Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

7 R7 `% [: l# N0 q2 x; C, a

; `: I5 w. Z; e9 r* t1 V 前言 2 Y0 L+ r% \, O! r

( s% {0 a2 h+ r- z 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。0 S& n' F2 ?0 J5 X

+ `0 D% {# K: S9 _% V: f* u3 } ; H) ~5 M( V) @' ]' M

- i+ |3 o( z5 O 漏洞分析 ) U+ C! R& J) |1 k3 u U: f& y

" [& g ~$ A' B 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：, ?! I8 U4 U( `' i; m

, B9 p' F' v' f* F: Y# i* Y 4 a& D0 v) W) S- S

E8 U2 n$ t/ @ ?6 P3 T7 E% k 对应着avatar.inc.php代码如下： 7 p5 y' g) T9 F

$ {- D% p, v Z% M* a- B. \& L5 D) L <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { . F0 }$ n" r5 q; T& J

# z4 ~, \* c# N: e( n6 A case 'upload':4 J) V6 K' o$ k/ n/ O

$ \- V9 h; K* t& L- ^! i5 W& p if(!$_FILES['file']['size']) { " E; |4 O) R- X# ~8 ~/ z% Y7 I

) o0 k- M ?* C! W0 W5 o if($DT_PC) dheader('?action=html&reload='.$DT_TIME);" Z9 |6 `+ x" M! ^

5 C e' M; a6 T& s8 O& e exit('{"error":1,"message":"Error FILE"}');: B2 Y; b# x& `, p$ J& T- k

( G6 I) z" J( f- } } 8 u5 x. F. |5 o8 H% X9 e

8 f! W: L9 B0 O& F9 x require DT_ROOT.'/include/upload.class.php'; 9 g8 y- j, L1 u# ^/ f

/ b) q* c2 |9 d4 V ( d* l0 m* Z+ U- i+ q: O+ E( W

9 O( U- O3 s% X! a/ h( h $ext = file_ext($_FILES['file']['name']);# u' R/ w: Q& p6 O( p; M/ {, w

" W) V% |) N: }/ n3 u: ~ $name = 'avatar'.$_userid.'.'.$ext; - Y8 i3 ]; j; ?' B( l

8 L5 ^) V% T* R* f, j! w $file = DT_ROOT.'/file/temp/'.$name; & J( h; O$ S: j. t* b$ g

% h$ k1 k" f4 S6 d / x3 o) t/ v' f, z

9 u# I: k& {7 O$ \ if(is_file($file)) file_del($file); 6 {( }+ |- y! W y' d& X

# ]6 p) W1 ]2 K) K $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');6 E: F9 Y' ^1 u. z: G

2 y0 Q2 w& Q. @+ v- U& P5 I : `% P: c5 ?8 g* G$ g

" y2 R- J7 [& }: I4 B/ f# f Y. s $upload->adduserid = false;% m' }, \; U: s

8 p- b2 A; i4 o" P / Q& U( b! C0 ?" h; L6 h

# J# q7 Z( q1 o+ R4 @) C5 t# w if($upload->save()) {! x* _& _0 l4 h; i- X9 Z* b7 s3 A& [

, ]) f) p# d9 o% r5 V+ d ... ! h; c# G1 o* A0 {, d6 u* q

# w" x4 E% U1 a } else { g, c. L- S4 o0 U' |3 y! O

- p% o6 ^. e) R$ \8 p: G ...! G: ~; U2 @/ {' r. x4 Y' d" L. @

$ g7 ?' A2 q; x) e5 X6 @ } ( c# e* X3 ?# N, Q( e5 J

8 ]- x& i% ]3 m E- a$ Z% W) Q* e break;6 V9 h) ?7 ~* D% I( x: S8 u' D6 U

6 Y7 v, T& z2 w" p/ T 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 o* Y4 B' i+ y5 m; `( D

3 q7 b. O: `4 n+ q* I! e5 A upload对象构造函数如下，include/upload.class.php:25：% H5 S/ y/ a& r

; \' q+ J9 |. n9 ^8 N- ~ <?phpclass upload { + p$ g, g/ P1 E1 f K4 k' E

/ W1 l/ L( M7 z4 y/ d% v. [, Q function __construct($_file, $savepath, $savename = '', $fileformat = '') { 4 ~' a6 M, H' C- P. {0 [

- m1 e- T; |3 l N/ J" a global $DT, $_userid;/ ~2 w. [5 B. [9 G% G

4 N1 e- V) O# C- g m foreach($_file as $file) {: z8 U: f% d6 \: J$ c! N

9 m7 D+ n* h5 A& T5 b8 k& S/ q' [ $this->file = $file['tmp_name']; ( y4 S" F9 ]3 L3 |( F& d2 m

3 g' P( b. Q( V4 x# ]/ w' ^ $this->file_name = $file['name']; 7 ~7 H& a- M, W1 l2 n, ]

3 e, J8 m) B: s y $this->file_size = $file['size']; # F* ?7 e7 `6 f2 J: z. Z7 v

! a. W. N+ q9 q $this->file_type = $file['type'];9 j* i T8 \6 Q& ~4 y8 R

# c; Y2 V5 A& F5 s2 s Q! V $this->file_error = $file['error']; 0 `* S7 S( P! ?7 J4 P4 a# c

! }, @1 k# }% G3 ?+ B' ` ' k3 z0 }2 M4 J5 p

x: `$ m) s' Q2 a } 9 v* g' `' ?7 c% I H+ n2 w: T7 c

% ]2 ]9 k5 _# Y+ p $this->userid = $_userid; : E7 ~- V3 n! h

" A, x) w0 |0 x/ c7 L. @ $this->ext = file_ext($this->file_name); 4 R! s% z1 p5 u9 S. l8 j

, m6 G4 ^ u" e7 r2 \& }- L $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; 3 K5 _ d6 M6 x7 W y

$ T7 @9 K/ J! |# v" g! G $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; : a3 r6 n4 q! d. R5 ]" e P

^2 U9 C4 i$ `% D6 M $this->savepath = $savepath;9 J. Z2 W( o9 k$ ?" `

1 G" u' S, g8 E! @0 N $this->savename = $savename;0 f8 Q7 l! A: z C2 L

: t7 Q0 ]4 Y( l/ @- u9 w }} 1 N: \$ Q, a) t9 s. O! k6 {

1 A; [5 d4 E( O4 S6 C0 x" m$ _ 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 * b: P8 x& h/ A- M% s. T

) \0 g- `. ~% _! S1 N" J" @ 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 ; Y- i- u6 x; B5 t0 a

& c0 Q7 n6 c! W, ?4 `. v+ \ $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php6 D4 q* f- u- R- b, N8 u% ~" j

( Y0 X3 @1 ~4 Q) k4 E. Q 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： ; F) s, h% Q/ C9 \( }( N- S' H

& n9 o: Q5 Y* T5 W! I! \ 5 F: V. S& l6 c9 s i a5 K2 z

8 C( g) h& j7 L! ]7 Z 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:% Q: U7 \1 e( \( F) z

" V. X, Z; h9 v4 O7 Q/ ` <?phpclass upload {( g9 }% t/ u, M+ K" d2 `% I

0 ?/ V* B- Z4 Y0 S6 f function save() { - ?! r) l( f2 ^1 N# P0 I) e0 G/ H8 v+ ^

+ H" [6 Y% U* @4 n: K% c. k include load('include.lang'); 8 v6 t$ Z2 x8 M. X8 E

/ N* M3 K$ P% [& w& O3 ` if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); 6 V+ B& I5 z2 O4 Z

9 `' V3 H! B+ G7 j- u " a5 m9 @+ E: i' E6 u: d5 U

- N4 K7 K$ y, p if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)');' a" I) Y1 G- h8 e2 M

. e! ]2 J! l6 f7 a9 w; t ' O$ v( z9 E# u0 L. a3 ~( @7 }

" a3 f( K+ T3 x( G/ X) j if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); * q% N6 R, J& x

$ B" s/ z4 M' i( j# p " e4 B+ ^0 n6 e |

$ L" |$ P7 i% x6 J7 H9 K1 Q) N $this->set_savepath($this->savepath); # n. D+ x9 ?& L$ v5 {& m# w0 g3 O

: u0 j( W% ]% E $this->set_savename($this->savename); 1 y) \- _6 `# B Q

" W+ }% M2 s% C1 a1 y ( T# `4 A5 Q7 g, ~" U- `

4 x& f! Q! o) Q0 W- A+ m7 T if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']); 8 }: ]3 z6 g4 @

# \/ y; F* M8 X3 ?( Z+ C if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); ) d _9 N% ?8 c7 X

* a* y3 E# k+ u if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); 2 I- ^$ N7 E2 y

* E& [# J* s5 o) ~# H* x, h 4 M1 I. u3 C6 I, i! B

4 k& y) B- w' B2 H. u $this->image = $this->is_image(); 9 g" ?1 D9 J5 k) K5 o

1 q( T. B; T4 v3 }* k+ N& `9 P if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);9 M. G& T0 F- ^* Y0 \5 R. V- ]

2 W( V1 {- i) D0 ~, W8 R7 | return true; 2 B3 \2 y; Y& O

) S$ U' z3 [" X% Q2 Y1 K }} 3 h! L' A9 S: x# f# a( J! `' m

! A1 [& `8 i, A 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：* o: z8 f% i1 V) d' {1 p9 s

2 G! j8 L, g% q: o <?php2 k4 ^ x' l- b/ T

( h- r, [" b/ U; X# I function is_allow() {& v- s5 j% r. `3 I4 Q

4 R4 D% R5 t* Y8 Q8 Z0 Z" Q if(!$this->fileformat) return false;2 k1 M* H4 d) F2 c. B( ?' I

: L, K' P" e/ }# g- k if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false; # R' \% w5 L: K2 E4 D3 r: G

8 I) y! {0 Z0 `5 x/ j4 k$ ? if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; / ?, c. p) X u- @

2 u6 d. p- y, q0 ^2 F9 f; o4 k2 L return true;( F0 _* Z( E4 n2 h

; h2 ?+ Z M3 W9 g! H4 k. u* N } / f- f4 K/ ^& i+ P0 |1 f& g

+ Z' w, O$ P! j- k6 N 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。+ }3 {/ e9 h( e6 K ^

/ N' s4 o8 ]7 C# H 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。8 R9 n4 d$ l6 k) a! o2 P% E

7 S. L0 O; k v: N( \" G& X) R 漏洞利用( ~6 i; e& s1 H- r. o# B' d; Y

; C* o6 Q# F& N. D 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 D3 y/ E8 c( K: y

2 q, X9 b* g$ } |% G. E: @ 6 a) c0 ?0 M- E: M( r/ b/ `

" r4 L( z" m1 p* Z" V 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid 5 w* J5 [4 h9 V! ~- Z

1 e, ?; L1 u2 o9 k, I 不过实际利用上会有一定的限制。/ ?+ h, F0 t. [7 X1 }9 @' y

5 a* z3 U# {0 ^, p' {5 ] 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 / h6 N4 @( X1 `+ n2 y- U

6 X' M; a9 \/ q* ?5 K' p ; y; O3 D2 C9 R

/ Y3 S4 S2 K0 d) \% ~# M 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：) G6 i5 t" y- q2 m9 y! I! x+ b8 J

4 D2 X. G+ V6 C. ^/ M) Z+ F5 } Y 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... 0 G7 R+ g* b( B, e) i

0 O: o7 y* ?4 O. T2 T 因此要利用成功就需要条件竞争了。. f( G8 M0 |& U5 y5 U( ~ Y

( g% ?' \% S8 o$ b 补丁分析 ! H# b. w* Q8 d3 B/ ~- h8 H

* f. y+ G' a1 [. u; L1 @4 l 3 }- J7 m! U! P0 C7 z

! o6 F- Y! R; C) V, Y) D 在upload的一开始，就进行一次后缀名的检查。其中is_image如下： ; o2 a% p& _8 _1 N; j( C0 [* }6 N

; @* X* U" a8 P- b% n function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}) n. J1 C% ^( ]0 [# D

5 \8 D& n% i. R: d7 R1 D : n J f9 z4 H3 X6 r

8 H9 |2 h8 V) ]: A2 m0 ? 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。% t; o; y' s( {$ `

7 f! Y+ r+ S1 r; Y7 A5 U 在is_allow()中增加对$this->savename的二次检查。' _1 Z% `6 T) }& I. U* s$ ?2 ]

. S: b8 H( ?) I! ]$ [, h' N 最后 ! M1 M! d# z" W" r7 F1 }4 c, m

5 l6 {8 q% u" [8 v8 q) F& ] 嘛，祝各位大师傅中秋快乐！# e. ~: |" \3 O0 z6 G+ o

3 M6 k8 \5 ^2 A / D0 W0 s' m( {" X+ P% y

		自动登录	找回密码
密码			立即注册