CNVD漏洞复现《PHP代码审计-任意文件上传-01》

已于 2024-07-24 21:37:40 修改
阅读量448 收藏 5
点赞数 4
文章标签: php 开发语言 安全 代码复审 测试工具
于 2024-07-24 21:01:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60450539/article/details/140672590
版权

声明:该公众号文章来自作者日常学习分享,未经授权,严禁转载,如需转载,请留言。

警告:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。

文章内容首发于公众号,更多内容请关注公众号:零信任地带

目录

内容提要

一、CNVD详情

二、初步PHP代码审计

三、详细PHP代码审计

四、漏洞复现

五、总结

内容提要

    分享自己PHP代码审计的学习笔记,案例来自CNVD。

一、CNVD详情

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2017-07389

图片

二、初步PHP代码审计

(1)环境搭建

-工具:phpstudy(PHP5.5.9)、burpsuite

-审计源码:BEESCMS

(2)定位文件上传点

图片

(3)浏览器定位PHP文件

图片

(4)定位PHP代码

详解:该代码为文件上传的核心代码,其中调用了up_img()函数。下面是对代码的逐行解释。
if (isset($_FILES['up'])) {
    // 检查是否有文件通过 HTTP POST 方法上传,并且是 'up' 这个 input name 的文件。
    
    if (is_uploaded_file($_FILES['up']['tmp_name'])) {
        // 检查上传的文件是否确实存在于服务器上的临时目录中。
        
        if ($up_type == 'pic') {
            // 如果上传类型是图片,则进行以下操作:
            
            $is_thumb = empty($_POST['thumb']) ? 0 : $_POST['thumb'];
            // 如果 $_POST['thumb'] 未设置,则默认为 0;否则,使用其值。这表示是否需要生成缩略图。
            
            $thumb_width = empty($_POST['thumb_width']) ? $_sys['thump_width'] : intval($_POST['thumb_width']);
            $thumb_height = empty($_POST['thumb_height']) ? $_sys['thump_height'] : intval($_POST['thumb_height']);
            // 设置缩略图宽度和高度,如果没有通过表单传递,就使用系统默认值。
            
            $logo = 0; // 默认值,未在代码中进一步使用,可能用于标识是否添加水印等操作。
            
            $is_up_size = $_sys['upload_size'] * 1000 * 1000;
            // 将最大上传大小从 MB 转换为字节。
            
            $value_arr = up_img($_FILES['up'], $is_up_size, array('image/gif', 'image/jpeg', 'image/png', 'image/jpg', 'image/bmp', 'image/pjpeg'), $is_thumb, $thumb_width, $thumb_height, $logo);
            // 调用 up_img 函数处理上传的图片,包括尺寸检查、格式验证、缩略图生成等。
            
            $pic = $value_arr['pic'];
            // 获取上传后的图片路径。
            
            if (!empty($value_arr['thumb'])) {
                $pic = $value_arr['thumb'];
            }
            // 如果生成了缩略图,使用缩略图的路径替换原始图片路径。
            
            $str = "<script type=\"text/javascript\">$(self.parent.document).find('#{$get}').val('{$pic}');self.parent.tb_remove();</script>";
            // 构建 JavaScript 字符串,用于将图片路径填充到页面中的特定输入框,并关闭弹出窗口。
            
            echo $str;
            // 输出 JavaScript 字符串。
            
            exit; // 结束脚本执行。
        } // 图片上传结束
        
    } else {
        die('没有上传文件或文件大小超过服务器限制大小<a href="javascript:history.back(1);">返回重新上传</a>');
        // 如果文件没有正确上传,输出错误信息并终止脚本。
    }
}

图片

 

浏览器中提交的时候POST参数:

图片

 up_img()函数核心代码:

图片

三、详细PHP代码审计

下面对PHP代码详细分析,共4个主要函数。

  • isset()

isset() 函数用于检测变量是否已设置并且非NULL。

  • $_FILES

$_FILES 数组通常用于收集通过 HTTP POST 方法上传的文件信息。

当你在HTML表单中使用 <input type="file" name="up"> 这样的输入字段时,用户可以选择一个或多个文件来上传。当表单提交时,这些文件的信息会被封装在 $_FILES 数组中,其中每个上传的文件都会有一个与之关联的数组,这个数组包含了文件的详细信息,如文件名、文件类型、文件大小、文件的临时存储位置等。

例如,对于一个名为 'up' 的文件输入字段,$_FILES['up'] 将包含类似这样的结构:

例子:
$_FILES['up'] = array(
    'name' => 'example.jpg',
    'type' => 'image/jpeg',
    'tmp_name' => '/tmp/phpXXXXX', // 临时文件路径
    'error' => UPLOAD_ERR_OK,
    'size' => 32873 // 文件大小(字节)
);

图片

  • is_uploaded_file

检查指定文件是否是通过 HTTP POST 上传。

若文件是通过 HTTP POST 上传,返回 TRUE。

  • 自定义函数:up_img()

判断MIME类型是否为图片类型
$file_type=$file['type'];
if(!in_array(strtolower($file_type),$type)){
    msg('上传图片格式不正确');

四、漏洞复现

(1)拦包将MIME类型修改

图片

(2)成功上传

图片

(3)成功访问

  成功访问php文件,后续可getshell

图片

五、总结

1)漏洞原因:文件上传时,只靠MIME值限制,而该值可以被修改。

2)漏洞危害:任意文件上传,可被完全控制。

3)修复方法:增加文件头判断、文件后缀名限制。

感谢观看:如果觉得对您有帮助,请关注公众号,更多内容首发于公众号:零信任地带
i-xy
关注
CNVD-2020-46552 深信服EDR远程代码执行漏洞复现
afei001
01-19 1096
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。2020年08月18日左右检测到深信服EDR存在远程代码执行漏洞。该漏洞编号为CNVD-2020-46552。攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。 ...
ShowDoc后台文件上传漏洞分析 CNVD-2020-49480(CVE-2021-41745)
afei001
08-06 825
​ github获取ShowDoc源码,版本:ShowDoc v2.8.2,使用phpstudy本地搭建环境。环境搭建参考官网:ShowDoc ​
EDR漏洞CNVD-2020-46552)复现
PigLL的博客
08-24 1367
影响版本:v3.2.16,3.2.17,3.2.19 环境搭建:EDR 3.2.19 kali 使kali和EDR 3.2.19同在一个网段 登录EDR 3.2.19 账号:root 密码:edr@sangfor 登陆后发现他是固定,然后将他IP改为与kali为同一网段 查看ip 任意用户登录 https://ip地址/ui/login.php?user=任意用户名 远程代码执行 利用python脚本反弹shell 使用kali监听4444端口 执行python脚本 返回kali 监听成功 ...
CNVD-2018-24942漏洞复现
尼德霍格007
07-15 1058
CNVD-2018-24942漏洞复现 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-7-11 开始 打开靶场 http://45.159.48.193:42798/ 一个简单的getshell方法 远程代码执行 http://45.159.48.193:42798/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1
CNVD-2022-10270漏洞复现
weixin_42618425的博客
02-18 3680
CNVD-2022-10270漏洞复现
泛微 e-office v9.0任意文件上传漏洞{CNVD-2021-49104}
千寻的博客
12-07 5821
目录 漏洞介绍 影响版本 漏洞环境 漏洞复现漏洞复现二 修复方法 参考连接 免责声明 漏洞介绍 泛微e-office是泛微旗下的一款标准协同移动办公平台。 泛微e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。 影响版本 泛微e-office V9.0 关键字 app="泛微e-office V9.0" 漏洞环境 漏洞复现一 P
#渗透测试#批量漏洞挖掘#飞企互联-FE企业运营管理平台 uploadAttachmentServlet—文件上传漏洞CNVD-2023-12567)
最新发布
soc的博客
02-24 716
企互联-FE企业运营管理平台是一个利用云计算、人工智能、大数据、物联网和移动互联网等现代技术构建的云工作台。然而,该平台的uploadAttachmentServlet接口存在文件上传漏洞,这使得恶意攻击者有可能上传有害的后门程序或木马。这种攻击可能使得攻击者获得对服务器的远程访问权限,或者对系统造成破坏,给服务器带来严重的安全威胁。
代码审计--CatfishCMS文件上传漏洞
Nginxx的博客
12-07 610
声明:本公众号大部分文章来黑白之间安全团队成员的实战经验以及学习积累,文章内公布的漏洞或者脚本都来自互联网,未经授权,严禁转载。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本团队无关。 前言 逛 cnvd 的时候看到 catfish cms 的文件上传漏洞,于是审了审,就发现了这两处文件上传,具体是不是该漏洞,还有待考证。 CNVD编号 CNVD-2021-42363 影响范围 文中标的是 Catfish CMS V5.9.6 ,但这里这个我看了下,最新能下载到的 v5.9.
锐捷RG-UAC应用网关 前台RCE漏洞复现
0xSec
12-02 1721
锐捷RG-UAC应用管理网关 nmc_sync.php 接口处存在命令执行漏洞,未经身份认证的攻击者可执行任意命令控制服务器权限。
审计挖掘之CNVD通用漏洞
kali_Ma的博客
08-27 3472
前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境 在http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http:/
锐捷网络股份有限公司NBR路由器EWEB网管系统存在命令执行漏洞(CNVD-2021-09650)——漏洞复现
大大怪将军,你来啦!
06-11 1197
锐捷网络股份有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。公开日期:2021-09-19漏洞编号:CNVD-2021-09650危害等级:高危漏洞描述:锐捷NBR路由器存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
CNVD-2020-10487】记一次漏洞复现过程
Nil的博客
06-11 1479
由于早期版本的Tomcat默认开启的AJP服务。端口号为8009,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web上的任意文件漏洞编号。
Bluecms代码审计&&复现
温和的跳跃
11-13 519
我终于能接受php代码看似奇怪的写法了发自内心承认它了,然后基础语法会了,看这些代码没有问题了 基本上无困惑感。根据seay工具一共找到255个漏洞。我今天心情还不错,应该再没有破坏了,再破坏又能破坏到什么地方去呢,还有什么可以破坏的呢。我觉得不会再差了那就是好的开始。所以心情很好。一切只能用鬼使神差解释了。可能上天想眷顾别人,我只希望让我变勤快一点变聪明一点吧。 这漏洞十分沙雕作为代码审计low级别的cms学习一下php语法和代码审计基本套路复习渗透测试常规手段还行。10年php写成这样可以了,好像
CNVD-2018-01084 远程代码执行复现
SkYe's Blog
02-09 799
Dlink DIR 615/645/815 路由上远程代码执行漏洞漏洞存在于 /htdocs/cgibin 二进制文件中,原因是 service.cgi 中未经过滤就将用户输入拼接到命令中。 复现环境 漏洞固件 Firmware:DIR-645_A1_FW: v1.02b08 (for WW) (tw官网选择 DIR-645 第一个文件) qemu v5.2 Ubuntu 18.04 ida 7.5(能搞 mips 反编译工具都行) 直接运行如下: 漏洞分析 strrchr 匹配出 / 后面的参数后
Typecho代码审计-反序列化漏洞复现(超详细!!!)
小小小屿屿屿的博客
12-27 3301
本文以Typecho为靶场,通过代码审计复现了反序列化的漏洞
代码审计:bluecms 用户注册xss漏洞复现
qq_43233085的博客
03-16 1379
代码审计:bluecms 用户注册xss漏洞复现bluecms代码审计漏洞复现 bluecms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 代码审计 这次不用Seay挖xss漏洞,我们通过关键功能测试来审计xss漏洞。 在后台->会员管理->会员列表处,管理员是可以查看会员...
log4j代码审计漏洞复现
Python_paipai的博客
05-30 930
首先声明一下,这是一套老源码了,本人只是跟着网上的步骤复现了一遍,主要目的还是面向毫无基础的xd,教学简单的java站怎么自己搭建,不至于代码审计的第一步就废了,本人也是摸着石头过河的,大佬勿喷。file.getOriginalFilename()将会获取表单中name="file"的值,实际情况中"file"是什么值就会获取什么值,往上定位,发现该接口为管理员头像上传接口。注意originalFileName,该变量可控 ,往上看,该变量的值为。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
代码审计:ourphp 后台任意文件读取复现
qq_43233085的博客
03-15 724
代码审计:ourphp 后台任意文件读取复现ourphp代码审计漏洞复现 ourphp OurPHP傲派企业电商建站系统基于PHP+MYSQL完美开发,企业+电商+微信+手机+APP一个平台搞定,支持N国语言建站,外贸网站首选。 官网:http://www.ourphp.net 演示:http://demo.ourphp.net 代码审计 问题出在 \client\manage\ourphp_fi...
深入解析Apache Tomcat文件包含漏洞(CVE-2020-1938)
**CNVD-2020-10487文件包含漏洞概述** CNVD-2020-10487,又称CVE-2020-1938,是Apache Tomcat中一个较为严重的安全漏洞。CVE(Common Vulnerabilities and Exposures)是一个致力于公开记录计算机系统漏洞的数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值