Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

* P$ N! P H1 a2 c( R3 k

* k6 e+ k2 Q* B1 [0 |! ? 前言: H& |+ c- L, I6 ?+ ^( ^- R

& i9 y. }$ i/ B' H, b% y' K" \ 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。- C- @% ^1 \$ S5 [- I" ^

& Q$ \8 y. ~- M3 A8 h& a 2 o/ l( [ i( [ M

% k2 L. N8 S2 Z. W* M3 x7 a 漏洞分析- \. k$ G$ ]7 O

5 |) ^4 t, F# M5 y& `2 Q, i$ s5 V; F 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下： . H6 D6 I: A5 L5 H8 R7 l' p' m

8 P" p# q& D8 w, m4 H8 q' A/ B1 O ) Z8 v0 A( \5 x0 r

" m: _2 s! a! J6 O 对应着avatar.inc.php代码如下：/ G; c( P! a& }; Y8 R4 g

) [1 v: D& ?0 O, q/ `; U, S3 t <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {+ l( k2 C: L) s

1 P5 O# W% v& n+ R; k case 'upload':8 u3 B. J- V+ Y' e( S

3 I, J# H) J+ n9 G if(!$_FILES['file']['size']) {- M! Q+ M' t- f: B! t! \4 b, P% U

- r9 C* Y. _8 `. r2 s if($DT_PC) dheader('?action=html&reload='.$DT_TIME);/ u _) ^9 i8 ]' p

5 S n3 h O' \& k exit('{"error":1,"message":"Error FILE"}');6 ~* l/ m( y- O# K* {0 m/ l1 @

$ a `' E5 G* j& E- U1 z6 m }( ^- Z) F+ g/ _

) |5 s" [% f0 u9 u) ]+ O$ u9 _ require DT_ROOT.'/include/upload.class.php';# F) N2 O5 s- d" U- J

" l, ~( k- Q& F! z9 p! i6 v' S * [5 _7 |9 R. o! D& A

6 P- w; J% o1 {+ C# I( o $ext = file_ext($_FILES['file']['name']);7 e! ?0 w) e% V/ W- z0 c' d

+ r3 l: l, R4 |1 f- D6 O' D $name = 'avatar'.$_userid.'.'.$ext; y' G2 B! d/ q& V& f' q

' _2 G* J) R6 C $file = DT_ROOT.'/file/temp/'.$name;4 F( g7 `" ~# \8 D) t9 B8 o( o

, v$ t* _# B; q & P# M `+ }5 W. h! Z

* }- g6 C' M& P if(is_file($file)) file_del($file); % ^% f% g ~. Q

3 M `. V* v& m; A $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png');2 l& Z( X5 ]: i( ]7 a- r

# e ?& _' l1 _2 A4 _/ q 6 t& E4 q& z7 S4 }- a% d" u+ {

" D7 a1 L6 n8 x/ D" ^ $upload->adduserid = false; ! H8 |% x8 K: a3 _2 i

8 D2 ~+ a& }' o$ S) N% r . o$ {; f0 Z* L8 y5 n- l

# u& P* N6 T6 W& l if($upload->save()) {$ Z$ u# H c+ ~5 y

8 B7 Z# s2 d$ _ ... - i9 N- N. q |) G1 C \

& y8 T1 D$ E: }; D s: Z } else {/ U0 X/ \( k$ R

! i/ B' j" d! o; \ ...4 p3 K; S7 E5 Y$ q

( j- F, b) ~! Z9 A \* i! V6 { } 6 {6 l C; O' s1 a$ b e/ P9 z

/ [+ K) W# a- W8 u% I$ B! Z break; 3 e% V7 ^$ a, ?

1 ]+ B0 D8 X' w1 f& W/ @% H/ I 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 $ q' {" L* B1 j/ a9 g8 u$ ]

* t/ I4 V0 `+ H) [; V1 w6 Q upload对象构造函数如下，include/upload.class.php:25：' z" _; G. m7 R+ n% ?

- m& }! |9 F: I5 G [0 l0 U( N4 [; O <?phpclass upload { 8 R- L. \% c4 ^( r" v/ G

T8 k" w5 c: z3 E K/ ^: S( {1 L9 d function __construct($_file, $savepath, $savename = '', $fileformat = '') {- | m; }. `3 A

* }6 N5 l8 r& b& ^6 Q global $DT, $_userid;7 y1 R/ q5 Q5 K: M3 z, n

- y( N$ d, @3 l. \- L2 ]7 ^7 m foreach($_file as $file) { $ S C' }* {: S% d& f# n2 [4 p! p

: H' ~0 R) j& j) ^$ g! H( C4 x' N $this->file = $file['tmp_name']; , y' T$ h1 M5 U

5 b1 ] W4 h1 U2 J5 I3 i! V $this->file_name = $file['name'];& ]1 }' F* d# x) ?: d

& G( _% M7 j" R& ? $this->file_size = $file['size']; 0 C) D7 g+ G! I9 O1 R, N" C1 e

: _* F: B& b0 s $this->file_type = $file['type']; 8 z7 g6 x& P- G# s6 u+ ^( E

2 C0 _' W! k$ b; l) H6 I7 ^ $this->file_error = $file['error']; 6 B" @7 z/ W( Q% f5 E

# } d' u- E+ D) F " X7 {7 U4 g: o w$ y/ k

* v% ~9 S Y2 w6 x0 |% G K } 6 ^$ v& P; I4 b5 T9 M/ a. _

- L2 G8 G* u% R. T) [ $this->userid = $_userid; 3 N" e$ [. }& J) ~' P, b- Q6 t

) f7 }( o/ V, d9 C+ e $this->ext = file_ext($this->file_name); A$ V4 t9 ~ D" C% k- l s9 u

; e( q( l( i9 E/ ~7 z6 J $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; ) N/ t( Z [( p0 ~/ e5 L( \. n" B

+ w- _- x) t+ B% K8 C! e $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;6 k; @( n5 t: V' v: ?% r3 |+ [( p

4 a4 J2 y4 @" E $this->savepath = $savepath; - Z$ V! M4 L' g

3 j" ^$ w+ G+ ]- x $this->savename = $savename;8 X$ S4 s6 t/ {0 N

$ R; i w. J! p/ o% [) c4 z7 G }} , \( p/ Y, ~( ]/ R# W

7 `/ P% \1 b7 ? 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 $ u+ {% Y) _- Y" r4 L/ e6 ]; a

8 i. D2 Q6 t8 B. T) h* ] 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 2 s9 {/ @ T3 x

( \0 a7 J. Z% k# d- v( N, k) t* { $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php $ n( V, _9 q' G0 P8 T

( o( H8 U# {- S3 C! R' K 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：. J- k0 M+ z4 X/ z+ V3 u R* Z$ |

% M5 O8 n9 [: J* n7 q' N ( l) _+ d; C$ l4 Z* _) B1 c: E

k; @: [ W; F; H9 T 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: L* ?5 {1 [9 e, p/ r

; d9 z* i8 U# [/ V# N7 _4 ` <?phpclass upload {9 m: I; O1 ~* x( c( G4 ?" h, I

/ d! }" a0 t k: j3 G function save() { ! a7 b! d! m( v) N t# g

" v5 i5 p9 q" ?1 ?( Y7 T# c9 n8 b include load('include.lang');" D" m# W2 u" J, e" V8 C

* j1 D l/ z% |% a- W) h if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); " b* K! a& }' d9 |: S

+ o, g" s9 a1 k% q0 o9 H & A" a" b7 q6 `! u

. X3 v+ X2 ~% E V) s if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); $ F$ W8 u2 [) q3 S. O' Z

; m; h, Z5 D( ~4 V8 a) Z ( n$ G6 I& B/ X* W$ u8 P

3 W, L8 ]7 j+ j- K( d, r2 }' Z3 p0 Y if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);8 j5 k" x& s2 X2 }/ B6 C- \

" e: c8 R8 V% _- _ 6 T( {/ G7 j; a7 o1 p/ x! X

: {& }; t( J$ ?6 C $this->set_savepath($this->savepath); 5 H. ?$ m6 _3 [

4 Z6 \- O9 d1 L6 C7 B $this->set_savename($this->savename);/ y, G( O) Q" r; r

* b; t/ R4 X5 X# b+ s* p2 E Y * m9 |8 B6 v: R' z4 C

4 W" W' A, v$ Z G5 Q7 A- Z( C if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']); M3 P K, H* d1 W$ D0 [$ }+ x8 r

) b2 `; b9 b s# Y4 `) _ if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); 6 D! P8 w1 n/ W) X# |

9 G3 X% o1 f# M6 o if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); - J( V3 @7 ~6 \0 c

. y# O3 ^/ T7 O( o' V0 z4 ~' r5 O 7 i# Z* |! \ q* L% D$ }& N( r

7 V8 V' n: ]' ?2 {4 S3 j $this->image = $this->is_image();! Q1 J- M! Q) A+ X; F

. N, b3 v% p* V+ ?6 K if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); ) d, j _4 l1 E# e6 N. }! |

' B j, l" R# Q- _ return true;3 d: y# w2 S1 q% J, e$ Z/ v

; o2 R" m5 g. W6 L# N }}8 t) s) ^# b0 ]( g8 |. A& i1 R

2 H$ W; G2 H( n( \2 e( P4 o 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：# P+ v4 G; r! V P

+ R: m7 C) t4 e' m( N0 x* y$ m <?php* W b0 ?9 Z; O! U, D5 q4 E

' Q" }4 b- v8 _; E% z function is_allow() { 6 v8 G, S! h1 |/ E% P

% f% u; h# `. V) @* k) K1 Y if(!$this->fileformat) return false;6 h% s8 C. a/ G/ P% \+ z

6 N1 w; X5 U {2 s; ^4 } if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;- ?) w% A* \' s K+ Q

9 f- L+ ^. N1 M( [/ B$ x! _ if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; 6 \. V% U# |+ j, u3 d

4 m4 v$ N: z3 D* @" y8 o return true;3 j6 a6 o! q! Q, U6 Q! z! l9 n

! C t7 }, J! ` }& Q- F3 \% \2 p! ` } / n# z* x# B. K! r% g

# o5 ?% c1 _) ~, r2 y# O, a9 V 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。4 U. ~, F3 Z5 `2 a. \

8 j: l: F/ w( G+ h# S 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。; |7 {# L: q- q% o; i0 t

8 N; H" O0 Z- T" ^ 漏洞利用 2 b2 u6 w/ r, B9 M2 {8 ^

3 b7 Q- U: Z" f2 `5 L/ y 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。$ I( W+ T8 d) u1 b- G3 X5 J

1 Z% ? C+ u! j( A' w8 d # a& Y6 p9 w+ y1 ~

, G/ g1 s7 U3 W. u 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid3 j! K* V. [/ Y" S

; m! p$ z' Q6 B) P5 K 不过实际利用上会有一定的限制。 # H4 B, q+ p3 a8 U8 q4 ^: F# P3 m

2 c. E; j) b9 e6 R+ [# W' ~ 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。' z, D: K' w1 R* D$ b: \9 Z W

4 R' ~1 Z# p }. B- N& q/ S) i( l6 w I9 f5 O: R$ W- G- n% F; \

2 Q/ L0 K ^" O. g 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg：8 d$ F" U# R8 H9 T/ \

3 F1 _5 k5 k7 V" D* `- S( B 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...! o6 A, X" L$ J1 s

' @9 {& o2 S% F; f 因此要利用成功就需要条件竞争了。 - o% j' B2 N4 m& E

- y) a* a# I$ S( G- X* Z 补丁分析* g1 w6 K* \5 ^5 w& |/ R7 Y0 h

3 Y( Q7 R( O( f& ^, g1 \ 2 Z0 ?9 i6 o" Q6 v* b& ?8 `: f+ X& \

0 \+ I& c% t& v; s# V; l# L4 i6 J 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：* D' ~0 e: b) v

$ I, n0 I" n) J# {- H function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} 7 ^( c. E' a8 p* O R* M p

+ u7 j/ F+ ]$ }' E+ u$ D 0 X; m' S. q, }9 D9 t% T

; D' C, E g% p" \ 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 2 u1 q2 C$ t! `

% G/ i" O9 l3 z0 t" M4 ^ 在is_allow()中增加对$this->savename的二次检查。 N/ C( M: n9 p. U( T

( ]* L; e+ p6 f- t0 }( a 最后8 \, }- r4 W/ ]: ~- c7 G- |. N

( f+ P# P. j; g* y6 Z( j- f 嘛，祝各位大师傅中秋快乐！2 Q6 d/ c3 @0 B7 J4 O) ~

' ?( O/ V4 Y4 y" w % Q4 N5 d& j1 @/ Z

		自动登录	找回密码
密码			立即注册