【代码审计】XYHCMS V3.5文件上传漏洞分析

时间:2022-01-30 07:08:43

 

0x00 环境准备

XYHCMS官网:http://www.xyhcms.com/

网站源码版本:XYHCMS V3.5(2017-12-04 更新)

程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html

测试网站首页:

【代码审计】XYHCMS V3.5文件上传漏洞分析

0x01 代码分析

1、漏洞文件位置:/App/Common/Lib/YunUpload.class.php   第231-271行:

  1. public function _upload() {
  2. $ext = ''; //原文件后缀
  3. foreach ($_FILES as $key => $v) {
  4. $strtemp = explode('.', $v['name']);
  5. $ext     = end($strtemp); //获取文件后缀,或$ext = end(explode('.', $_FILES['fileupload']['name']));
  6. break;
  7. }
  8. $upload = new \Think\Upload(); //new Upload($config)
  9. //修配置项
  10. 10.     $upload->autoSub  = true; //是否使用子目录保存图片
  11. 11.     $upload->subType  = 'date'; //子目录保存规则
  12. 12.     $upload->subName  = array('date', 'Ymd');
  13. 13.     $upload->maxSize  = get_upload_maxsize(); //设置上传文件大小
  14. 14.     $upload->exts     = $this->allowType; //设置上传文件类型
  15. 15.     $upload->rootPath = $this->rootPath; //上传根路径
  16. 16.     $upload->savePath = $this->subDirectory; //上传(子)目录
  17. 17.     $upload->saveName = array('uniqid', ''); //上传文件命名规则
  18. 18.     $upload->replace  = true; //存在同名是否覆盖
  19. 19.     $upload->callback = false; //检测文件是否存在回调函数,如果存在返回文件信息数组
  20. 20.       if ($info = $upload->upload()) {
  21. 21.
  22. 22.         //判断是添加水印--有缩略的才添加水印
  23. 23.         if ($this->thumFlag) {
  24. 24.             $this->_doWater($info);
  25. 25.         }
  26. 26.           //是否有缩略图
  27. 27.         if ($this->thumFlag) {
  28. 28.             $this->_doThum($info);
  29. 29.         }
  30. 30.         return $info;
  31. 31.       } else {
  32. 32.           //$str = array('err' =>1 ,'msg' => $upload->getError() );
  33. 33.         return $upload->getError();
  34. 34.     }
  35. 35.   }

这段图片上传函数中对上传参数进行设置,然后上传。文件上传类型是客户端参数可控的,导致攻击者可以修改文件上传类型,上传恶意脚本,上传完还得去保存,继续去看一下程序如何处理保存:

文件位置:/App/Manage/Controller/SystemController.class.php,第194-217行中:

  1. public function site() {
  2. if (IS_POST) {
  3. $data = I('config', array(), 'trim');
  4. foreach ($data as $key => $val) {
  5. if (stripos($val, '<?php') !== false) {
  6. $data[$key] = preg_replace('/<\?php(.+?)\?>/i', '', $val);
  7. }
  8. 10.         }
  9. 11.
  10. 12.         $data['CFG_IMGTHUMB_SIZE'] = strtoupper($data['CFG_IMGTHUMB_SIZE']);
  11. 13.         $data['CFG_IMGTHUMB_SIZE'] = str_replace(array(',', 'X'), array(',', 'X'), $data['CFG_IMGTHUMB_SIZE']);
  12. 14.         if (empty($data['CFG_IMGTHUMB_SIZE'])) {
  13. 15.             $this->error('缩略图组尺寸不能为空');
  14. 16.         }
  15. 17.
  16. 18.         if (!empty($data['CFG_IMAGE_WATER_FILE'])) {
  17. 19.             $img_ext = pathinfo($data['CFG_IMAGE_WATER_FILE'], PATHINFO_EXTENSION);
  18. 20.             $img_ext = strtolower($img_ext);
  19. 21.             if (!in_array($img_ext, array('jpg', 'gif', 'png', 'jpeg'))) {
  20. 22.                 $this->error('水印图片文件不是图片格式!请重新上传!');
  21. 23.                 return;
  22. 24.             }
  23. 25.           }

这段函数在全局配置存储过程中进行检测,注意看红色代码部分,检测图片文件格式是否是'jpg', 'gif', 'png', 'jpeg',否则提示重新上传,但是仅仅只是提示,并没有删除文件,也就是我们如果上传脚本文件,已经成功保存在服务器上面。

程序在实现上对文件上传过程处理不当,导致可以被绕过,通过该漏洞上传脚本木马,获取服务器控制权限。

0x02 漏洞利用

1、登录后台,在系统设置—网站设置—上传配置,修改文件上传类型,然后上传文件:

【代码审计】XYHCMS V3.5文件上传漏洞分析

2、点击保存时,发现程序提示不是图片格式,请重新上传

【代码审计】XYHCMS V3.5文件上传漏洞分析

3、继续去访问刚才成功上传的脚本,发现脚本文件依然在服务器上,并没有被删除。

【代码审计】XYHCMS V3.5文件上传漏洞分析

4、通过菜刀链接,控制网站服务器

【代码审计】XYHCMS V3.5文件上传漏洞分析

0x03 修复建议

1、重新梳理文件上传过程,通过白名单限制上传文件后缀;

2、禁止上传目录脚本执行权限。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【代码审计】XYHCMS V3.5文件上传漏洞分析

【代码审计】XYHCMS V3.5文件上传漏洞分析的更多相关文章

  1. 1&period;5 webshell文件上传漏洞分析溯源&lpar;1~4&rpar;

    webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中 上传1.png  ---->   我们查看页面元素 -----&gt ...

  2. 【代码审计】UKCMS&lowbar;v1&period;1&period;0 文件上传漏洞分析

      0x00 环境准备 ukcms官网:https://www.ukcms.com/ 程序源码下载:http://down.ukcms.com/down.php?v=1.1.0 测试网站首页: 0x0 ...

  3. 【代码审计】JTBC&lpar;CMS&rpar;&lowbar;PHP&lowbar;v3&period;0 任意文件上传漏洞分析

      0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

  4. 【代码审计】QYKCMS&lowbar;v4&period;3&period;2 任意文件上传漏洞分析

      0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

  5. 【代码审计】BootCMS v1&period;1&period;3 文件上传漏洞分析

      0x00 环境准备 BootCMS官网:http://www.kilofox.net 网站源码版本:BootCMS v1.1.3  发布日期:2016年10月17日 程序源码下载:http://w ...

  6. 【代码审计】CLTPHP&lowbar;v5&period;5&period;3 前台任意文件上传漏洞分析

      0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

  7. UEditor编辑器两个版本任意文件上传漏洞分析

    0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

  8. &lbrack;转&rsqb;UEditor编辑器两个版本任意文件上传漏洞分析

    0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

  9. 关于finecms v5 会员头像 任意文件上传漏洞分析

    看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用 ...

随机推荐

  1. 判断 iframe 是否加载完成的完美方法

    一般来说,我们判断 iframe 是否加载完成其实与 判断 JavaScript 文件是否加载完成 采用的方法很类似:var iframe = document.createElement(&quot ...

  2. 绘制圆动画--重写view

    /** * @FileName CircleProgressBar.java * @Package com.read.view * @Description TODO * @Author Alpha ...

  3. oracle 10g 学习之&period;NET使用Oracle数据库(14)

    因为使用System.Data.OracleClient会提示过时,推荐使用oracle自己提供的.net类库Oracle.DataAccess.Client 在oracle C:\oracle\pr ...

  4. saltstack之&lpar;十二&rpar;配置管理mount

    线上很多服务器都需要挂载存储上的公共目录,并实现开机启动(/etc/fstab),比如web的静态文件共享目录,日志远程集中收集等. 一.批量挂载部分. 1.在node1上配置nfs服务器,有关nfs ...

  5. Backbone seajs

    <!doctype html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  6. 文件操作类CFile

    CFile file; CString str1= L"写入文件成功!"; wchar_t *str2; if (!file.Open(L"Hello.txt" ...

  7. &lbrack;汇编语言&rsqb;-第七章 SI和DI

    1- SI和DI是8086CPU中和bx功能相近的寄存器, SI和DI不能够分成两个8位寄存器来使用, 下面的三组指令实现了相同的功能: (1)  mov bx,0 mov ax,[bx] (2) m ...

  8. JavaFX基础学习之URLConnection

    一个标准的JavaFX文件包含三个部分:主类 . 控制类. 界面设计(XML+CSS) 1,main.java package application; import javafx.applicati ...

  9. Java基础系列-Collector和Collectors

    原创作品,可以转载,但是请标注出处地址:https://www.cnblogs.com/V1haoge/p/10748925.html 一.概述 Collector是专门用来作为Stream的coll ...

  10. 对一个前端使用AngularJS后端使用ASP&period;NET Web API项目的理解&lpar;2&rpar;

    chsakell分享了一个前端使用AngularJS,后端使用ASP.NET Web API的项目. 源码: https://github.com/chsakell/spa-webapi-angula ...