Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

" T; b2 M( v. O( J7 ]& o

3 ?' B9 a0 ]3 v# R 前言 & z. ?2 c1 X) R, ~+ Z

$ U0 U9 B4 s8 e& F, M 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。# h$ L; e& `/ g

: [6 @1 e" A% N V- L, V' e3 H" P ` , V4 y% Z+ ]3 K

) i, C1 q# d* U0 W6 E 漏洞分析 + V: J+ b6 V" I1 |' V

" O. Y5 a7 b- E( ~& t* c. m 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：+ w% h, i7 g: |) }

+ x0 @9 R6 I2 j6 |7 D ( _* ?9 {) N( I$ z

3 P/ {. T& b% @5 [ 对应着avatar.inc.php代码如下：4 ^1 F& k% `) h8 p3 p' K2 p3 L& M

9 Q# ~" E8 N( z- M6 E a <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {( v& V/ S. L2 A$ E

( W* |$ a! y& i; E3 b case 'upload':( s& h; g2 i$ d6 R$ M2 J

' \: E* s* p' | v if(!$_FILES['file']['size']) { 3 L9 O+ Q0 q# F9 P3 [2 @

6 e' m# U2 z8 A. k# @4 o if($DT_PC) dheader('?action=html&reload='.$DT_TIME);8 E( s0 P. ~( H, q" C @1 ~5 ^

" y# f! t" H' J' B+ b: R exit('{"error":1,"message":"Error FILE"}'); ! l. l) a3 k2 A

4 h: M' Q" n1 _, X } # Q" K! V$ c0 t% z

. i) K# d" s5 v6 M require DT_ROOT.'/include/upload.class.php'; " M! u a# e8 |2 p+ R2 J9 V1 Y3 T5 ]

; z2 u9 Z9 }% Z2 E , P9 K1 ^ Q5 l. `

3 e9 v" U0 ~" y O8 T! Q $ext = file_ext($_FILES['file']['name']);; X, N- {& V2 S' I& n) U$ @

& \! N4 l5 |9 v6 x& \- { $name = 'avatar'.$_userid.'.'.$ext; 2 E) g# R% T! \( Y/ t

- V; ~% B( m% v" M $file = DT_ROOT.'/file/temp/'.$name; ! i8 e; x% D6 a, X# p# d

5 P; b t8 t( S! L- a4 m! } " ~+ K+ A8 T2 o3 U/ i/ a5 F

# v! ]$ I) L1 R+ l2 M: c; p if(is_file($file)) file_del($file); " N3 L; l3 k4 I9 l |0 m( {

8 u7 Z/ o% v1 R/ |4 y5 r+ ^ $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');! u8 ^ E$ W, f

& {' Z" t) M) v, y - b# ~) \8 Q' g; S2 G$ p) H0 B" u

# H2 {, [: ]. ~, @- g# { $upload->adduserid = false;* _& }% T" o0 e/ Q* i9 [& @

. {* M9 }) ?; d% l ) B, U; m% l; y4 h3 g2 t$ B

+ o2 I( \. m9 C+ I$ ~ if($upload->save()) { + j9 o8 Y0 Q& k8 ~

) [! X( v) l5 H) ]6 S# ~1 Z ... f4 a% h: I) t1 e: v, p/ F

: U9 b* Y S/ e0 S/ o2 b } else {; V: n2 `! S1 B3 X9 k7 a i

! Q- j4 {* h" k: D- t$ H ... " i0 C6 I' g5 S( F5 o( f% l

W8 \) k( W4 _0 p3 k* E. e } 9 p1 {( r, e% ~0 d n5 ~+ Y

% H0 B1 `4 }0 ? break;( k9 u6 A0 p1 |) H4 G# {5 m

, z& W* B& k. h u; s) a 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 9 U+ Y9 T; N7 B

, h/ ^6 d6 E& O1 T' C upload对象构造函数如下，include/upload.class.php:25：: K! K5 G7 V+ E2 N

, A& Q) [. F, l$ k( L, G' z" C' K <?phpclass upload { + y% B4 D+ ^9 W! y

; x( ~9 t6 H8 u; r1 ] function __construct($_file, $savepath, $savename = '', $fileformat = '') { * M' R3 m, \7 f- k# |6 n

/ S- g% E- W, W4 T global $DT, $_userid;8 k; ^3 t- c, D

7 t% r1 S3 Q. o( Z6 q foreach($_file as $file) {4 M, s# _; h8 W- W) _+ |, N

7 X& N/ L7 |9 b# X+ E8 c $this->file = $file['tmp_name']; 6 ^0 f* a5 A8 x* {! ]. M1 g: o+ m' I

$ b! \7 H! T% z0 O $this->file_name = $file['name']; - m7 Z" C! R' H9 }. B& ?

6 ]' }7 W9 D% X7 L9 @& I $this->file_size = $file['size']; 6 P( d5 \7 p8 o! o$ ?; r5 o

$ L* P- Y$ u3 e $this->file_type = $file['type'];! c* Z3 Q0 b' D/ K

# Y- F; i% f( b( u7 ^7 _ $this->file_error = $file['error'];3 `+ Z" c3 d" e2 {

2 a0 ?0 C! c/ ], j0 [( Z + Y& w3 K0 r5 I7 i ~ {2 O

- T% s& D# w1 t/ [& A, j: ^ } ( c; b2 k! f- S! [3 E

$ ]! \4 \/ \: \% s" V, z* ?# E $this->userid = $_userid; / c5 m$ M' ^: u s8 c( f0 I

5 w8 z, q$ N" l $this->ext = file_ext($this->file_name);7 f( ^- s* y- g: L0 }8 l% U

! i/ b# e6 b% [% p4 o $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];$ ~3 k0 ^* c" e4 M% k1 h: a

' ~- ~8 E0 c( h, I+ L" W5 d $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;: ^2 W2 X# z9 Y$ r+ k G; p

) a2 a; r* `: n $this->savepath = $savepath; C- G$ i$ r3 p l3 K, r

4 {) W$ B3 b5 Q7 L6 _3 V: u1 ^1 r: [3 ] $this->savename = $savename;% @; |7 s: Z( |

1 e+ e8 K9 {( R Z# h o }}5 q' ?0 f+ @4 R2 Z9 z

1 i+ X$ H. Y* ^1 i: E/ O7 @ 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 ( f* J- J& H$ Z

M+ r* C Q3 L8 I) G% R 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 ! r/ N8 ?: z5 l9 E5 ]0 `) k

; g8 A) M! P. m0 A $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php % U4 N& B3 J. R

7 G6 H- T: `/ n6 j3 o 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：) r6 B/ H% b% ?! |0 f; w

0 F. o) O4 Q/ O ' H( L! C% E1 N3 |9 R3 _5 o3 c

% d0 a8 w% f+ \$ l 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: : R7 p: n- d8 v. q8 ?* l" K0 l+ Y

( F/ K6 T% O5 T <?phpclass upload { ( ]4 U3 h- V% k4 ~# t

; h1 h. y- g+ P, I6 b- s function save() {! ~$ z- j* ~6 ~' U/ q5 d

& K$ N! X+ ]: b7 ]( j/ [ t' E1 L4 H include load('include.lang');; b6 _$ x6 \ ]) P' V' u

. [; M7 N5 h& H$ ?3 B# p; w6 k if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); ' a: j0 m+ w9 V& N+ ?* V9 B% s

) T9 r Y: _, Q( B; k" { + h3 V$ X$ l4 c" x) M8 f

7 J' P; V0 q/ ^! u( k; s6 E9 U if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); " }0 A3 f! J& Q5 o3 P' p

# x; A& v7 P& W# I - P0 G' b) f$ s; a0 f5 I& Y0 u2 {

6 O2 C) n* x2 e" ^( G# ? if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); / u* Q2 b( s0 V5 k

- G4 E, [# y$ J7 e1 Q8 r9 n / x. z5 ~; h3 N3 i g9 s* l

) t- E, m+ l- Z u7 p $this->set_savepath($this->savepath);/ a" a) h, J' J2 [

) J1 @9 E' B+ x( K: \4 a- b( I $this->set_savename($this->savename);( E' O: w+ b5 n' P

/ F1 f/ T& L% K; l 4 y% b- z, T- D2 m# G

, V7 W; A+ d: d( D1 E if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']); ' T- e0 h8 e7 m

+ E: _ D& b% [8 b- m( x4 g9 { if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); ( s; C2 ^, F s9 o6 s) ?

* O% r8 Y9 j* e% j) s" H2 ] if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); : U* @/ k* O: B1 Q& t z: W

( b0 u [- M- G b$ X, d2 a3 ? : J$ Z; Y: S$ F. E6 x0 C/ c0 ?

. |- s9 n! y! v6 H: |7 J $this->image = $this->is_image();% \% q/ L' o3 \1 y) D

2 q5 P1 p3 p% r6 X+ G3 ] if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); - h" {8 L1 I$ `% H u8 d4 G

+ U) B: d; r* ` return true; - f4 k, u! U/ V1 x1 g, g- h

4 d/ |5 Y8 u) D$ V1 Z: K7 M }}" g+ s& J# F( G1 S" r* Y; H1 R

: @: G! j$ M/ i/ F, V2 E 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： 6 A: n* i% L0 y/ H/ F% Y( c

. Y9 x. Y8 B1 x7 N, c6 s( ^2 i; q6 P <?php ; ?! `& t2 d4 A' F. H4 y

$ k8 J e6 Z; N function is_allow() { 3 z2 F% Z" w9 U Z

: q+ y1 X3 N; c! x if(!$this->fileformat) return false;$ L4 q8 i1 J; U8 c- K: p0 r

: T2 f. c" W8 U' f R, A: n if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false; 0 I8 F# m' L/ M) P% K

6 w0 f) ~$ Z4 c- A4 g. u9 {' R if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; F0 D7 ^1 I: D* z

5 ]. r3 A* d0 M9 G5 O return true;6 Q$ Z2 s0 u! S' |/ V+ h( [

8 W" \* w& ]7 l }) g, E5 D1 G" s8 v+ m' V. ~

& S. C9 O, P9 _$ @ K+ t7 I& ^: e 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。, b4 z# k P1 F

4 T' S+ J) S' o 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 1 v' `* k4 f4 v

& V6 U& [; M, U$ H 漏洞利用+ K) n, @/ _: v

, V0 q$ D) [, Y- `# m" A/ w3 _ 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 $ O. W- w( P* M* k

* w" c- ^" ^8 N$ c6 ~$ P % a; {, \% u" K D. p

# r$ D9 \ ?0 {# R9 y# W 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid; u" ^" Q$ o: N! _. V

, r d- [5 ~3 l6 p) t# J* n% y 不过实际利用上会有一定的限制。' ~8 |7 |% j2 @. C. l/ c9 S

. R& h% L# E1 g 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 $ u; i9 [# y8 y% }& K5 H

* w8 L0 j6 ?' z Z$ k " f- {0 Y+ K; D- m5 f8 e" a

6 M. F/ e8 V9 J" k8 X Q 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：4 e- k& D1 A& \

0 @. ] e% C- a6 F/ o& d, n6 R 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...* b+ Z. T/ V5 L- _

' j9 G6 p' d/ X6 R* c3 q 因此要利用成功就需要条件竞争了。 1 I/ W/ m! U z1 z) v/ F% y

9 s/ M5 Z) c2 u7 C 补丁分析 : G0 h2 D1 w6 J$ x. y# K

) H9 N! H6 |" ^. K1 W( x " _1 A3 _( \! z" U

0 t9 {: X: {+ z 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：' \4 S% p1 w- \& }& R2 W

, ?* l! r' C7 T" E) @; w function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} : t. l7 Z3 D! y, S

3 x. q, C7 J+ `! g8 m7 E6 [% L & P& z' Z- A9 g! W" L

7 ?' U/ o+ |1 O9 g4 n1 K* w" k I" I0 H 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。% F" u; \/ ~; r: N: A" K

) Y6 J! o' C7 K# n: a 在is_allow()中增加对$this->savename的二次检查。 P/ e- R/ n. G$ H8 R) {) b0 t

5 i2 B! S0 ?( b+ l' A% P) [' r% P 最后 0 I# F" ?' {! I& J1 o

& |2 d |2 x$ H, r2 _) O 嘛，祝各位大师傅中秋快乐！ 6 y- r& \% Q7 Z5 o4 R! D. d

F( x5 ~) \6 G4 a % E! L# U; b5 \6 E' W

		自动登录	找回密码
密码			立即注册