 ~/ U+ ^& w. C# n4 w

5 u0 d# Z+ q, Z8 C$ J 6 @4 u5 H! l* N* k: p4 a% ^

4 H/ ?! O1 ]6 _$ ]& N% k$ \ $ext = file_ext($_FILES['file']['name']); ; Y$ @# `# u! b6 z7 E0 n

- h- Z; [" `+ X9 c2 p3 { $name = 'avatar'.$_userid.'.'.$ext; " f. r( E$ V3 @% N% H. L

' n1 g0 o# e6 x; h4 d8 N $file = DT_ROOT.'/file/temp/'.$name;) h# a; `6 j1 K4 a( v e# o

6 Q$ z7 Q5 r, x% w) j ' p* D! K7 I- {) p8 M+ N

: Q# ?! I$ j% L if(is_file($file)) file_del($file);; W5 ~; X" @2 R* Y# L

: b" C2 Y3 z: E8 f" k $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); ! M. V% u D4 I7 D

9 e0 E) N, E2 O. z# z$ G / x, t* {: M3 D

: j8 z% F3 R( L% w T! y: A- E h $upload->adduserid = false;: j: Z/ S+ s5 U6 {9 H

# V$ l* B: Y& I 9 ?2 L% |0 b0 e2 q& I* }& F

$ t+ t$ e7 ?$ L if($upload->save()) { / k2 _3 w, N& w( J% H } | D

+ `" D' s, ?7 T) m( f0 A, \& N ... 8 T& E& v6 l h" g$ c" `6 e; X8 k

' g; O, Y* E9 I# F } else {1 Z! o6 G& q- e- q

% `4 |% \! Y* g# n: e5 i5 Z ...+ V, E5 X3 t% E/ x( z

4 f7 H, U$ E- @2 B0 j, V } 5 o, d; Z. L1 ^' g2 \+ Z& W

4 d( M* H5 N/ p break;% C3 l* x' `' s) E

& J9 {! k5 A) L6 F6 j 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。, d% \: Q3 c( A& K3 E9 J% r

8 Z: W- j, t2 w: ]: N% B upload对象构造函数如下，include/upload.class.php:25： ! m& o# x; L/ T; n, {4 K& L

W+ s$ N' F7 @- {, n1 h4 _+ y <?phpclass upload { ; Z2 |5 J% l8 s4 o4 _' W

7 x; w5 K$ i+ w7 { function __construct($_file, $savepath, $savename = '', $fileformat = '') { , {8 N- \# |& i8 F

' K |- |- u) b1 C# ^ global $DT, $_userid; g# K: I1 [3 I( p6 u$ ]

C x3 h$ }) N$ b( i6 g% z# g) o foreach($_file as $file) { 3 g- }8 d* U3 q5 ?% t

: ~$ N2 j; E5 S! J7 D $this->file = $file['tmp_name']; 5 z' H) A J/ b5 K

5 D9 ~8 a% Q: l $this->file_name = $file['name']; & z+ o& U% ~7 c1 o

# C* s; Y. q, V6 i3 k7 a4 M7 j $this->file_size = $file['size']; / Y1 X4 e2 f; B* x

" q* e% R C, h; Q $this->file_type = $file['type']; ) r2 _: U2 F) R% {" i, u5 P

8 Q) [$ {; a* p3 A. m8 P $this->file_error = $file['error']; W+ p, U8 d Y

) [; [2 L- j T* y 8 t- L0 r8 {! Q! \/ p

# [- R* E. e7 G- [2 x } 4 N! U3 X8 j3 R& D/ U6 h

6 V7 i5 T2 ~, L0 X. y% _ $this->userid = $_userid; & j& L4 e4 Y) K K5 _# j* ^2 o) x

- O, x, m+ j) y. _, X+ R2 H8 ~ $this->ext = file_ext($this->file_name);" i- j: o/ j4 \) h& w

; w% G% L7 r% O4 z4 z $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];/ K9 P6 y4 b' a" M7 X( b9 ?

4 @& I* @! _- o, V $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;* ]* A F+ R, }5 L1 m- j

$ x5 R) {: _0 V/ E" A, s8 P" \ $this->savepath = $savepath; : A Q/ {& o/ P0 h& J

; n5 g/ P! h5 Y3 T4 K/ o: N4 @ $this->savename = $savename;; P! L# F" `' p( Z( P6 H& ~

* Q/ m/ B& K0 l5 |& A }}0 L6 l# n. r* p0 }2 J/ y# U

: H6 L+ m" p5 H 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 , w/ p& u0 x6 ?( \6 Q4 j

; R( c0 }) ^: a. H0 w 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 2 [, j0 G) H( k$ o6 d2 w) c

! |+ |9 D! D. V' A$ R$ p$ X $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php( R$ S5 M# C3 e. z+ n

2 s2 _: M6 D w+ l* p/ z! d 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：6 w* n9 b ?8 m& D% f* R, @

, y8 S. n5 Y* ^# b( Z 3 c* D: i" H3 d1 g4 e3 E0 R2 K) u

3 K: J; k0 E* D7 b" s 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: ! J1 |3 @: A6 W# Q2 @3 U5 b

" ]' c6 u7 I7 ]( o% d f <?phpclass upload { / ]& F: @" |" l$ `9 U/ r! a0 A

$ ?: O& U% N8 D/ @6 s" I* b/ J0 e4 o function save() { " X9 Y( h; c) n+ O3 s( J

! S7 @8 ^' K0 K1 K include load('include.lang'); ( b* L% u, \; K( }4 Z4 O m

: L+ R6 p5 x; {% v e D% x6 @0 S. ^ if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');- J9 F7 e; z2 R# \# [2 _

7 |/ m5 o1 A5 s, ^6 A" x+ Y# [ 2 w; B7 h% O- P+ x j4 U

- Q( `9 ^, {# _+ U if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)');3 L7 ~; A# p5 A5 D& u w

4 D9 o' i% o% l+ M, V+ ^ + \4 D0 H' v$ {

. r V1 R# [9 | g if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);/ N" C4 b# V# `% o4 f+ H% T- W2 W

, R+ ]* z1 e, _" f6 y* e5 P! t e3 J% P : Q0 E/ h2 j% U

0 C, L; B8 k% o $this->set_savepath($this->savepath); 2 J- ~+ |# d- X

6 l. U2 a V8 K5 G $this->set_savename($this->savename); " ]+ j* ]" z+ }* U3 w; B8 ]

. X5 F7 |! k( [% @ + l! i( x* e T/ z! O: ~. ^

; W4 W! a* `# T+ [ if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']); 5 N# T5 e& D. R( Z' r4 Y! C

) \/ L* ?+ Y* l- E: ]5 q5 L) {! o if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);' W9 u7 b6 r, D

* L' g0 [( M' F! ] if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']);* V% s$ E3 {$ @- f1 h

^; Y% O% a9 } F & F* B0 m9 N* l8 [) M1 w

+ [/ u8 p$ w' j3 i: l- W; `9 D; e6 a $this->image = $this->is_image(); ; w: ^2 q0 q5 J6 }+ R

. b4 y& k. n _5 T if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); , ^6 [! j+ n& [. U; I0 r

1 g8 m) e3 q. t. s' \ return true; 9 I, V# x: F; | Y Z

8 Z/ ]9 g6 _( a8 ?! j/ W }} ) O' E" Y6 q6 c

( H2 D( B8 W% K 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：0 m% y k. H! o C3 ~

& ^: W0 P6 U- \1 I) x$ z/ S2 v <?php 1 N, z2 G1 o% C4 i

& ^& u7 Z# L6 S1 M( i+ \ function is_allow() { 1 `, b& J, ]& W8 e* i' U+ q8 b$ k

, ~1 `/ K2 \5 I3 D5 w, x if(!$this->fileformat) return false; $ v$ N/ {; x" z7 \6 N; R

! y$ w1 F8 u) j if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;: H+ }7 b! `% G2 U2 h

+ |( L( i/ ?: x& u% ~ if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; 0 N, d, H( x8 ^6 R

! N3 H+ w s. L return true;& m1 A$ C& N$ Z7 r, v

3 e" T+ t; s; l/ P5 `+ l/ n }& j: ]! ~0 g# @( q: J; h% Y* m7 k* z

3 D- @ L z$ a$ h2 p( E% Q7 h' E 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。( b5 q" L/ s2 C+ f3 C$ A% M% P

1 U2 ]. y; W3 t0 R% F. a4 s 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 4 t Y4 c8 C/ C2 O# |6 r4 Y5 F9 k

- g. \ A$ B/ k0 k A 漏洞利用4 _. f5 C" q& c7 T; {

% v& h" Z, [; l% Q& r' P7 E 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 : N. g5 W* c" I7 G/ Q

: X( \9 _! j( w6 q ( w9 y$ J0 _8 R- [

) ~ c# w% d& \7 ` 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid ( y) M* N0 W) L5 L" _3 S; K

& y( N+ c0 o: _: M9 a2 ` 不过实际利用上会有一定的限制。 , N/ x8 C7 V( N' g2 v

, M+ I" j5 f8 ^) N+ U 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。. V$ a6 K8 m7 n$ Q; l

' T$ u! M z& m6 W # Y3 C( B0 v3 W- i9 p! s* d

4 y' }9 N2 K3 `; O) |) S- N3 }' T! D 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： h. o3 A g* K5 m; S

/ X) b, ~" z3 m9 j* e7 J! T. X 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... % ~9 h7 K/ I3 r t6 z8 N; x3 Z

% I: G8 C( F, [% n4 U* C l 因此要利用成功就需要条件竞争了。 7 V! i' f& f8 E: I. H

, _5 [2 j0 x0 g% f9 E 补丁分析, w) v2 G# N6 t9 r3 x& c

4 _4 M0 L! K, h9 G , |# _) e( U3 \. K6 a! }1 d$ @# l

3 r5 L4 Y. N$ a+ m1 g6 h7 H% {) ?/ s 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：, k9 J; w1 O. w; s$ U

4 z2 {0 y6 z7 n1 ?: P9 G( l function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}) _* Y/ e: p: H! O( U4 x

6 X5 ^5 O# t0 @7 o( E; v ( v% u: k" R, |2 _4 C6 o

% W% F! L* P, {' q 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 . a6 g- l" q, D: a4 c. s7 s9 _. ~/ [. P

$ S3 ]4 `; a6 @ n 在is_allow()中增加对$this->savename的二次检查。 $ W0 d4 g) J$ j3 b

) e3 `# Y8 @+ W4 u7 F& S 最后 % Q1 `* r9 O' R' u U+ d

# Z) X; b9 t5 }& ?7 b4 h 嘛，祝各位大师傅中秋快乐！: t$ d& u+ s+ x' l/ c/ J

z9 d; r) m: s6 `8 S1 j - f6 L1 I, N8 E) A2 n% @2 S

		自动登录	找回密码
密码			立即注册