Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

4 @1 _& R# J" Q! I; p- D/ H

! B0 B7 P/ b$ F5 j( J- p/ g 前言 ; v! s' D) a! ]( r/ {" _. L8 a. n

- C- O2 `- K; {& r3 |* |/ ~1 f* O 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 % K" H% }' f4 [ w" p9 K9 F, ?

( G% u$ B7 S; y" Z( s# ] & o w. c; C+ o3 ^

8 b- L( q5 d2 I6 k/ M# m 漏洞分析 , i( r% g3 J# p' Y

4 }& G- q/ T! ]' K! e( \3 N6 O4 f$ Q 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下： % Z' `; E9 L/ v- ~& S

9 e0 ?1 E( I' D0 ~4 f2 j# Z3 `8 ? $ I3 M0 S8 H& a

' d% N5 E# _$ F& d, s 对应着avatar.inc.php代码如下：( d) h$ i; S2 q: ~

6 `3 N$ f! ^; E5 K6 Z <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {' i. k6 s' h7 ~

& h: V/ r4 H3 L9 K* G; c* k- H case 'upload':* R! L, B+ ~8 o- |& [$ {

% W5 G% V% ~+ o5 V- h4 n8 @; r5 u if(!$_FILES['file']['size']) { 8 s& x" {2 f8 b7 y6 b, U

. z |$ M& q- W+ D' {* J if($DT_PC) dheader('?action=html&reload='.$DT_TIME); - U6 R" ]! d) H( x' A, R

7 ^0 Y: y. o* R" X+ e exit('{"error":1,"message":"Error FILE"}');5 t' }* p" n& P+ D2 c

( ~( {% v: n% a1 w) E } , w7 l) Q/ m h) }4 X

9 p2 \- B8 }) f; ~/ S! r require DT_ROOT.'/include/upload.class.php'; 8 x, a+ g4 `: D, U1 H& {! V9 L

; o7 b# ~9 p8 x9 g- o " D% G9 M9 a C! _3 q2 l8 e4 L

8 x0 u4 v& p3 W- e $ext = file_ext($_FILES['file']['name']); {, `( `% u% {, B& g) n

2 _7 g+ {2 F8 K2 x $name = 'avatar'.$_userid.'.'.$ext;9 S& `) Z/ Z @# o k5 R# K$ t

2 X0 a5 U5 \( P7 q $file = DT_ROOT.'/file/temp/'.$name; . g9 f+ @& R; }; B' |/ U( k' A

* p- v, T4 M5 m* g& h) v / h/ q0 F. G! S

! U5 e( K" p' ~( q& s+ Y if(is_file($file)) file_del($file);# {& [8 T1 n/ {$ U

5 q( Y1 d2 G: H5 `! C' M5 m/ x $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); 4 K) i M2 F7 `" F

: j+ Z% D6 K r$ ~; ^ + I3 [% p- C( g- p3 e* `

, M" P+ n' ]. H# R9 N $upload->adduserid = false; 7 W. W4 G3 E1 ^4 Y

! w% G; u" `* \* @/ ? # d! v6 u7 O3 p) }7 X! k5 o

; w6 T+ F$ s/ p/ r3 c if($upload->save()) {* _" t2 N: g1 g) X9 ?

. m; i/ n" O: p1 @" B ... * k7 O8 X" O4 K5 v+ b

* z7 P) s3 A: R* @ } else { ! j# c6 ]' i; p

( G3 i& A, ^0 j ...) n! U$ ]6 D1 b. W3 _

- k4 U3 E7 x! z: Y } & F. v0 D( G: x# }' n# [) \" O8 w2 H% ^

7 D4 q" o" Y" U, D- R" v break; O, n2 t5 {$ @/ h" }% n/ Y: e3 `

! U+ L1 ]# m: ^3 Q1 w; z3 w9 ^ U" g 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。 ( S: Y- _! X+ Z6 @/ M5 e+ j, Z

8 R, `. ?5 e. \3 p upload对象构造函数如下，include/upload.class.php:25：) Y8 H1 ]5 }% P# [5 D

7 f4 n0 k6 I) V3 M6 d: l <?phpclass upload { % c! J6 m/ r* A8 v& g; Y0 z" F7 Z+ K

9 |+ R4 B+ r& ]9 v- o function __construct($_file, $savepath, $savename = '', $fileformat = '') { 6 N! `+ H/ `5 J( N7 z

: A& ^1 Q! T- F global $DT, $_userid; . {) h* z! Z9 i% V# ~( l

% e! A, x% z' f9 ~' B foreach($_file as $file) { 1 |" `: I# `6 x( Z; q' w

( K* {, I) Y! H" h. r# | $this->file = $file['tmp_name']; 4 y# z' n; e. b5 ~7 q2 O) Y7 k& R. t

8 I5 f5 J9 Y! `% r" n0 S $this->file_name = $file['name'];' J' p+ y$ w# N- c( ~; _

: E! r- f) U, u' K0 L$ X $this->file_size = $file['size']; 6 Q# t3 r' u' L' {+ n

( v& O1 P2 R! c, s2 m $this->file_type = $file['type'];$ F0 t G5 j& G1 {1 Z: F

! m. N. |2 ]8 ? $this->file_error = $file['error'];8 `. a3 O* G& X6 ^

3 ~$ a8 c# w" _ $ t* ~' [6 y) j; l3 L& t" W

& J1 o. n7 _9 |. G! o" z' F }5 i8 G- v8 G4 T! j( s/ S& X6 M3 O

1 z. Z) c# I8 y0 W/ |0 d$ p1 W' D $this->userid = $_userid; % `0 }4 S3 r- V- {% K+ g- b9 e" y

+ x+ o7 s: [1 f" ^: v $this->ext = file_ext($this->file_name); ) d" r) [% f5 u5 q. A

; ^$ i" B! @# \4 E7 c $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; . I% u) j& [" X* o- P: n

/ w% F9 ]8 Q4 @. {5 z) h $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;6 `7 p- _/ y$ Y: V* s

' d2 }8 i4 J! `: e. B2 C$ k $this->savepath = $savepath;! P! v. r/ H* E- [% R9 L, F

- b' G/ k% H' U9 |% W $this->savename = $savename;% {7 h7 |4 a0 o* `

9 V C" ]% ~4 h4 K, ?. f4 `' {" z }} 8 y% [* ?, S( v% f! N8 I

& ~( W" u: x' d; z" X) Q P; t4 m7 w 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。& ^' b# {0 Y1 B6 X0 }# ]

7 O( B* M: w5 D, h1 V% d# c$ V& G 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 2 W+ C% }8 q; E+ C& I; e

' C4 J& d# p" ^ $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php5 R9 Y; A& _/ M9 f7 F' @

7 R( ]* k, r5 Q: s+ C H5 O 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： / {: Z1 W9 R, o6 t2 t8 x9 ~

3 U! N/ d' W1 j0 H 2 h3 f' L2 H9 H

& y& U. M/ O3 V! X# i1 R1 G 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: 8 y. C( e2 `1 a9 q) E

8 t3 B6 G0 ~) N <?phpclass upload { : L* z; E$ J3 r: g! t9 j( Q3 x

+ K) U8 q1 T% k- @5 D function save() {% z1 W# l; ~' R7 J+ x

# j9 w( Z/ n, E% P/ b; u% [ include load('include.lang'); u1 {/ l: h4 l1 D$ Q* ]

& ~3 z; z: @" m1 v8 D3 ^8 b if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); / a8 R* P4 l6 [* g8 p( q: t

4 S: O/ L" {2 P! x , z3 a& G- o% Q. X; s

8 y0 u) W4 m7 w+ J2 W+ @* A if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); ' \+ N5 p, @; c8 h8 N+ I" m) L

5 A: [: f+ h; K' a- D 0 J$ C8 p3 m+ \) I3 x; }

1 Y5 c3 q% h9 r6 u0 B- R if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); 1 e' x5 w. J' a; k- R

6 ~0 G) q" ?/ W 0 }+ ~% S5 E8 C3 c( P

2 x& \- q t8 }. `# v& B $this->set_savepath($this->savepath); ( B; x5 K3 a: n- h. w4 q: n

0 S, M1 h* f- Z% O8 c/ n& B5 ]. T $this->set_savename($this->savename); : r% C) n5 K' q4 A$ t6 u4 ~

% f$ s/ [9 \3 b+ G$ |9 _ $ H; M: \6 I8 s* V" a" p, b

5 T! Y6 q3 H1 a1 v% O# {9 r if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);; `/ j& n/ F/ _4 E3 }) U% D# X

5 G6 G# m. u( _4 V! o W1 F" S if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);9 c/ Q$ `! S3 o1 b$ d. j b

% D( M! G7 w$ {7 e if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']);2 F3 h5 [% B) g/ d4 K

( o! X& M! L, }$ O! v/ I, B# u ) _3 D! A. C6 j% X# ~+ J2 V

8 F' I% I9 N4 s: P/ i $this->image = $this->is_image();" ?. V! b2 t" h7 F

3 A7 i4 I2 |( Z5 N% d- p8 k4 y if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);( s9 N: p$ n x+ }# |

' @* y% A3 n8 P5 d- }% m return true;( t) N; B% ~& m% f

) P. m; s! L7 [2 f& ] }} & h \' G5 `" j$ x

; F) N2 @# |6 ~ 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： . o. z2 D1 g5 ?' X# e1 l

( o( z1 ^- }$ @* k/ a7 Q" l4 ? <?php- O; a( M8 N; p; o' K1 P

6 e3 N; M% A C6 w5 M( @: c# z# V function is_allow() {7 B) D4 `' H! k2 o' @

' K/ L6 g! o3 A7 z2 t- M2 K if(!$this->fileformat) return false; 2 b p' y2 C6 q7 K; y

: C/ b$ `; F- l) ?( s9 y if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;9 o3 {7 K! H, M4 o8 J8 t& s

2 i4 [- K. ]: p" e if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false;9 k0 k9 q# P2 u- w( [- y

3 [, u2 ]1 W. i& t" B+ V9 o return true; ) f) Y0 V" p/ _' x8 ~

' d) ^1 O9 W' O } + |6 p" u1 ?% O" ?% h

+ ~ [& m- V, n: m8 Y2 B2 I. z 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。4 O. E4 V1 Z; m2 w3 N; W- }/ @

7 J: z& b" V+ s' C. L) C% ^- p 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。" [3 S. m' B6 P" y/ h

, x( h5 y' R5 ^- R1 i7 c( {5 L 漏洞利用 / H% H# E; {+ T& p9 u

; ^- Z$ S4 p) f. B, n( ^ 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。1 \% @% |/ p* R2 Q

- u$ Z8 k8 `+ Y; F3 ]% [, ` " l3 t0 K+ D8 d& S

+ J4 s( I5 D8 A5 ?/ u' Q# L 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid A$ S& m4 e) q( t0 V; f

0 \- u: w! L# `' W4 A 不过实际利用上会有一定的限制。 w L; p1 l% Y' p0 ^7 Q& T2 j5 w

. v( ~$ W: t8 g' Q* x" j 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 % k4 j; `4 A& m, H1 { T1 a: Y# z

% s8 E- j0 ^7 f: `/ L# q+ C+ @ - {& J3 Z' v! U

0 h' ~" f+ j" Q) ^- q* B+ h5 D 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： # e9 f% c( M5 V

5 |: E* k! m) A7 W. S% [3 v 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... % \& E. X& h8 W: N- s2 y5 ^

: J( s% N+ z" ?/ `+ h 因此要利用成功就需要条件竞争了。 $ J3 d$ r" i+ \9 d0 K9 q

7 K/ F. W3 f+ g; { u 补丁分析$ ]5 A$ d8 w" { N9 ^, x

5 i% S( R! ]9 k; X 8 a& H* Y& x: |5 m

9 `: T+ o# G7 ?1 k 在upload的一开始，就进行一次后缀名的检查。其中is_image如下： 5 W% o7 Y& O3 F# H: |

) g" l# S& p' p5 q$ ^ a function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}9 p) d* C8 J, N$ \ _9 i, O2 f

7 q& L8 Z& L1 G $ L6 b4 e; I% U

- O9 x( \; i- j Z5 t: q h: P 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。: X9 f$ ]0 n, ^" N) z# t

* Q7 A, ?0 t G d; J 在is_allow()中增加对$this->savename的二次检查。 + E r7 ]6 K2 z* x" J# @/ a( y

9 d( B! L6 R6 k 最后6 [% L& \0 F: u

x! U# e- L5 g/ R: M 嘛，祝各位大师傅中秋快乐！ ) h, e; \" z: i! X+ j

) c' q& V' | W4 p; I8 a6 R; D3 A 0 b$ d6 _# S" ~ r! ^1 Q

		自动登录	找回密码
密码			立即注册