Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

* i4 n& Y( y2 ~- E8 g7 j& S3 O

) l [' y, M! X: l& I S 前言1 x! U! U0 [( y( b

" J( L5 N7 q+ a) _ 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 5 j$ H8 \8 v: D4 B# e% `; V

9 _7 @( S! [& O9 T; }! O. A 7 B2 s/ }& n8 a/ v) a

7 w) y( U( d% d 漏洞分析 6 C' y7 l: ^- r6 i- g& E8 S, `

1 j; Q# r w* R8 q' G0 g 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：7 ?3 x+ h" u. f) b5 {0 V' p

) d" l+ f1 ?, d1 w3 O5 G, g3 } - B$ X0 m' ?) o) g

0 k0 f& t! i5 k' U$ P+ M9 [# N 对应着avatar.inc.php代码如下： . _; k7 O! \( \ a/ W+ z- u

2 y, t9 ` j& i6 u; b" C& y5 q <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) {# |$ Q7 K3 D9 s

3 U% _3 A# i2 K+ L. C$ j9 R; z case 'upload': / W$ o6 `; d' N( h. u

% t/ S* U/ A* p+ ]$ w if(!$_FILES['file']['size']) {; ]" [6 G2 r" W) X5 n6 U6 i

. J- d1 G. `, k1 b/ r; |- H7 s if($DT_PC) dheader('?action=html&reload='.$DT_TIME); , [- w3 p4 [8 F9 L5 O

7 [+ r1 d8 I" f+ t9 A+ p exit('{"error":1,"message":"Error FILE"}'); ; o/ D0 L# Y4 ~0 ~5 s

% `* H q. ?4 N% n. { }+ x) ]1 |8 I0 u4 r! V& Q

" p7 e- u, J3 o' z( y Y3 M require DT_ROOT.'/include/upload.class.php'; . J9 C+ }0 g8 j( J' b

2 |2 ?' Q$ @+ q. r1 h; C) q: H4 l6 d 1 b) Y. ?+ P4 Y% Q' t1 `) ~

1 g' L& p" E, m; Z8 R$ N $ext = file_ext($_FILES['file']['name']); * e( m/ v, v8 \' R- b- _( q

g7 S$ z! p" m& G! k/ ~! U* l3 v, Y $name = 'avatar'.$_userid.'.'.$ext; . |0 Q2 `& a# _

; y& [5 m' w* B: k# F1 u $file = DT_ROOT.'/file/temp/'.$name;! d& }' d& i2 J) u3 i9 X5 A

' S+ w5 j8 \4 Y( r& \ 0 c9 o& A/ V* ?& u

5 ~) S' h# I7 g2 e& l5 j if(is_file($file)) file_del($file);- _% g" z+ H, l% @: r6 |; K

- S+ M+ i# J1 h! U5 o $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); 9 }/ d$ v* I/ y! Q. \

- i( ~) {' I" ~ ' J& F6 l1 S( W3 l' w* W- h* W% {

+ O# M6 z4 O* x: L& b5 e$ n $upload->adduserid = false;; _% U' \9 t0 `9 v: N

$ v; u5 }$ }' G6 Q& P- ]( I# G6 _7 W ) }) l% Y9 K) J$ H& @! V

1 A* E3 m+ G v4 Q& h+ ^ if($upload->save()) {$ c8 T3 a. R5 h: O+ X+ J/ x

. `8 P' C( Z9 V& j ...) _0 t8 ^' w; a% p7 Z! g& Z5 P

+ }: f, K1 k: j9 Q! Y } else { ( q; ~# a! x# c0 S

7 H$ x$ O! e" V! w* A# |- u ... P, d, z: n |% v6 g" H0 k8 S

7 t2 N8 G. D+ ?" v. K! } } , {; e2 Y, g( s0 F' Y9 o% |

- W: I3 l& x6 Y; i& E7 U: T$ @! I; x break; 6 T! b7 V9 V3 b- H

8 F8 v7 a- x8 V 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。* M: F0 X4 l4 p8 R# y+ V

& W* ^# C3 Q1 N1 \& j upload对象构造函数如下，include/upload.class.php:25：3 t3 t3 [; `( Y7 g$ N# z

, M9 D: J5 m. D+ G' k" X2 U <?phpclass upload {( m. W8 h/ I+ H- x: w

" V4 v" W8 X" O function __construct($_file, $savepath, $savename = '', $fileformat = '') { * A, }2 k- a- ?1 ~, C; c

9 v1 Q3 g! A: ]6 n o/ ~+ P7 F; T global $DT, $_userid;4 ^( I4 {. N0 s$ L( w

5 W2 X* v, _8 F( b foreach($_file as $file) { , e% f! O3 \: y2 m* J

0 m3 \2 x; ^. c' G' d $this->file = $file['tmp_name'];! z+ Q" I% V0 Y" g$ `

, x$ F% K5 ]' j! B $this->file_name = $file['name']; 9 @; H w1 T) |* a; H

- P7 R1 {) Q" e. {) V1 J $this->file_size = $file['size'];0 N! ~" C0 Q* A4 ]5 L# \, j% ~+ {

% Q( M6 @2 O- B+ r' K $this->file_type = $file['type'];8 u" A) _" G6 i8 o" p

. U8 n, S Z2 ?; z9 Q5 I $this->file_error = $file['error'];4 k. @% {9 S* G1 r# Q J

0 M) x: x, v5 Q2 K( `% | 3 i R& b9 U# [! o9 k+ |; Q

7 Z1 z1 N; X* M+ _ } & r5 W( G( s' H. G3 n

2 ]$ \5 T& o) d1 g $this->userid = $_userid;+ v2 O" j+ d: p9 `5 ?' w

) M e$ J9 i8 c) P6 U $this->ext = file_ext($this->file_name);. H+ d" Y6 E* W3 C/ U

s* _! w, O* t, o$ ]# i $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype']; 8 J! b4 z" b' ?6 p# Y- b/ a* W

0 T: H0 d3 A4 |- ?+ r $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024; K! p: ^9 |" Q$ I+ d+ W: }$ N& S

/ l3 E' ^# c7 E $this->savepath = $savepath; 2 T3 l4 |4 y& X! G, b @/ D' t

7 M# `& Q* A; U4 l6 |" n# w7 n# m $this->savename = $savename;4 V6 {3 J" s8 }$ I, }

# h: c$ C4 K7 e" R }} 3 Q# B2 B; L7 g- r' r: n

7 K. d: y* C: F 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。 $ b; S: q6 ~# v

# v. d/ Q4 W) e* I& `" U) i8 P 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 * X* X% ^ q0 [' m( {

7 t8 R' f! }0 R R $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php# o4 @3 I8 j. U' K3 x- e: z

+ j" [ s& M8 e" B- `# B& { G! B 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：! k: e; P3 ~. c" n1 X1 b

5 S0 ^/ P! D) D, n: O ' C% G- R0 q7 _, ^9 b

( g, P- O! ~% w' U2 k 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50: 5 V# b0 L; R5 i; W/ y* d

1 f$ \! C7 {/ J. U <?phpclass upload {2 Q9 A; @3 \, p' L" b/ b$ ?

8 B( ^$ A8 Z0 t0 F; `& j' D; X9 [. m function save() {( C) B3 L- `( u% f; b

; y: U7 o% ^" k! a1 D, [% s# f include load('include.lang'); j4 F- b- f, {

( \: m1 j( l' { _ if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); 0 `+ |0 a* P- d8 O* j Y

+ i0 ~) H$ p( l: j7 E8 g7 _ ( w& H: s @& I

9 F/ P" A/ P. m if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); 1 L& E; G% j" y2 b

4 j0 k. G. y$ e, x9 { 0 H* v, m; v) Q8 b

" c7 Z$ d* ]- }: K; G5 x if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']); + O p- t* W0 |& M4 K5 Q- {- j: G

" Z, v7 m- e( E& t % D; j. F" d* D7 T* u% W0 C8 a

, J( x6 T9 Q) ]; W" {3 _ $this->set_savepath($this->savepath); " u, F6 r: y* g7 T, {

0 c1 j1 R! i% C' f- l $this->set_savename($this->savename); m7 w# a( d2 y2 }, ]) x* M

2 j' D* q3 @- q 4 I: A' D2 F% u Q+ x* J& X; N9 y

% c9 A6 y- W7 S$ [: F if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);4 K4 ]& T$ L+ I% i" A

1 I8 o$ U0 O9 \8 _+ @- A! h- g: c if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']); 2 T- L$ Y& `( H! x2 e6 U2 L ]

G7 m. L4 M3 y! t- U% d. d if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); . k" _) F# x6 H

3 `; n4 j6 l9 R8 x' I( h / m+ C0 d% F( |$ }7 G# u; r( V

& }, {( s7 _9 |, l" B $this->image = $this->is_image();# _9 s! `; t8 E

' C" z0 b$ n* B: S if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);( c. o e! F; }& i

) J% c; Z% \8 E" J' [; A- ]% B0 t return true; ; U6 {! V4 A* `+ m: d# k

6 Q! A6 @1 e1 `* J, c W" y5 P }} ; m' I! ]8 Q! C4 E

' d- `+ A, } |! q- v7 `7 {/ w7 ? 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72： p1 ^3 q1 Y! R3 m* R: t1 y$ t

5 ?2 N( \' q. u6 V% b5 ?4 _ <?php* ~( q4 \* L; d3 l

, v$ l5 M+ H: K8 o4 F& c" Y- B function is_allow() {) J) I* \" w+ w% {

7 J8 ]+ {- Z5 ]& T if(!$this->fileformat) return false;9 c2 X. [( R* g/ T

8 m( S B) e3 L if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;. {. X) \& {6 a B

, {: y5 [" D% F. n% `$ P/ x if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; $ q' n: `; _2 G% a

- _5 w. @5 }6 {# R+ c return true;+ ~/ {8 @9 W, r. t/ H- Y

% Y* Y4 f' Q1 m, _/ J% M5 u# V3 j } * |* I2 m. |. x$ r+ ^' r- J

! |7 W0 z+ K$ c1 I; C 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。7 g! ]7 j6 X9 {/ {; R( D$ f

6 \' z+ G" o/ x 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。 ! l' ^8 j* A" Y0 Z8 m

1 h/ u2 L* u3 k: K# Z9 S 漏洞利用 8 M( S4 e2 [3 [2 ]) x

! X2 X F* M6 M0 ^ q- i. a 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。1 v, [# U1 f3 [5 c/ k; X! A" b

6 i. h- h% Q7 Z; F 9 n3 f( x6 X _% U

" I$ g) Z: p% q 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid ' N. A; p* `1 G& ^, G7 }5 T

) O( [5 c, J1 B, o$ S 不过实际利用上会有一定的限制。 2 U* h8 H& P7 a* c1 Z# _) B2 r

$ V, z! |' ?0 g. t2 V+ B8 R. g/ Q 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 9 k% y$ ~0 g8 c

- b: U k( E& n) C5 N " c; h% G+ g( e' J

0 b9 F1 I: f8 ` 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： - i) f, S" E9 _' b

: O2 m5 W% e, G% F) L/ { t 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略... 5 H, j. q8 M3 a8 s. n% d

! o% k D8 P* t 因此要利用成功就需要条件竞争了。$ } y# G( l% k* q6 x( q

7 b$ Z9 F$ B1 W5 X1 B: a7 Q2 w 补丁分析" L% d7 b+ m- v

6 P6 d& j2 c2 Z3 v' a* v. D1 K 0 c* _/ l; d; j

. t' l) z, k6 W# ` k 在upload的一开始，就进行一次后缀名的检查。其中is_image如下： $ a' B5 q. Z. h# |& ~

: X, _8 K, }: A function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));} 1 D. j. A# Z3 ^% t8 C: T

6 {) S/ S8 v0 Y+ @& S 0 |! F& z# n. Q( [

2 @6 {; w- }$ E9 l$ K% V 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。. D. S# t% o5 C! i. }

1 @& e0 h) K4 q a0 j 在is_allow()中增加对$this->savename的二次检查。 0 h9 G e7 z: q9 M1 P! j

1 a! w" p7 L0 x6 B2 v 最后 & E+ o9 f; v3 `7 |5 }

& m% z. O7 N5 f( h% d+ p3 z& M 嘛，祝各位大师傅中秋快乐！' a/ y7 v2 q, N2 D

& H" `2 f1 @7 P4 b3 E 1 {: v/ |( o# E

		自动登录	找回密码
密码			立即注册