Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

% H* r# L6 C* s* F9 C9 s0 Q) |- A) w

. T/ f7 [4 D* K 前言) W/ z# w+ n; A" j

. q+ N& B3 F- X) W 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 ( f& U' e9 w: A t( X/ h

* w. V2 y) N- p K/ _ , T' Q ]1 d8 u+ o4 x

& m1 A8 }3 {% B$ I 漏洞分析 8 s3 X# [$ P8 @, A

: P) O: Y% ?" o7 }% W3 x% W 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：) J# }' T! I6 c) D6 }' c4 T; I

, o5 g2 N; `, A: A% m$ m( q 3 F1 @7 J' g5 }- G3 ?+ [

" Q" E9 o: c$ w3 F/ } 对应着avatar.inc.php代码如下：$ {6 O* L: Z+ J4 G

7 V9 {" _7 G+ ] <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {# k& G( x& V" e: q- ]

- }0 Q9 v+ `2 R case 'upload': 1 |# ?2 C4 v, {) {

4 M4 U7 t# {' l$ R if(!$_FILES['file']['size']) { % Y/ m l1 d7 F' Q( H/ h( `) V

3 |) |7 l% {* u if($DT_PC) dheader('?action=html&reload='.$DT_TIME);0 O6 e3 a- }) H! U

2 r1 G3 j ^0 J$ M exit('{"error":1,"message":"Error FILE"}'); " W- F6 l) c+ M6 p4 ]0 t! n5 g

9 K' ?* j% F2 T& o/ T }+ r8 Y8 t3 h& O- `4 `; o4 N8 Z

: n9 ?7 g) t- ?2 X require DT_ROOT.'/include/upload.class.php'; " U* q1 Y4 V0 k0 Z: P

! I" R/ d# I, Y1 B2 ]. C 6 e9 ~6 w, _" p# n/ R9 s$ r# f8 L

# ^% A. A8 d* B4 Z- F9 S $ext = file_ext($_FILES['file']['name']);7 ?; ^- H7 m2 r8 ^

: e) j$ @1 s$ `4 j $name = 'avatar'.$_userid.'.'.$ext;5 m+ U5 @: Y$ g

+ _% z! R" a0 [8 V) L4 L/ z $file = DT_ROOT.'/file/temp/'.$name;: V# I2 f: q7 z: ^/ e/ ]

h4 `# C( t/ E) C- u1 R6 I7 R - K3 s' X) o$ Q/ C8 ?" Q

8 u( h8 L- u( j if(is_file($file)) file_del($file); $ k* T3 R# W& b

4 }2 O. `; A! Q6 U1 } $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); / P+ x! u5 L" ^. g7 D# o. [/ }; @

/ D" X9 s; Y. a$ w0 `- t2 g" S ' q7 {) i$ U5 e( \4 y

1 L1 g3 i" K' Z: } $upload->adduserid = false;$ h1 U( u- Q, Q7 H6 y( g, Q H

7 e6 @! l7 i( m7 C' P" u 4 u n/ h1 d# e( V

- G$ Q* L5 l8 m" \8 {% {9 N% o4 X+ D6 z if($upload->save()) {( v/ r7 X, w. c, {

- ]3 G( ]( z9 g( z$ s1 F8 @ ...( v9 k, s: g- a; j. U

, L3 a7 s5 [! }4 ] } else { , ]0 }$ C! |$ E

4 _1 b( P7 Z9 L z9 f ...( A4 k- {$ f8 N& P3 X/ ^3 c" G

/ Q% X' [; P* Q( C# \& a) W }# y, |7 v2 V: m0 {% v

% ?" B, \, F4 ~' W. g) s- x( b4 M& Y break; 8 N, B2 C- }/ ]0 t* x

8 t3 |9 Z. Q& }. V* y; C0 M 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。$ l" H* ~/ G/ S! m: \2 H

% x/ ^8 z6 b4 o: Y1 y: H+ s upload对象构造函数如下，include/upload.class.php:25：6 Z' q. f) z @" n, ?! @1 k/ X

" l+ d: ~# ~0 w' D2 H <?phpclass upload {& ]& L& _9 g5 i; w8 Z# ]

' m' T: ^6 e' P0 U function __construct($_file, $savepath, $savename = '', $fileformat = '') {5 ?. C7 W1 E) w

9 {# b6 e6 r- K2 Z! h+ ` global $DT, $_userid; * D9 c! i+ ^- f* \

6 k1 h, n+ S0 e) \; S: C) }9 m- d foreach($_file as $file) { + t0 ~6 O1 f0 s5 N% Z" @

; }: D& t- r3 d- z7 ~# V2 r $this->file = $file['tmp_name']; 8 |" y. M6 d) k# g' z

: P; X' M% ?5 C. [5 K( E" i y $this->file_name = $file['name']; h& v8 o' @! p& P T8 k

- ]- I# l# y4 |5 `, V $this->file_size = $file['size'];: ]% h! \( d9 e5 w, {5 k

4 k" h% H! O7 R0 a% t $this->file_type = $file['type']; $ Q9 ^, g1 }2 d/ C

1 {9 N4 i/ d. O2 N2 O: N1 J $this->file_error = $file['error'];9 V! q2 n9 h( D/ [! Z

, ?$ {" W- R8 f3 R7 [ + b F, C8 r( B N- g3 h. T: U

1 N! A+ @- x0 Y$ ?6 X } ' r) I% a, ?$ c) ?

9 O/ B: k6 u# z0 x1 V6 E! w $this->userid = $_userid;- t) }( u5 T6 A. A

9 w! m( s. Q3 d+ W+ u3 x7 w $this->ext = file_ext($this->file_name);6 o- E. P) g0 q' \: b7 _

5 d0 L# e" [$ @. T! ? $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; ) v8 l. U" G1 J+ a! |$ ?

2 \/ }0 C- M' D5 K" C $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;' ]5 j7 _! a) h b. G7 S/ r* m; y

4 J# N+ ^1 R/ i. z2 C' T5 T $this->savepath = $savepath;* m; ?. z. S& ~! B- W6 Q- n0 j/ S

" I! W/ G" Y+ b0 ^* y+ t5 x! ~ $this->savename = $savename;* H, G" _. y: H- N* b

' k W4 J2 i6 Z* K6 O: l) q4 ]7 ~ }}9 z3 Q3 }) }) n) \

1 T' O" c* }/ t 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 ! S, t3 h! q; h# Z' V7 S

( f. I7 M0 C& L1 U5 O, z 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 * p& W3 _1 Y& p2 ^3 E$ \& R

4 F9 H3 L5 [) C& ?* D6 {4 F! I $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php . ]- B s( {# s( {: u2 Q

' Y2 X/ r4 u/ f" s# ` 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：2 i# b& k9 C0 t, a+ d1 A

Q' m h9 [+ E 6 K8 j3 q4 l9 k8 R6 L

7 O& j# f: T3 w2 K+ g0 p7 | 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: * Y0 {; k% ]: K

1 C% Z' [% z3 J2 a ? <?phpclass upload {" h; M9 i9 S* \ {

8 L( H4 s7 P8 G2 Q/ k1 D: B function save() { V+ {) Y" D4 S: r/ f: Z; ~

) Y, s' x k3 C8 V. p6 Q! ^ include load('include.lang'); ! _+ N. D8 j! C. K

0 ^; h# V! {3 ^, m( O2 A. @0 K if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')');. c w2 l1 V G6 p$ ~ G: x

' U* n8 t# z j, @6 }9 P& ^% z5 L % A! W2 m W; i) E% a

# G D0 b$ ?$ n0 o* |- @" A if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); + R$ X7 r, r+ D6 m. ]8 `! A

) |0 g9 n/ T' @& b ) q l# @; D8 @4 ~4 F! B' R; m

9 C0 q. ]% A( T: ]& {+ K% e if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); + O: J; m) e. w4 V

6 {/ Q7 V6 o- L& @( |! _ # e$ g$ U. u M3 K% V

$ D8 a, Q9 J) \( `. r. X/ U6 F $this->set_savepath($this->savepath); & A9 R& j* |6 O$ {9 w* s3 o4 [$ L

( c% Y7 G% u4 a4 @$ A0 [ $this->set_savename($this->savename); : g5 F1 D7 v7 K$ i) n4 y" e

1 X2 A0 g) R% g( n( j : i1 L& M- q* \

) k! F* F0 h, x7 j. l1 x if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);" [- M# l7 }- n5 Z, c+ Q4 ]

( \2 D1 w4 L3 S& I if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);5 E! d0 C0 ?3 {

5 R; y$ w$ D0 |% |: ]+ `* F7 O if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); : U8 [6 `) K: b0 T6 Z$ u

% a7 x: j* h+ u! Y! ]: G 0 o& y7 R" m7 W% _4 v

2 z' f- o8 k- @) N" [1 P $this->image = $this->is_image(); # ?6 ^7 V* l. L, q. F

3 f8 P; n9 Y9 P7 g- T8 Q8 j if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD); " w( ~0 U1 e# R$ s/ B" r

& T) M0 P+ r) X; R$ B5 L return true; . S C. k9 _* o

! }2 z3 W, }! \( X }}! B* B+ k8 [6 }+ `+ S. Q- E

! I3 r6 g1 J2 u: r 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： ; f; x: p, W, I! l* [

c! s2 P- i0 k' J2 M* c6 c <?php( j1 P5 d1 v- J" ]3 R2 y, N

' I2 Z% J! Z6 i6 }4 @' h+ k& e- Q function is_allow() {# R) B8 S, Q" S l

, X* P0 b2 C, {3 p( z3 @ if(!$this->fileformat) return false;! K' b, X, v4 k# g$ g! w

! @9 c, D0 S0 V0 a; w if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false; 5 Q+ d) E" q$ ~) w, N0 H1 K U

0 n4 a u ^3 f3 n! l; r3 H if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false;, ]& D. ]3 x/ k1 a. s

* @# A# C2 ~ L8 W% V6 I& E return true;- p+ e- v/ X+ D# Z7 y

- v l6 h# r- h/ h9 ] w }. F- j# _% Q( g% A8 F W

; A* T5 L7 Z% R( C! Q, I+ w 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。; L$ e$ H% h. R2 c& P Z

/ C8 L8 `$ q7 B3 G 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 - U2 e# s: J" j& F6 E$ t5 r

4 _, r! k* t* m5 V. w/ y& q 漏洞利用: c0 t/ q6 q: F9 x' ~

2 c2 l/ z; e/ x- q6 o2 o 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。; ~; E, F! A4 j) k) u' S

6 g3 N" L2 } w, m/ G' j) Z 3 {4 _2 g) S' M- r

0 w# I( d% z z 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid 8 }" O6 E. A8 |# t

3 S1 w0 y8 n8 x 不过实际利用上会有一定的限制。 ) u+ g( f; h+ j6 l. t5 i

& ?( b" Q. e$ ]& T% ` n. A- v 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 0 s7 M0 J6 x2 v9 t" [& H- z

! [( N& r9 \$ c! ^) a + ?0 B6 B2 _: G7 |

- ~* s0 F; _* u1 d9 } 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： , X1 ^3 j% B, D2 A* r- @" z$ l. B2 h* U

# W$ S o. h3 R 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... + v' G% N( R0 P) ~4 C+ X$ t& C

( N* ^& O) c) p/ ?/ M6 A' }/ q- f 因此要利用成功就需要条件竞争了。 8 U% u2 L/ [/ \; c9 }& K0 z P

. `5 U/ _0 v- o+ N% o" N 补丁分析* z8 D c t, ~6 k$ b

- P) k% b( r7 J) Q & L* t. T$ Q* ]& A4 N) I

: W" i* t- G9 e( I 在upload的一开始，就进行一次后缀名的检查。其中is_image如下：( X5 `. u; ]3 W

! C" ^9 x( H$ I s1 x. g* w function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}/ A1 z3 l% ?6 @. J8 _9 Y) {

1 ~# h8 \# R' ^; d% ~ 3 g5 s' C. W3 Y# A) M

2 b6 O. H& v4 ^+ u5 n 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。, h4 I0 F# N& f' t

( I7 L- a4 l7 C ~) i1 } 在is_allow()中增加对$this->savename的二次检查。9 p; x0 u$ g. ]6 d

5 \# n/ s& H0 X# U4 Y' X 最后$ ?' M0 A: k6 S4 f7 e

# q6 x, R# l+ d" p! l: J 嘛，祝各位大师傅中秋快乐！ V7 O! e3 o3 P+ e8 {

0 t6 x/ P, M, }% i ! z* [4 i( `# Q1 L7 ^3 g& @

		自动登录	找回密码
密码			立即注册