【代码审计】BootCMS v1.1.3 文件上传漏洞分析
0x00 环境准备
BootCMS官网:http://www.kilofox.net
网站源码版本:BootCMS v1.1.3 发布日期:2016年10月17日
程序源码下载:http://www.kilofox.net/download-v1-1-3
测试网站首页:
0x01 代码分析
1、漏洞文件位置:/application/classes/controller/manage.php 第2082-2134行:
- public function action_create_media()
- {
- if ($this->request->method() == 'POST')
- {
- $output = new stdClass();
- $output->status = 0;
- $output->title = '操作失败';
- $output->content = '您没有足够的权限进行此项操作。';
- $this->accessLevel = Admin::minimumLevel('create_media');
- 10. if ($this->user->role_id == $this->accessLevel)
- 11. {
- 12. $groupId = (int) $this->request->post('gid');
- 13. $group = Model::factory('media_group')->load($groupId);
- 14. if (!$group->id)
- 15. {
- 16. $output->status = 2;
- 17. $output->title = '操作失败';
- 18. $output->content = '请选择媒体分组。';
- 19. exit(json_encode($output));
- 20. }
- 21. if (isset($_FILES['qqfile']) && $_FILES['qqfile']['name'])
- 22. {
- 23. $file = Validation::factory($_FILES);
- 24. $file->rule('qqfile', 'Upload::not_empty');
- 25. $file->rule('qqfile', 'Upload::valid');
- 26. $file->rule('qqfile', 'Upload::image');
- 27. $file->rule('qqfile', 'Upload::size', array(':value', '2M'));
- 28. if (!$file->check())
- 29. {
- 30. $output->status = 3;
- 31. $output->title = '无效的文件';
- 32. $output->content = '这个文件是无效的。';
- 33. exit(json_encode($output));
- 34. }
- 35. $extension = Functions::nameEnd($file['qqfile']['name'], '.');
- 36. $fileName = date('ymdHis') . mt_rand(10, 99) . $extension;
- 37. $directory = getcwd() . '/assets/uploads/' . $group->slug;
- 38. $filePath = $directory . DIRECTORY_SEPARATOR . $fileName;
- 39. if (!file_exists($filePath))
- 40. {
- 41. $filePath = Upload::save($file['qqfile'], $fileName, $directory);
- 42. }
- 43. else
- 44. {
- 45. $filePath = Upload::save($file['qqfile'], NULL, $directory);
- 46. }
- 47. if ($filePath === false)
- 48. {
- 49. $output->status = 4;
- 50. $output->title = '文件上传失败';
- 51. $output->content = '无法保存上传的文件!';
- 52. exit(json_encode($output));
- 53. }
这段代码中,首先进行权限验证,然后获取qqfile参数,将文件上传到服务器,最后进行调整生成缩略图,注意看红色代码部分,并没有对文件类型进行过滤,可以构造脚本文件上传到服务器,导致程序在实现上存在文件上传漏洞,攻击者可以通过上传脚本木马,控制服务器权限。
0x02 漏洞利用
1、登录网站后台,在媒体—媒体库—添加新媒体—上传图片木马—抓包修改为PHP后缀—成功上传:
2、程序生成缩略图过程报错,直接爆出上传后脚本木马文件的物理路径,通过URL访问:
3、通过菜刀连接,成功控制网站服务器
0x03 修复建议
1、通过白名单限制上传文件后缀
2、禁止上传目录脚本执行权限。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
【代码审计】BootCMS v1.1.3 文件上传漏洞分析的更多相关文章
- 【代码审计】UKCMS_v1.1.0 文件上传漏洞分析
0x00 环境准备 ukcms官网:https://www.ukcms.com/ 程序源码下载:http://down.ukcms.com/down.php?v=1.1.0 测试网站首页: 0x0 ...
- 【代码审计】XYHCMS V3.5文件上传漏洞分析
0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhc ...
- 1.5 webshell文件上传漏洞分析溯源(1~4)
webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ----> ,好吧意料之中 上传1.png ----> 我们查看页面元素 -----> ...
- 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析
0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...
- 【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析
0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...
- 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析
0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...
- UEditor编辑器两个版本任意文件上传漏洞分析
0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...
- [转]UEditor编辑器两个版本任意文件上传漏洞分析
0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...
- 关于finecms v5 会员头像 任意文件上传漏洞分析
看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用 ...
随机推荐
- Redis 实现消息队列 MQ
Redis 2.4版本之后就内置队列的功能了,如果是日常比较简单的队列应用,可以选择Redis , 效率还很高的!! Redis 还能实现 有序 和 无序 两种队列(只讨论生产者和消费者这种模式的队列 ...
- 深入浅出学习Hibernate框架(二):JDBC基础操作
上篇博客<深入浅出学习Hibernate框架(一):从实例入手初识Hibernate框架>简单介绍了一下Hibernate框架,并且举了一个实例来了解Hibernate.这篇博客将介绍JD ...
- CentosMySQL5.6安装方法
1. download rpm包先确定系统版本[root@xcldtc5m /]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 (mock ...
- Qt 程序打包发布总结
1. 概述 当我们用QT写好了一个软件,要把你的程序分享出去的时候,不可能把编译的目录拷贝给别人去运行.编译好的程序应该是一个主程序,加一些资源文件,再加一些动态链接库,高大上一些的还可以做一个安装 ...
- Windows Server 2012 任务管理器“性能”Tab页显示磁盘信息
最新文章:Virson's Blog Win+x,以管理员身份运行“命令提示符”(Cmd),输入diskperf -y,确定即可,如下图.
- nextcloud私有云盘的部署
nextcloud在centos系统下搭建自己的私有云盘 搭建一套自己的私有云盘,让数据存储更加方便.可靠.自己搭建的云存储,首先没有什么容量.下载速度的限制,而且本地访问速度很快.一开始以为Next ...
- Ogre RTSS组件解析
我们为什么要用RTSS. Ogre如计算物体位置,纹理,光照都有固定API如(glMatrixFrustumEXT, glLoadmatrix, glTexture, glLight ),使用这些AP ...
- JDBC事务提交/回滚实例
以下是使用事务教程中描述的提交和回滚的代码示例. 此示例代码是基于前面章节中完成的环境和数据库设置编写的. 复制并将以下示例代码保存到:CommitAndRollback.java 中,编译并运行如下 ...
- QA:无法为具有固定名称“MySql.Data.MySqlClient”...
Question: 无法为具有固定名称“MySql.Data.MySqlClient”的 ADO.NET 提供程序加载在应用程序配置文件中注册的实体框架提供程序类型“MySql.Data.MySqlC ...
- HttpURLConnection 发送 文件和字符串信息
以文件的形式传参/** * 通过拼接的方式构造请求内容,实现参数传输以及文件传输 * * @param actionUrl 访问的服务器URL * @param pa ...