1-PHP代码审计——PHPCMSV9.2上传文件漏洞

最新推荐文章于 2024-03-15 20:13:51 发布
最新推荐文章于 2024-03-15 20:13:51 发布
阅读量861 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: php 渗透测试 代码审计 phpcms 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/115317967
版权

漏洞说明:PHPCMSV9.2上传文件漏洞主要是用户管理的头像上传功能对上传的图片使用了zip解压缩功能,但是对于解压后的文件没有完全删除才导致的。

 

漏洞复现环境:

chrome浏览器安装xdebug

phpstrom开发工具

wamp

php-5.4.45

phpcms9.2

 

测试环境网址为www.test.com,环境搭建好后,在浏览器地址栏输入网址http://www.test.com/install安装phpcms9.2

默认都是下一步安装,到账号设置这一步需要设置数据库和cms管理后台的账户,根据自己本地环境设置就好。然后下一步,等待安装完成。

 

漏洞复现

 

访问首页注册一个用户:

 

 

注册完成选择账号管理,修改头像--->点击上传头像照片:

 

 

上传头像照片这里我们需要准备一张123.jpg图片和一个zip格式的压缩文件,test.zip文件中有一个test文件夹,在这个文件夹下有一个test.php文件,文件的内容如下:

 

 

开启浏览器的代理,先上传123.jpg图片,使用burpsuite进行抓包:

 

 

把123.jpg图片文件的数据删除,右键paste from file ,打开test.zip文件

点击forward转发数据包

 

 

在Proxy选项中,选择HTTP history可以看到文件的上传路径为:phpsso_server/uploadfile/avatar/1/1/1/test/test.php

 

 

将burpsuite的url链接复制并粘贴到网址访问可以看到页面是可以正常访问没有报错,上传文件成功:

分析漏洞

 

头像上传功能是在phpcms的phpsso_server\phpcms\modules\phpsso路径下index.php文件,index.php有个uploadavatar方法,上传头像时就会调用这个方法。

使用phpstorm工具开启debug调试模式,当点击上传头像进入debug调试:

可以看到当点击上传头像时就会调用uploadavatar方法,获取用户上传头像的数据保存到$avatardata变量中。

 

$avatarfile变量是保存文件的文件夹路径。

 

 

load_onfig函数创建图片文件夹,$filename变量是完整的文件存储路径,file_put-contents函数的作用就是创建一个.zip后缀的文件包,并存放到$filename指定的存储路径。

 

然后对1.zip文件进行解压缩,这一步没啥可分析的,继续分析后面的代码

 

到这一步才是重点,这一段代码也是引发上传漏洞的真正原因:

分析以上代码可知,readdir函数读取了C:\wamp\www\test.com\phpsso_server\uploadfile\avatar\1\1\1目录下的所有文件,接着做了以下事情:

首先判断文件名是否都合法
再进一步判断文件是否为允许上传的jpg图片文件
如果不是jpg文件则会被unlink函数删除,是jpg文件则写入数据库

但是php中的unlink函数只能删除文件,而之前的1.zip文件肯定会被unlink函数删除掉,解压后的test是一个文件夹,所以unlink函数并不能删除test文件夹。

 

攻击者在上传的文件中多新建了一个文件夹上传,以此来避免被删除。而我们上传的1.zip文件中的test.php文件解压后放在test文件夹中,这才避免被删除。产生漏洞的原因是后台使用了zip压缩处理图片,对C:\wamp\www\test.com\phpsso_server\uploadfile\avatar\1\1\1目录下的文件只判断了一层,没有递归判断。

 

漏洞修复建议

不使用zip压缩处理图片,更新phpcms版本。

 

 

song->_->
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/
PHP漏洞利用工具开发,PHPcms二次开发,PHPcms,DEDEcms简单代码审计
Love&Share
09-17 5487
PHP工具开发 文章目录PHP工具开发PHP小马一句话木马PHP大马分析实现大马后门编写大马PHP的cms二次开发PHP常见CMS的漏洞分析PHPstorm调试模式PHPCMSv9.2上传漏洞PHPCMSv9.6.0文件上传PHPCMSv9.6.0wap端sql注入PHPCMSV9.6.1任意文件读取PHPcmsv9暴力破解备份数据库名DEDECMS漏洞分析DEDECMS重装漏洞DEDECMS远程文件包含DEDECMSdownload文件SQL注入DEDECMSrecommend文件SQL注入 PHP小马
phpcms头像上传漏洞引发的故事
最新发布
qq_68163788的博客
03-15 1444
PHPcms中存在一个头像上传漏洞,黑客可以利用这个漏洞上传恶意文件,比如Webshell,从而获取网站服务器的控制权。黑客通过Webshell开始操控网站服务器,窃取用户的个人信息、数据库信息甚至敏感的财务数据。黑客还可能利用服务器资源进行挖矿、发送垃圾邮件等恶意活动,给网站和用户带来严重的损失。 网站管理员在发现异常后赶紧封锁了黑客的访问,但已经造成了不可挽回的损失。为了修复漏洞和加强安全措施,网站管理员不得不花费大量时间和精力,重新设计和部署网站系统,修复漏洞并加强安全性,以防止类似事件再次发生。
php 上传图片漏洞,phpcms图片上传漏洞解析
weixin_39638468的博客
03-11 327
?针对下法程序说明: Fileext函数是对文件后缀名的提?针对下法程序说明:Fileext函数是对文件后缀名的提取。根据此函数我们如果上传文件名为ddd.Php.jpg%20%20%20%20%20%20%20Php经过此函数提取到的后缀还是jpg,因此正在is_image()函数中后缀检测被绕过了。我们回到public function crop_upload() 函数中if(is_image...
最新版的phpcmsV9安装报错解决
monkey-jie的博客
12-12 1102
具体报错信息如下: Web-server: Apache PHP版本: PHP/5.2.14 Mysql版本: MySQL 客户端版本: 5.0.90 适用版本: v9 更新日期: phpcms_v9.2.2_UTF8 编码版本: UTF-8 浏览器: maxthon 复现步骤: 正在准备安装 ... 后台管理主模块安装成功......admin 错误信息: Warning: file_put...
phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
AgonYAN的博客
07-25 2952
phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
文件上传漏洞(CVE-2022-23043)
热门推荐
Battery的博客
11-21 5万+
CVE-2022-23043是一个与Zenario CMS 9.2文件上传漏洞相关的安全漏洞。该漏洞被定义为文件的不加限制上传,攻击者可以利用这个漏洞上传webshell以执行任意命令。利用这个漏洞的攻击者暂无特定情况。要利用此漏洞,攻击者首先需要访问Zenario CMS的管理后台并通过使用弱口令“admin/adminqwe12”进行登录。
PHPcms V9 任意文件上传漏洞
Azjj
09-04 5700
之前碰到一个站点,存在目录遍历,看到upload目录下上传了好多php的大马,说明这网站肯定是有漏洞的,看了一下网站指纹,是phpcms的,正好借此网站复现一下此漏洞 一丶漏洞简介 此漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。 二丶影响版本 phpcms v9.6.0 三丶漏洞分析 漏洞利用点是注册的地方,我们来看一下网上常用的一个payload: http://127.0.0.1/index.php.
春秋云境系列靶场记录(合集)-不再更新
一只爱吃橙子的羊
11-29 5833
春秋云境系列靶场记录合集,不更新了哈……
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-...
phpcmsv9单文件上传功能_UTF8_phpcmsv9单文件上传功能_UTF8_piledqq_源码
10-04
phpcmsv9单文件上传功能_UTF8
phpcms_v9.2.2_GBK系统
10-29
phpcms_v9.2.2_GBK系统,本许可协议适用于且仅适用于PowerEasy SiteFactory 标准版,广东动易网络科技有限公司拥有对本使用许可协议的最终解释权。
PHPCMS_V9.2.5
12-24
PHPCMS
phpcms_v9.2.4_UTF8
12-11
phpcms_v9.2.4_UTF8
phpcms_v9.2.3_GBK 更新于2012年11月3日
11-08
演示地址:http://www.fangjiaanpai.cn/ 更多站点请进入官方网站查看!
PHPCMS v9.6.1 简体中文 UTF-8 正式版
12-01
PHPCMS简介 PHPCMS采用PHP5+MYSQL做为技术基础进行开发。PHPCMS V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的
PhpCMSV9代码生成器
07-22
软件名称:PhpCMS V9代码生成器工具...[更新] PhpCMS V9模板代码器 V1.5正式版 [1]新增GET标签调用代码范例; [2]新增内容页调用栏目名及链接代码; [3]新 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
phpcms v9文件上传漏洞复现
qq_50646296的博客
08-21 1775
我们通过软件burp suite 抓包,修改一个变量,不停的发包,我们可以手动或者让软件不停的访问我们呢上传PHP,如果显示出PHP内容,时间竞争成功。方法:我们发现它只是删除了压缩包里面的文件,但这段代码并不会对解压后的文件夹递归删除,只能对解压的文件直接删除。分析:当程序不递归删除时,我们直接将图片和.php文件压缩上传,会发现图片还在,.php文件被删除了。此时,我们再将其上传,可以看到,我们的PHP文件就被保留下来了。我们创建一个文件夹,放入以下文件,然后将这个文件经行压缩。
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4490
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
phpcms 前端文件上传代码怎么写
03-09
下面是一个简单的前端文件上传代码示例: <form action="upload.php" method="post" enctype="multipart/form-data"> 上传"> 在 upload.php 文件中,可以使用以下代码来处理上传的文件: if ($_FILES['file']...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值