中国网络渗透测试联盟

标题: ThinkSNS 2.8任意文件上传漏洞及修复 [打印本页]

---

作者: admin    时间: 2012-12-4 11:12
标题: ThinkSNS 2.8任意文件上传漏洞及修复
  微博上传图片时只在前端进行验证, 服务器端没有进行安全过滤。
, G8 [/ U% e2 v2 |6 }8 F9 r! f6 G

\api\StatusesApi.class.php
/ j& y7 s3 t: d% G
function uploadpic(){
- W$ q! b/ a9 u; i      if( $_FILES['pic'] ){
     //执行上传操作
: D" ^  S0 F+ p9 ~: K% P& M     $savePath =  $this->_getSaveTempPath();
     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
       {
& K( Z. K( C+ e: [0 M  j6 `        $result['boolen']    = 1;
# Q3 k( Q4 P+ {) Q        $result['type_data'] = 'temp/'.$filename;
        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
& C' ]& v2 I& k# h$ m6 w) d       } else {
        $result['boolen']    = 0;
        $result['message']   = '上传失败';
       }
/ q, `+ w) W- q" p( J" @0 k7 v     }else{
6 r7 e- A) D% K; V7 M5 f) _, q, p         $result['boolen']    = 0;
2 u: D5 i* S( x( H$ s- B         $result['message']   = '上传失败';
     }
0 a  t" B2 Y6 B; Wreturn $result;
    }
: w7 J$ W- s$ b" A4 I5 ~. j$ }5 Junloadpic()方法没有对文件类型进行验证
4 I$ G* x( `' S1 i2 P2 I
8 e, J8 x' }2 u! o' y; z: p可以构建表单, 选择任意文件, 提交到
5 _+ T# m4 Y6 ^- f1 J0 d/index.php?app=w3g&mod=Index&act=doPost
+ Y. n" \, j/ w! k) X. S* H9 b$ z
- f' ?3 F" ~* h5 l! H7 X) P3 r1 n在新提交的微博上可以找到上传的文件地址(去掉small_、middle_ 前缀)
* c2 e( i* f. y3 l

在登录thinksns官方微博后,
构建以下表单:
) g; t3 G9 d2 z* j
. t& I5 S5 x& v* T5 B& I<form action="http://t.thinksns.com/index.php?app=w3g&mod=Index&act=doPost" method="post" enctype="multipart/form-data" />
7 I! K9 Y: z* k<textarea name="content">test</textarea>
file: <input id="file" type="file" name="pic" />
<input type="submit" value="Post" />
0 F; X% D" x' y2 h0 \, }</form>
去掉缩略图的前缀(small_ )
8 T4 B3 j" W, v3 d% |2 }6 N% {3 d​修复方案：
  i' B0 v" n& b1 C5 B$ H
$ T5 b8 l  `' j2 w
\api\StatusesApi.class.php

function uploadpic(){
  f" X, D) m. C( k8 q     /**
9 V, G! a! r! W+ a7 }2 p. G3 K      * 20121018 @yelo
      * 增加上传类型验证
      */
& m9 w: R0 e: I8 \  ?+ p     $pathinfo = pathinfo($_FILES['pic']['name']);
* H3 Y$ d8 i5 b3 ?) r8 ?     $ext = $pathinfo['extension'];
$allowExts = array('jpg', 'png', 'gif', 'jpeg');
. b+ J7 k9 f* c: L& p8 Y0 t
: p+ v7 a+ H% _' ?6 w/ H     $uploadCondition = $_FILES['pic'] && in_array(strtolower($ext),$allowExts,true);

     if( $uploadCondition ){
) ?. q9 C) a0 `6 V4 X) N% l     //执行上传操作
     $savePath =  $this->_getSaveTempPath();
     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
# P6 W0 \: x- c8 q' K       {
        $result['boolen']    = 1;
9 d6 @& W* C$ d* ~" }        $result['type_data'] = 'temp/'.$filename;
  R1 L( o' F. p" Q% b, t4 z. }% }        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
5 S" L# }% \+ t; E/ t" H# B       } else {
        $result['boolen']    = 0;
        $result['message']   = '上传失败';
       }
     }else{
         $result['boolen']    = 0;
7 p, a1 ?$ w5 d+ t) I         $result['message']   = '上传失败';
     }
return $result;
5 c, h! k+ k/ d( }) y    }
# N6 S% t, W9 w. Y​
( Q% E  M% p/ c# E. N- P8 |

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2