Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

6 {/ x& R* d( \0 J6 ]% b4 l8 f1 R

- ^7 J) `( P: M. L w* i 前言# t% n- g1 o( W% F. R9 Y

4 {5 a( s' W! t4 F 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。& Q; V9 C2 O- o

0 V" W. S4 p* P( L$ M9 D( G 8 ]5 g$ T3 r' Z) `1 _

: X- Q* L0 n4 J! B) i2 Y- ` 漏洞分析 1 _6 H9 i; @' `& ]

0 ]. \# E* V j$ L 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下： 2 \4 x( y% X N/ g8 z' l/ F2 G

- B5 A+ V2 M4 N' z4 _2 {* R* G 8 f! W; c& ]1 b9 q

7 G; o& f/ `; f- }# T4 q' ~ 对应着avatar.inc.php代码如下：! d5 z/ E+ N/ ?' G/ I; w- `! O! Q+ u) a

' a1 B; D* ~# _+ y* s: ^0 f <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { ) t4 a' `' b* L7 A( N, W

% m1 h! O; G. L& Q e: U case 'upload':9 }2 O9 s* h2 a/ s9 D9 u9 y

6 N1 J6 t) s1 T" n" L' U if(!$_FILES['file']['size']) {1 i# i( ~) w1 @/ k

9 z% p4 ~/ `7 ]- X) W if($DT_PC) dheader('?action=html&reload='.$DT_TIME); . I+ N, x [2 w: m

" n, f1 W/ E9 w0 ^0 ^ exit('{"error":1,"message":"Error FILE"}'); ' S" \; W: b( }; c

& X! Z8 C! T6 |* N' r }; V: V2 p) \# s1 r. }& h* J

8 Y0 @- N- s2 J3 s require DT_ROOT.'/include/upload.class.php';. G, P4 e! c0 R- ]0 O5 u& ]/ c. B9 @

2 S, O1 L1 J7 R' Q6 r! T% Z: N 1 k7 z9 S* ^3 p6 ^ V& q$ s; c0 H

' m) R: t0 K, g: X6 C $ext = file_ext($_FILES['file']['name']); & O) @+ P; \- G+ t! v( h: p

, z5 {4 ~% t) J: V0 V' l $name = 'avatar'.$_userid.'.'.$ext; & z! j3 v, S4 x* h' n

( y( m) P$ |" h( y, J$ d; ^, Y $file = DT_ROOT.'/file/temp/'.$name;' U2 w' N; r8 _7 P. ]0 v0 ^

# d) l$ N) E J( _7 }/ J % L$ _) ]0 L' y

! {9 }% o5 Y+ T/ J& {' k$ p if(is_file($file)) file_del($file);2 ?/ ^7 h$ Y9 G* ?- \

! J5 V* T4 \ u+ \' v; L $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); - e) }+ t1 G5 a! o# S

, i+ b8 c) Q6 C! g8 d: f 0 t7 k. G% l' k- ]$ u6 f

% d7 G/ z2 \+ j; M $upload->adduserid = false;# H. A; w4 B$ L/ ^$ n1 C

9 r$ }' u* W" E5 j" W; m1 W% {7 h 0 t% F, d" W3 S# P% e" U+ E# g+ @

2 x* o* A5 @4 r, h' W& f if($upload->save()) { 9 W& V; {+ r [7 P+ x0 ^7 j% I6 a0 g

8 S' H% G# C$ e) ?: l3 g ..., \% O( }/ s$ s9 F7 n2 o: G. l

/ \% X$ T3 h# z+ N# B, H3 N6 U; y' a } else { ' ^' k, T- [( {2 h$ m

* v& }/ ]% i, E8 p2 I- ` ...# v8 v" P: O3 n a

$ w, d/ C {0 u1 ] }" w( L2 c. N0 _8 F3 P( p8 U

5 I9 F0 j5 K7 x* g' f: x break; ( V# J# E' h3 c! Z9 o3 V# I) o7 i

2 T; y" P) p+ ^: F: O5 P& R7 }- X 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。/ b) j/ R* W5 A7 T* I4 ~" f2 z

& u$ l2 z0 N6 _3 O% ]. | upload对象构造函数如下，include/upload.class.php:25： $ D5 M9 H' Y. D

& I8 l0 {' h' B5 y <?phpclass upload {! H M0 \% {2 E1 {8 |0 t! g

, g" A( X3 ]% O/ z: @1 C function __construct($_file, $savepath, $savename = '', $fileformat = '') {. L; ]! k# \8 H/ G9 y$ W* D2 |7 G9 f! F

+ v2 g& _3 S" {% X2 [$ u' M global $DT, $_userid; 4 N! h" S6 w( |9 r

9 o# n9 m" B* m6 O( ]! [0 l foreach($_file as $file) { / E/ b6 x: p6 n* f6 i m- n s3 L9 `

) d- O$ g( C8 P9 } $this->file = $file['tmp_name']; + w6 K+ ? \' ]/ ]. _

9 k. o* A' K2 Y; v $this->file_name = $file['name']; ( s; O/ K) N5 d& t5 A

3 w$ G" w7 ]! @: C3 o2 t# W $this->file_size = $file['size'];& ~9 }% U. T/ z- Z) V- i

1 n, m& x7 y& H/ { [3 M $this->file_type = $file['type'];4 j& A1 R' J: ^2 v/ T% h g4 N

1 g1 Z% W" F+ I. V5 n: N5 n $this->file_error = $file['error'];9 y' [* l. F" s( k2 @/ |

m/ i/ G/ ^6 B3 e; p & E% b" U- F/ {

+ N6 F- b+ s9 C3 | }) F6 F& ~+ S$ ^. x& B2 C$ f! ~

2 Q% }4 K" J+ u $this->userid = $_userid;

7 V" J4 _4 [$ T2 c, ~ $this->ext = file_ext($this->file_name);6 p# w4 P7 @7 U6 S0 ~6 e

# G! C, I0 v* u; ]7 {) n: L9 P' _ $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];: v1 J0 K& H; u, s# g: r

, _* h; t/ F# e s $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; F! K* h. C( ~& R, }! w/ W

- R \( W8 E4 J3 \1 ] $this->savepath = $savepath;, T# z$ p; c: l# U$ B% X; C# Y$ |

" Q, d1 a* e2 _! Q: t9 N' [ $this->savename = $savename; * Y; i" q2 i" t' S g n

& z4 G# L/ P9 q6 M2 f5 ? }}6 d+ v6 [/ F# C& @

1 g) N2 X( h2 L 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 4 y% ^2 {6 ?: F8 ?+ _, `

, W" x! T9 G* Y& T" K9 \8 Q; C$ P5 T 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 : S$ s. N# k. \& h6 u

p& W6 I, Y1 K' t6 D4 A) v' t' s. t: b $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php - N8 f8 b& E1 o Q' L0 N8 v% ^, P

8 _# s4 ?- R1 L* B: O& v$ W 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： : M8 t( Z7 i! C

5 m0 ]$ K! k4 T$ U+ I 7 U; {3 R0 x4 _7 K! X

" `: ~; j3 a/ E 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:: g6 r# s& b1 N; [

; a9 `$ J3 E/ d) n/ k; E <?phpclass upload { 7 b8 b8 _2 i! ]& P

7 Y$ [0 V2 F) d i function save() { ' J9 \. m) w: {- R

1 y1 f2 @% z Q6 F include load('include.lang'); t. N' _* G! b5 S

+ [4 F* Z+ _' O/ [/ ~' u4 M; t if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');' M# c* k. W$ W4 z' ?3 ~0 [: w. V% W$ m

) K' v" _# ^& N' L! j % R O2 Q& F& ?3 F3 w( ~

' }' E/ }/ `4 m- B7 _6 ^; \ if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); p. V. M+ p5 g3 m6 [+ T5 Z' x

1 H# C, f& x9 U& h: q& @ * o2 L0 q; Y0 ?2 C, Z

: ]8 k) k8 B$ t( A6 p if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);$ f1 j# L( m8 c1 j

* @3 a' j$ L k" w- Q/ | & P- i* e7 y5 M# @+ `4 c6 m

2 E4 y6 q: A" e6 ?. P' ` $this->set_savepath($this->savepath);% ~; e; g! a2 N7 }1 v/ T

h5 m( u" n: t; k! _ $this->set_savename($this->savename);8 t7 @2 F; m0 w5 ]. i

& ?! a% Q$ v% E& M 0 B' V& z$ @. K' i9 p- J

# ~. ^: C- H* u& A if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);3 y+ M% S' ^1 F5 Q0 v" _) Z3 b

) P2 ^) Y: e) o4 Z, a5 g8 B' ] if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); . i3 f2 W, j6 e& r, q1 O/ [1 l) X& N

/ F. o, D# y% m if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); 6 n) _# U4 f/ l+ K4 I v8 y- U

2 S: S, k& t z1 S ( W. p$ |0 A8 ^8 p

0 {, f: f% Z6 Z" e $this->image = $this->is_image(); % j4 o1 M0 T" E% i' q

" @ K- E2 z# G( I% n: l if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); 2 D! ?" T, S# j" p, |" }

% w1 X0 z9 y% P" X0 B return true;% s/ c4 P' N) Y0 b. p o* j

& |# M! G( i' S' I }} 9 |6 H5 J6 O- Q7 H

' t' n8 k% ?1 B s( u9 `4 K [0 n 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： $ v8 _5 J! d7 c

+ h, X9 N6 c. F <?php 2 v" ^! M# _/ `* \7 W5 I

2 I: a: z; d$ @& @0 V! ]- o- \ function is_allow() {! Z7 z0 b+ ~- B8 S

]1 ^1 _, J. }9 m/ I# D# y if(!$this->fileformat) return false;5 G, ^( @$ v0 ~

- L n7 J9 D: o4 @. m if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;* @, ]' [! p0 f6 d# H$ ]. L

. Z! T( d3 m+ @" j" ^ if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false;4 X' d2 T* W; J5 o) N4 L

% q6 w9 z8 B5 E; z, {9 U return true; ' j% Y7 M7 B+ h& C) D

: m2 c: u* a0 X }/ ]* _/ U, X2 z. D9 b7 H

- ~, n: l/ Y: j7 A 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。1 c+ V$ f+ s% ~/ A' S! r

2 R+ O0 u! h, z! w! b 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。- h: W, d D3 k/ F9 ~5 ?8 R

3 I( H* v: m" T, j5 I 漏洞利用 , l$ Z# T, U' p& R4 q

$ s3 x8 C) R! K0 X" I, | 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 , T$ |, |0 U0 u! n: T: L5 L, _

+ V+ n! H# U2 Q7 @ K) R$ Z' b, ^4 F" s/ G

: I: z* A8 h' u: u 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid8 {. p9 H+ f P- |

i( Y$ l' j7 }; G+ G/ ]0 D 不过实际利用上会有一定的限制。 ' e4 \; ]' h- G3 L4 G1 B! R

4 T- n) N! O% S4 l 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 , o9 }8 v& W& s7 a& P- O7 z

% m1 L n3 h+ C. Y% a" l 9 g/ N+ J. x/ x

: v3 [& @. ~& |1 n( o 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： , G( u0 [ z3 N& g

$ C$ S6 S( o. I4 q: t: u 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... ( X, _! }3 d f- s" l

9 ^4 P. w$ }. P7 i* Q0 q% \- @ 因此要利用成功就需要条件竞争了。5 t! H0 ?( H- f+ y6 b- I- m

8 r; H* ~' h8 ]8 E) w0 Q8 a 补丁分析 ( {/ k. X: K7 {1 X' b: ^( k

' g% |2 }+ F6 W # w: }4 K9 l" A/ a; S* k% M/ |

3 k ^& |' I/ O' }% f* |$ [7 Z 在upload的一开始，就进行一次后缀名的检查。其中is_image如下： 5 W1 Z& z( g% L$ }4 b, I

; M# _1 v4 S1 {2 q function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} ! C+ C; b3 k# a- L0 {

/ J. N9 s O5 I. o0 O+ t/ n) J$ t . N4 l0 I _9 @& E; j

: `! n/ Y% g. _, l' u3 `! V- g 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 : Y5 ^/ T9 D! e4 y- ^9 ?4 W$ [

0 U$ D7 S, e2 ?1 e. y( D! l0 X% i8 _ D 在is_allow()中增加对$this->savename的二次检查。! q) X/ G/ q G8 {4 ~3 b" Q

K3 w* |( e( k8 I T/ Q! T 最后 3 H7 H% j% s& I3 W9 _ Q/ S& h

: R% E2 k7 P* f6 c( \. I 嘛，祝各位大师傅中秋快乐！& e& X; @& K) J7 ?, r) G; M( `

$ ^' C4 h }' u2 E W: i" r + i0 g+ y# [- w( @: p5 y- }

		自动登录	找回密码
密码			立即注册