ThinkSNS 2.8任意文件上传漏洞及修复

admin

  微博上传图片时只在前端进行验证, 服务器端没有进行安全过滤。
$ B0 h* f7 t! r3 c; V8 @1 K

- i6 n) d0 [0 r: e\api\StatusesApi.class.php
+ [$ Z$ {, K0 @0 h
9 v: L  |* z+ ]+ k. sfunction uploadpic(){
      if( $_FILES['pic'] ){
     //执行上传操作
( x  y$ J: l- b9 u     $savePath =  $this->_getSaveTempPath();
6 A! b7 v: E" Y6 r& t     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
: Y  C. ~" G* M4 K    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
+ U* `& w) g# z" c       {
        $result['boolen']    = 1;
        $result['type_data'] = 'temp/'.$filename;
        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
! b; Y3 C* ~( u+ V5 ]2 I8 M       } else {
2 X# |) @4 I2 `        $result['boolen']    = 0;
        $result['message']   = '上传失败';
# |! j5 G6 B( I+ X1 r, B( L       }
+ p0 f7 L1 b! b     }else{
) R5 z: V6 J, v8 D* W, ?         $result['boolen']    = 0;
         $result['message']   = '上传失败';
     }
; C6 g" M7 h, z5 areturn $result;
    }
unloadpic()方法没有对文件类型进行验证

' U' d# F5 b& y可以构建表单, 选择任意文件, 提交到
5 t+ o4 d2 ?# |  L) q/index.php?app=w3g&mod=Index&act=doPost

* k3 ^  {5 {% |4 d) O在新提交的微博上可以找到上传的文件地址(去掉small_、middle_ 前缀)

; T( Q3 g+ T# _- U% [6 R
在登录thinksns官方微博后,
* V, b1 Y3 t; L% d构建以下表单:

; m; u# H; N5 H( y<form action="http://t.thinksns.com/index.php?app=w3g&mod=Index&act=doPost" method="post" enctype="multipart/form-data" />
<textarea name="content">test</textarea>
) b* Q, T8 M2 }! u2 _. bfile: <input id="file" type="file" name="pic" />
4 K$ I/ v0 j6 h. j<input type="submit" value="Post" />
  s' d3 H9 W' ~7 f; M</form>
去掉缩略图的前缀(small_ )
​修复方案：


\api\StatusesApi.class.php
# ^! Q( W( }: [$ i- P
function uploadpic(){
, M1 _- I7 E- \6 z     /**
      * 20121018 @yelo
      * 增加上传类型验证
      */
     $pathinfo = pathinfo($_FILES['pic']['name']);
* t0 K7 }" o- M+ Y0 D/ U     $ext = $pathinfo['extension'];
) ~! g- W6 Z- j' K $allowExts = array('jpg', 'png', 'gif', 'jpeg');
( g' K1 @- P! E3 h  j
     $uploadCondition = $_FILES['pic'] && in_array(strtolower($ext),$allowExts,true);

& S" \, U3 B3 o; m& Z     if( $uploadCondition ){
     //执行上传操作
     $savePath =  $this->_getSaveTempPath();
     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
; M/ F( a8 ^. w% |% F; X& V6 m    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
( c* X. O+ ^, m) L1 n       {
        $result['boolen']    = 1;
6 i$ o3 B9 M- j        $result['type_data'] = 'temp/'.$filename;
4 T' e' d, |$ u' ]        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
$ b" r, B8 Q4 N3 q       } else {
& D2 F, A$ Z& @& g& J# D        $result['boolen']    = 0;
5 d2 n7 i. I9 ?' A- ~7 z        $result['message']   = '上传失败';
& a3 M- U+ M* F& u/ y       }
- ^4 P- O1 U5 `& Y* i) G     }else{
8 v7 H/ F5 C0 y: b9 G         $result['boolen']    = 0;
5 g4 b( J3 x7 ?6 P  x         $result['message']   = '上传失败';
: M$ u$ N/ Z( ]     }
5 R4 ^8 m3 X  P5 J4 zreturn $result;
    }
​

7 \  R+ h$ n- e6 e2 b