phpcms上传导致getshell详解及案例
赞
踩
一、环境
这里我根据大佬的文章将环境复原
二、代码:
php:
- <?php
- header("Content-Type:text/html; charset=utf-8");
- require_once('pclzip.lib.php');
-
- $file = $_FILES['file'];
- if (!$file) {
- exit("请勿上传空文件");
- }
- $name = $file['name'];
- $dir = 'upload/';
- $ext = strtolower(substr(strrchr($name, '.'), 1));
-
- //递归删除 zip 1 web.php
- function check_dir($dir)
- {
- $handle = opendir($dir);
- while (($f = readdir($handle)) !== false) {
- if (!in_array($f, array('.', '..'))) {
- $ext = strtolower(substr(strrchr($f, '.'), 1));
- if (!in_array($ext, array('jpg', 'gif', 'png'))) {
- unlink($dir . $f);
- }
- }
- }
- }
- if (!is_dir($dir)) {
- mkdir($dir);
- }
-
- $temp_dir = $dir . 'member/1/';
- if (!is_dir($temp_dir)) {
- // mkdir($temp_dir);
- }
-
- if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
- if ($ext == 'zip') {
-
- $archive = new PclZip($file['tmp_name']);
-
- if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
- check_dir($dir);
- exit("解压失败");
- }
- check_dir($temp_dir);
- exit('上传成功!');
- } else {
- move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
- check_dir($temp_dir);
- exit('上传成功!');
- }
- } else {
- exit('仅允许上传zip、jpg、gif、png文件!');
- }
-
html:
- <!DOCTYPE html>
- <html lang="zh">
- <head>
- <meta charset="UTF-8">
- <title>文件上传</title>
- </head>
- <body>
- <form method="post" action="upload.php" enctype="multipart/form-data">
- <input type="file" name="file" />
- <input type="submit" name="submit" value="上传" />
- </form>
- </body>
- </html>
三、实操
开始我们先随便上传一个zip文件
结果如下:
上传进去文件是空的自动把我们php文件删除了:
因为不是递归删除,只删文件,那么我们可以在压缩包下放一个文件夹,如此
之后进行上传
自然成功
意识到这个问题后,改团队对代码进行了更改为递归删除
- //递归删除 zip 1 web.php
- function check_dir($dir){
- $handle = opendir($dir);
- while(($f = readdir($handle)) !== false){
- if(!in_array($f, array('.', '..'))){
- if(is_dir($dir.$f)){
- check_dir($dir.$f.'/');
- }else{
- $ext = strtolower(substr(strrchr($f, '.'), 1));
- if(!in_array($ext, array('jpg', 'gif', 'png'))){
- unlink($dir.$f);
- }
- }
- }
- }
- }
所以这样以来递归删除不能搞定了
先解压后删除不就是我们的竞争型漏洞
我们BurpSuite抓包进行发送,这边手动刷新,竞争上传
直接抓包1000次
这边手动刷新
第三次,他修补代码为随机命名,防御我们的竞争上传
但是呢这个第三次也很简单,如果压缩包中途损坏是不是不会走底下的上传成功了,只要保证解压到php不会出错就可以
那我们改CRC校验码,就可以达成我们的目的
接下来我们上传(很明显这里有问题下面我会说)
如此php解压出去了但是jpg没有,那我们代码中为什么不成功?
因为代码太老的缘故,我进行了更改
Windows下不允许文件名带:
解压失败了,但是我们去看看文件,我们的一句话木马是在的
至于随机数,我们上传图像后可以右键查看路径直接访问
基于第三种问题作者又进行了更改
改了一个这在解压失败后会再次检测一次,再删除一次
那我们可以把自己上传的文件名给为../../../../aaaaaaaaaa.php
那等它删除的时候我跳到根目录了,都已经没有这个文件了
开始操作
我压一个文件
在01里改为
两个都改一下
上传
pass:这里使用先前早期代码,因为在5.0以后解压方式做了设置,不能再次跳转,无法成功3
自然成功
四、总结
1.没有递归函数,导致文件夹内的文件并未被删除
修复方法:递归函数
2.先上传,后删除,利用时间竞争
修复方式:创一个随机字符的文件夹名
3.直接解压报错
修复方式:在解压后,先删除一次
4.利用../../跳出目录
究竟是什么原因造成了这个漏洞,究其根本还是以为将用户不安全的POST数据写入了文件,并解压到web目录下了。把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,就不会有麻烦的安全问题了
