中国网络渗透测试联盟

标题: ThinkSNS 2.8任意文件上传漏洞及修复 [打印本页]

---

作者: admin    时间: 2012-12-4 11:12
标题: ThinkSNS 2.8任意文件上传漏洞及修复
  微博上传图片时只在前端进行验证, 服务器端没有进行安全过滤。
1 O+ w) P1 U+ z9 D+ Z, v7 b/ b
6 R4 M5 i1 C* X& J7 S8 t: A
\api\StatusesApi.class.php
8 e- ~4 m1 m. m- @8 n' S" F
" `: ^# P$ t; C- v( Gfunction uploadpic(){
7 U; y  v' \' D1 J' r      if( $_FILES['pic'] ){
     //执行上传操作
     $savePath =  $this->_getSaveTempPath();
     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
$ L! o. @5 \. l( P' K3 G       {
        $result['boolen']    = 1;
0 O1 H4 W$ y9 M8 o4 R! X5 ^( ]: G        $result['type_data'] = 'temp/'.$filename;
" @& Y: \# l1 `% @# y        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
& i% C, r1 t& k( |% c7 J+ H9 d       } else {
        $result['boolen']    = 0;
        $result['message']   = '上传失败';
# m" T) v- A; H; }. G       }
; {0 p+ H: [7 w" N. [9 }' s4 P     }else{
# G9 i4 F4 N- E0 `  p/ y* o         $result['boolen']    = 0;
9 T8 _/ Q- h( R0 O, A. F* l4 X* e         $result['message']   = '上传失败';
, h& Z- {1 O+ y' C. q  N9 v- g/ `     }
! D5 Q  q3 [6 p6 O9 B% Ireturn $result;
    }
$ S1 O0 }; x* K* _8 N3 ?unloadpic()方法没有对文件类型进行验证

可以构建表单, 选择任意文件, 提交到
" H5 C* r* C. C3 w, M6 ]( V6 y/index.php?app=w3g&mod=Index&act=doPost

在新提交的微博上可以找到上传的文件地址(去掉small_、middle_ 前缀)


在登录thinksns官方微博后,
构建以下表单:

! D% j1 G7 m, V. v; O( W<form action="http://t.thinksns.com/index.php?app=w3g&mod=Index&act=doPost" method="post" enctype="multipart/form-data" />
& h  y; H, s* p# L- k3 W8 S% r<textarea name="content">test</textarea>
file: <input id="file" type="file" name="pic" />
<input type="submit" value="Post" />
1 S' {0 u! E; h</form>
去掉缩略图的前缀(small_ )
' _' x, X0 w6 g; Y$ t$ o​修复方案：
; U: V) W# o. q* L) e2 |4 n

/ V  j& M7 y1 z& a" ?\api\StatusesApi.class.php

$ c$ t9 F' p, j& u3 |function uploadpic(){
$ S/ Y, W, h1 C0 P4 A) _+ e     /**
( q" x+ v( B3 s- l8 s4 P      * 20121018 @yelo
( H( ?5 W# f0 _; Q+ Z# Y0 L      * 增加上传类型验证
! f1 K9 y" X; L' L      */
     $pathinfo = pathinfo($_FILES['pic']['name']);
     $ext = $pathinfo['extension'];
; M+ T3 p5 S7 ] $allowExts = array('jpg', 'png', 'gif', 'jpeg');
" o0 `! W+ s+ S$ `, O
     $uploadCondition = $_FILES['pic'] && in_array(strtolower($ext),$allowExts,true);
) V8 l( A3 ~. h# b
" `) f3 f" w0 B- }7 c& w/ Q     if( $uploadCondition ){
     //执行上传操作
     $savePath =  $this->_getSaveTempPath();
0 o$ o# w& A9 o- b8 v& Y     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
       {
        $result['boolen']    = 1;
. j. M& D. }6 u        $result['type_data'] = 'temp/'.$filename;
1 }7 l6 I, E0 l+ _5 t* i1 j9 l, j: i/ X        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
" f9 c  v, }* K0 [/ k       } else {
$ |. _$ B1 v  e- T$ n        $result['boolen']    = 0;
        $result['message']   = '上传失败';
       }
1 {% y( v- j7 [# O7 m5 x$ ?0 a' K  a     }else{
         $result['boolen']    = 0;
8 [7 L+ a, N4 g% I         $result['message']   = '上传失败';
- D) U6 e4 ], Q1 R2 U9 v& ?     }
return $result;
    }
​
) s. L# i1 \, j3 n6 B% ?

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2