ThinkSNS 2.8任意文件上传漏洞及修复

admin

  微博上传图片时只在前端进行验证, 服务器端没有进行安全过滤。
4 c; C- u, j8 C9 Y1 ~

\api\StatusesApi.class.php

function uploadpic(){
. P0 _6 U7 `" y$ T% U8 @* v( N' c      if( $_FILES['pic'] ){
+ I! P5 e7 q" j. m; D% L     //执行上传操作
1 M/ _4 m" j. G  R9 f     $savePath =  $this->_getSaveTempPath();
0 o  n! Z+ r. t; t+ K0 ^     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
       {
        $result['boolen']    = 1;
        $result['type_data'] = 'temp/'.$filename;
- l6 ^( h. h4 Z: I! l+ X        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
% B* H) H1 H9 t2 |7 ~       } else {
) m" ^( `- `% R* u" d. \" m7 d7 E        $result['boolen']    = 0;
/ L1 C" v8 l, Y% P        $result['message']   = '上传失败';
       }
6 X1 P5 c6 L# a* M( \1 ~; [     }else{
         $result['boolen']    = 0;
* `0 v3 }5 l; T7 d" Q         $result['message']   = '上传失败';
     }
return $result;
% P% i# }! Z* L$ x! a    }
) f! V+ V& F% Munloadpic()方法没有对文件类型进行验证

) i5 B" N$ D3 p7 k/ E可以构建表单, 选择任意文件, 提交到
/index.php?app=w3g&mod=Index&act=doPost
6 n+ `. a8 }% C
在新提交的微博上可以找到上传的文件地址(去掉small_、middle_ 前缀)

/ n4 [* ?4 n  U. @9 G
1 ]" u3 g+ u! W3 A2 P' R在登录thinksns官方微博后,
构建以下表单:

8 A4 E6 U' i! Z, P! T0 H<form action="http://t.thinksns.com/index.php?app=w3g&mod=Index&act=doPost" method="post" enctype="multipart/form-data" />
<textarea name="content">test</textarea>
file: <input id="file" type="file" name="pic" />
<input type="submit" value="Post" />
+ ]: Q* j. U0 j* Z3 X/ c0 a/ L</form>
  {  O  J1 b' x' @" c9 b% x/ n去掉缩略图的前缀(small_ )
​修复方案：
% [$ c) R0 }5 r1 N% I# S. ~
' L8 G: m# J/ t) r$ V3 _6 o
\api\StatusesApi.class.php
; ?" T; K/ F$ H# d& W4 w( d
function uploadpic(){
     /**
" x( k2 \7 E4 }/ z4 G& f      * 20121018 @yelo
      * 增加上传类型验证
      */
& P/ C% m2 J2 }# |8 E" Q. x     $pathinfo = pathinfo($_FILES['pic']['name']);
     $ext = $pathinfo['extension'];
$allowExts = array('jpg', 'png', 'gif', 'jpeg');

( M' Z. \1 n$ _9 w+ U     $uploadCondition = $_FILES['pic'] && in_array(strtolower($ext),$allowExts,true);

6 n: I% b) w& {- B     if( $uploadCondition ){
) {) E" y1 c# m8 Y% `9 @7 R; f     //执行上传操作
     $savePath =  $this->_getSaveTempPath();
  r% h; `9 G- O9 A     $filename = md5( time().'teste' ).'.'.substr($_FILES['pic']['name'],strpos($_FILES['pic']['name'],'.')+1);
    if(@copy($_FILES['pic']['tmp_name'], $savePath.'/'.$filename) || @move_uploaded_file($_FILES['pic']['tmp_name'], $savePath.'/'.$filename))
" `  ^* P" Q  B6 @8 g       {
        $result['boolen']    = 1;
        $result['type_data'] = 'temp/'.$filename;
        $result['picurl']    = SITE_PATH.'/uploads/temp/'.$filename;
       } else {
        $result['boolen']    = 0;
        $result['message']   = '上传失败';
& e, `; {% q% V: x% O       }
     }else{
% g$ {3 [! }. c2 b. N3 |         $result['boolen']    = 0;
         $result['message']   = '上传失败';
     }
return $result;
    }
​
: b7 a1 ^. g+ i- I+ G4 P3 P" F
; ^  C. Y9 U' g- [