Destoon cms前台getwebshell

admin · 发表于 2018-10-20 20:13:12

% c4 v- r, ~4 W: `& k

+ N t: r/ x! |& J! B9 z) [. I 前言( H4 {# b! B! [

1 b7 |& f6 H. a" ~" X- v; c( D 2018年9月21日，Destoon官方发布安全更新，修复了由用户“索马里的海贼”反馈的一个漏洞。 : a5 g b+ ]- I: i# l0 A1 L0 @" C0 Y

7 o7 p. @+ d4 M" Z7 F" a / f Q) `/ \( o, ^2 g- d

/ A0 g- \7 N) q8 C4 f 漏洞分析* U+ V7 g4 p! m

* v. E+ \7 p* `: d 根据更新消息可知漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下： . w9 Y' k: ? B: G" h* L. ~; t! H

8 A( T6 D. L& Z" r8 o8 q/ o 8 \; ^8 h% V7 v3 n% [% V; Q

6 o& H) Y5 T- [ 对应着avatar.inc.php代码如下： 5 |2 p% Y! ]9 E$ H9 f

7 r7 h; G$ ^/ R! f# O( `( F <?php defined('IN_DESTOON') or exit('Access Denied');login();require DT_ROOT.'/module/'.$module.'/common.inc.php';require DT_ROOT.'/include/post.func.php';$avatar = useravatar($_userid, 'large', 0, 2);switch($action) { ; l. e) N; B1 j j( j* [' E

I; S+ T! N3 @" |' J5 s case 'upload':+ e2 L& \/ l4 Q3 T: I

1 V' B; J1 D0 t- ^1 K1 A1 n& V' y Y if(!$_FILES['file']['size']) { ' o5 n: |8 ^! {! S0 M) d+ n

. l* j k- \' M) R6 u/ h! ~+ }8 k if($DT_PC) dheader('?action=html&reload='.$DT_TIME); $ z3 G- o( ?3 W% y# \5 R: Q

9 @0 l" l7 o$ I7 K) R8 Q6 k exit('{"error":1,"message":"Error FILE"}');6 v0 X; q1 Z% [

7 c# g) {' \0 i( X N } 8 G2 q* d1 O2 j5 t

3 A+ o( O2 ^. [$ N8 j- L require DT_ROOT.'/include/upload.class.php'; 6 ] u9 G1 z' I" k7 f

' C- k7 e( c4 L8 }5 _ 1 g8 I1 d3 |2 B k* y* i

! _5 u: R4 \# @& t+ l2 `8 l. r $ext = file_ext($_FILES['file']['name']); 2 I" J" p: i5 u% d3 e0 }

. l+ E9 U" X( R6 T$ j $name = 'avatar'.$_userid.'.'.$ext; ' z- O! S# z: n

5 {6 B6 ^. Q: ` $file = DT_ROOT.'/file/temp/'.$name;% b" K- n- ~% Z& j

* S$ R3 w6 W6 j' G- D 0 b$ x1 P% ^( _. r2 H

% u$ G3 y) K2 _$ [2 r8 t0 l7 {, v7 M if(is_file($file)) file_del($file); 4 L2 \0 d# y1 Z* F: |

( T) U% t$ W+ }, Q/ g4 L $upload = new upload($_FILES, 'file/temp/', $name, 'jpg|jpeg|gif|png'); * e/ A$ u$ S) s6 p3 p) u3 R

3 \. O$ l' O3 l" Q, g5 n/ F 1 Y4 P& _* p& `

5 k7 }: V. s- U9 l3 j $upload->adduserid = false;; J- F) K* y: @. D6 X2 Y) x; F$ b* _0 Z

' _9 V( ^# l* G# C* I 6 i# |# R$ z" v$ ~, B

; ?. i( ?/ p" O K" A if($upload->save()) { 0 G" C/ {/ d% f) b) f

( [ ~2 o9 p d: n5 M" { ...: V$ B* w0 k, u c5 T: v

: N: r' ?8 X/ |, {9 K } else { 5 q ]1 D$ t) q" f0 O P

- J5 K4 P% j5 a" P# E* ~ ...% h# e' T4 J2 X% Z. Y# v: m

7 D, Q d5 Q2 J& b3 A/ Y7 E } + L0 c& j, x0 H/ l$ n! v# l+ U) I

' B! J5 {7 X! Y- r6 r3 F break;! l, }. e5 V$ I

3 N: m1 d1 m# h' h, V 这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。, Y4 x7 ~3 m, j& j

1 T) v* i% w+ B upload对象构造函数如下，include/upload.class.php:25： @3 b& z) E* R% o' Y/ j4 Z6 b$ F

! q4 h$ t0 g; q { <?phpclass upload { 2 F) L) d. f i" ?, e2 b& K

' H0 o# D2 l6 e4 {6 x# l function __construct($_file, $savepath, $savename = '', $fileformat = '') { ! M' I$ D) X5 D4 u* M

0 @% k, T7 B8 p+ M( M J global $DT, $_userid;* F8 R' O/ x' T3 h) l% R8 i* I3 a2 k

0 Z- P. r- ~( |7 k6 u( r8 o6 p foreach($_file as $file) {9 ?9 H" T, a \6 S- k& }/ @

1 c g t9 z( t7 j/ W $this->file = $file['tmp_name']; 6 x. x& T+ `5 \5 L0 T' f: g7 @9 A

; g, d {$ ^2 r: n& }$ p! m( R" [ $this->file_name = $file['name'];: V. o5 e, l2 }0 d8 D+ h2 v! E

) _4 y" `, k+ s; N9 A, U $this->file_size = $file['size'];( C, ^# K$ u6 t+ Q

/ v. F! y s3 {& m k6 V $this->file_type = $file['type']; # C C( L! _* X) M6 o

( i3 w6 i2 d' { $this->file_error = $file['error']; 6 j' U5 E0 U' k# b- Q K

; a# H V% }2 X* }/ X I + a0 y) E+ m4 [: l4 R5 W

4 ?! _' V l z0 n } 8 x8 f6 `6 a7 G

, H1 k( S3 M4 k, S" _& x2 @ $this->userid = $_userid;* x5 O" t, X! v6 z/ Y4 r2 B

- F q; w* c* S% g) Y' v. y $this->ext = file_ext($this->file_name); ! f: _$ i8 I, I9 ]7 x

% W: Z# I O. Q: v; N) L6 @ $this->fileformat = $fileformat ? $fileformat : $DT['uploadtype'];3 }1 ]- {6 {7 g: H

0 B! c0 J: q8 { $this->maxsize = $DT['uploadsize'] ? $DT['uploadsize']*1024 : 2048*1024;+ g, ]# M4 T: j9 W8 |$ a/ I& Z" L

& a5 l' i2 i& K. i6 m/ O+ F $this->savepath = $savepath;* N% [; E6 E8 E8 |+ y' a7 z- o0 f$ }

& x/ J. g! t" B/ d $this->savename = $savename;) M9 K6 h0 V, C

) z4 [) V3 O3 q6 O }}7 K5 E; s# v0 e& g7 V

9 X. p8 s7 P. y0 [' O' S0 O 这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。# v* o0 w! G- d% g# P

+ ^- G3 d8 @0 x1 o0 o 因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传（参考：https://www.cnblogs.com/DeanChopper/p/4673577.html），则在avatar.inc.php中 , V* {0 O# q8 V& L

- _" @8 V! H) p& ?% O $ext = file_ext($_FILES['file']['name']); // `$ext`即为`php` $name = 'avatar'.$_userid.'.'.$ext; // $name 为 'avatar'.$_userid.'.'php'$file = DT_ROOT.'/file/temp/'.$name; // $file 即为 xx/xx/xx/xx.php9 h! c8 Q5 x4 i) j

+ b6 G3 G$ o! L2 X ]/ J$ p# }3 T 而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下： * n7 z7 g$ }5 `( z

1 h' v* B5 v8 E9 D " c& C5 B* p6 s8 K. b9 t& k- g

) g0 r9 e( H' S5 U 回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:+ K0 |6 R# a1 G0 y% K* j# C0 S& P

' E/ L/ M1 S/ B) G, y8 @ <?phpclass upload { ( V. v5 j8 E7 c# N+ K7 Y0 N

( ^+ {4 ^) h+ v3 q function save() {4 |$ z6 c3 j' d: ]1 j; }/ X

/ T: W. b/ s* {/ b include load('include.lang'); & D0 Y& {4 T6 O0 k- ]

# Y) y+ _0 I; j F* c3 k# s7 t if($this->file_error) return $this->_('Error(21)'.$L['upload_failed'].' ('.$L['upload_error_'.$this->file_error].')'); 9 u K j- I+ u. ~ u

+ E* d, R& _7 Q. ` 9 N$ {/ Y* u9 m! W: g

2 e# k( i) a' \. Y if($this->maxsize > 0 && $this->file_size > $this->maxsize) return $this->_('Error(22)'.$L['upload_size_limit'].' ('.intval($this->maxsize/1024).'Kb)'); * A# v% c V$ ~/ t& O1 N

6 S, d$ f: l' B7 M6 O9 f; D% ^ , s: `% L( ~8 D6 H$ G0 D5 S" F

' z: g ~- l$ q6 b# t if(!$this->is_allow()) return $this->_('Error(23)'.$L['upload_not_allow']);3 a: _' _0 @& q. y7 |

" \; R! F9 n* n: U E 6 r0 y3 H7 [$ Z7 T/ d$ j

2 k7 r0 N q. g$ S3 @ $this->set_savepath($this->savepath);/ V7 ?* D& V# W- R0 H$ y* ~% a

0 i0 P6 c) m S$ K3 b2 x $this->set_savename($this->savename); 5 N- E, H5 j: Y0 E# S

4 X; x" I$ D S' m- V! I $ ^4 J% v& v f( L% o; g( |9 }/ m

0 a9 G: ?8 y' r& @ J% \ if(!is_writable(DT_ROOT.'/'.$this->savepath)) return $this->_('Error(24)'.$L['upload_unwritable']);# s! S# |, I8 h7 w" n3 Z; e

/ S& h9 @7 @. F# S if(!is_uploaded_file($this->file)) return $this->_('Error(25)'.$L['upload_failed']);% A$ Y& t( R; U/ T% X

2 G c- d9 s% b( h+ [) U if(!move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)) return $this->_('Error(26)'.$L['upload_failed']); V! ^" Y9 U$ Q% f% r$ B6 {" ^

5 ?% f' O* O6 E4 \, N( B* _; k/ ~ 5 R- E% r N6 ^8 |- v

) _5 B" o# Z4 I& L1 f! p $this->image = $this->is_image(); @6 `* D" W+ C

) a+ w' M& @' @ A if(DT_CHMOD) @chmod(DT_ROOT.'/'.$this->saveto, DT_CHMOD);" o& s: [2 n4 a5 ~

2 K8 v5 D: K/ g% J1 b* y$ Q/ T5 i. c return true;" o( G, V+ t0 [6 V) L

& |3 m! i- v+ B; I4 L9 d }} 9 C7 B) ]: E. q: r, a' q

7 n; K3 @$ x& H2 e2 l 先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：5 m+ Y( y" h/ P) y( K! p

' ?7 Q) y& s @ <?php4 J3 H5 l8 \3 U& p* q, ?5 g

* M3 I* Z# N: L3 S# M1 [1 w! S3 u function is_allow() { ( g3 N `7 x6 w8 P( e3 K) H

! n! c# x( @: O$ Z) e: ?! D if(!$this->fileformat) return false;8 Q* \$ v7 T0 y5 w9 y3 H0 ^

B. Y# ], Q4 o8 c0 v# f! e' C if(!preg_match("/^(".$this->fileformat.")$/i", $this->ext)) return false;& [7 F$ W/ S2 X

- Y7 v6 q% _1 G3 Z if(preg_match("/^(php|phtml|php3|php4|jsp|exe|dll|cer|shtml|shtm|asp|asa|aspx|asax|ashx|cgi|fcgi|pl)$/i", $this->ext)) return false; % {0 P, h: ^% M3 R, W1 e J

* W4 t$ z4 c1 c3 c return true; : O6 i) P# u, Q% U% ~( d6 c

N) [4 F" V9 J }( ]9 n( ~8 Y. ?0 B$ Z

; {- J5 W$ s* D 可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。 9 p# ?" F3 m# Q; D& g+ Z

) ^! O4 o6 I+ Q5 X 接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。5 k T: t {8 w+ e

% H8 T [' z. H' }1 {% o4 P 漏洞利用 8 W, p% A( Q3 f% s/ b

' q2 o7 s+ V8 f( u$ y. G 综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。 - K; x [) @9 g" `' s1 L4 o

[8 Z. U" X6 G8 D+ P, R1 k ) u5 m/ ^" \ ~# Y& l* q

& B+ o% {" g% j 然后访问http://127.0.0.1/file/temp/avatar1.php 即可。其中1是自己的_userid k$ `: C; u; ~" t

5 _! J( P+ ]9 u$ k$ t3 I- | 不过实际利用上会有一定的限制。. I# P2 Z; A+ m4 ~, ~1 [

* j, ?, E `6 o S Q+ E" y 第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。 : B/ y' T6 ^, B) l' [7 L$ W) `8 u

1 C/ l' x, o2 k 9 ?+ J* }6 O% }% l. u

6 I0 L$ ` H2 w3 |$ ] 第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg： 2 W/ p# s( O. ~) X

& k' K n1 Z8 k6 \7 c; G% ? 省略...$img = array();$img[1] = $dir.'.jpg';$img[2] = $dir.'x48.jpg';$img[3] = $dir.'x20.jpg';$md5 = md5($_username);$dir = DT_ROOT.'/file/avatar/'.substr($md5, 0, 2).'/'.substr($md5, 2, 2).'/_'.$_username;$img[4] = $dir.'.jpg';$img[5] = $dir.'x48.jpg';$img[6] = $dir.'x20.jpg';file_copy($file, $img[1]);file_copy($file, $img[4]);省略...- d7 l9 ]# P& N6 e3 e5 `

& U+ `; q( j$ O' s4 W# n6 M 因此要利用成功就需要条件竞争了。& a8 S! J7 K* w# |

+ m" B: W9 m& f, O8 R( Y 补丁分析" W) P7 S- F0 t0 z0 K: e* d* ^

" a9 j+ b3 @# b2 d 7 m1 a3 Z. m2 M C' Z& Z$ [

+ s- m; i2 P" l. k2 \1 Y 在upload的一开始，就进行一次后缀名的检查。其中is_image如下： " \) L3 n% q6 m9 E) [7 n' v

. _- _' I8 Q9 S9 {' [ function is_image($file) { return preg_match("/^(jpg|jpeg|gif|png|bmp)$/i", file_ext($file));}1 V5 q: {5 t0 i1 y+ E

; F1 s& _& K/ |- ~, ?: A4 i 0 e: l( D0 }3 R6 M3 S: n% I# ~3 {

9 J8 c) R! k( \+ D( `" ]8 D 在__construct()的foreach中使用了break，获取了第一个文件后就跳出循环。 ! K8 }! g: S& c1 }' w$ G# ?0 p& T

: _% Z* j! i' O* H- d9 g 在is_allow()中增加对$this->savename的二次检查。8 I# T3 _" {& N- a+ E

- O! N( ~7 _+ F. ~6 O/ j% T H! b 最后 ( c" s' D+ u2 s1 z3 y

1 s; g' y. F( b+ @4 ~. h; Q) g 嘛，祝各位大师傅中秋快乐！ 2 V1 b' F$ h* P3 v; x* i

1 I* a/ X* H; x9 x. g% m / v6 f) ~9 U2 h9 [0 Z+ b

		自动登录	找回密码
密码			立即注册