一、环境
这里我根据大佬的文章将环境复原
phpcms上传导致getshell详解及案例 | 离别歌
回忆phpcms头像上传漏洞以及后续影响 | 离别歌
二、代码:
php:
<?php
header("Content-Type:text/html; charset=utf-8");
require_once('pclzip.lib.php');
$file = $_FILES['file'];
if (!$file) {
exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'upload/';
$ext = strtolower(substr(strrchr($name, '.'), 1));
//递归删除 zip 1 web.php
function check_dir($dir)
{
$handle = opendir($dir);
while (($f = readdir($handle)) !== false) {
if (!in_array($f, array('.', '..'))) {
$ext = strtolower(substr(strrchr($f, '.'), 1));
if (!in_array($ext, array('jpg', 'gif', 'png'))) {
unlink($dir . $f);
}
}
}
}
if (!is_dir($dir)) {
mkdir($dir);
}
$temp_dir = $dir . 'member/1/';
if (!is_dir($temp_dir)) {
// mkdir($temp_dir);
}
if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
if ($ext == 'zip') {
$archive = new PclZip($file['tmp_name']);
if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
check_dir($dir);
exit("解压失败");
}
check_dir($temp_dir);
exit('上传成功!');
} else {
move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
check_dir($temp_dir);
exit('上传成功!');
}
} else {
exit('仅允许上传zip、jpg、gif、png文件!');
}
html:
<!DOCTYPE html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>文件上传</title>
</head>
<body>
<form method="post" action="upload.php" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="submit" name="submit" value="上传" />
</form>
</body>
</html>
三、实操
开始我们先随便上传一个zip文件
结果如下:
上传进去文件是空的自动把我们php文件删除了:
因为不是递归删除,只删文件,那么我们可以在压缩包下放一个文件夹,如此
之后进行上传
自然成功
意识到这个问题后,改团队对代码进行了更改为递归删除
//递归删除 zip 1 web.php
function check_dir($dir){
$handle = opendir($dir);
while(($f = readdir($handle)) !== false){
if(!in_array($f, array('.', '..'))){
if(is_dir($dir.$f)){
check_dir($dir.$f.'/');
}else{
$ext = strtolower(substr(strrchr($f, '.'), 1));
if(!in_array($ext, array('jpg', 'gif', 'png'))){
unlink($dir.$f);
}
}
}
}
}所以这样以来递归删除不能搞定了
先解压后删除不就是我们的竞争型漏洞
我们BurpSuite抓包进行发送,这边手动刷新,竞争上传
直接抓包1000次
这边手动刷新
第三次,他修补代码为随机命名,防御我们的竞争上传
但是呢这个第三次也很简单,如果压缩包中途损坏是不是不会走底下的上传成功了,只要保证解压到php不会出错就可以
那我们改CRC校验码,就可以达成我们的目的
接下来我们上传(很明显这里有问题下面我会说)
如此php解压出去了但是jpg没有,那我们代码中为什么不成功?
因为代码太老的缘故,我进行了更改
Windows下不允许文件名带:
解压失败了,但是我们去看看文件,我们的一句话木马是在的
至于随机数,我们上传图像后可以右键查看路径直接访问
基于第三种问题作者又进行了更改
改了一个这在解压失败后会再次检测一次,再删除一次
那我们可以把自己上传的文件名给为../../../../aaaaaaaaaa.php
那等它删除的时候我跳到根目录了,都已经没有这个文件了
开始操作
我压一个文件
在01里改为
两个都改一下
上传
pass:这里使用先前早期代码,因为在5.0以后解压方式做了设置,不能再次跳转,无法成功3
自然成功
四、总结
1.没有递归函数,导致文件夹内的文件并未被删除
修复方法:递归函数
2.先上传,后删除,利用时间竞争
修复方式:创一个随机字符的文件夹名
3.直接解压报错
修复方式:在解压后,先删除一次
4.利用../../跳出目录
究竟是什么原因造成了这个漏洞,究其根本还是以为将用户不安全的POST数据写入了文件,并解压到web目录下了。把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,就不会有麻烦的安全问题了
