【代码审计】711cms_V1.0.5 目录遍历漏洞分析

 

0x00 环境准备

711CMS官网： https://www.711cms.com/

网站源码版本：711CMS 1.0.5 正式版(发布时间：2018-01-20)

程序源码下载：https://www.711cms.com/versions/711cms_V1.0.5.zip

测试网站首页：

0x01 代码分析

1、漏洞文件位置：/admin/controllers/App.php  第323-393行：

1. public function file() {
2. $token = $this->input->get('token', true);
3. $time = $this->input->get('time', true);
4. $folder = $this->input->get('folder',true);
5. $folder = $folder ? $folder : '/';
6. $type = $this->input->get('type', true);
7. $folder = urldecode($folder);
8. $arr_token = array(
9. 10.         'folder' => $folder,
10. 11.         'type' => $type,
11. 12.         'time' => $time
12. 13.     );
13. 14.     $private = md5($this->input->server('HTTP_HOST') . $this->_site['auth_code']);
14. 15.     $token2 = appToken($arr_token, $private);
15. 16.     if ($token2 != $token) {
16. 17.         $folder = '/';
17. 18.     }
18. 19.     if (strpos($folder, '..') !== false || strpos($folder, ':') !== false) {
19. 20.         $folder = '/';
20. 21.     }
21. 22.
22. 23.     $type = $type ? $type : 'apk|jpg|gif|png';
23. 24.     $this->_data['type'] = $type;
24. 25.
25. 26.     $arr_type = explode('|', $type);
26. 27.     $arr_type_num = count($arr_type);
27. 28.     if ($folder) {
28. 29.         $dir = root_path($folder);
29. 30.         $arr_data = array();
30. 31.         $arr_data['folders'] = array();
31. 32.         $arr_data['apks'] = array();
32. 33.         $arr_data['images'] = array();
33. 34.         $scan_result = scandir($dir);
34. 35.         foreach ($scan_result as $key => $value) {
35. 36.             if ($value == '.' || $value == '..') {
36. 37.                 continue;
37. 38.             }
38. 39.             if (is_dir($dir . $value)) {
39. 40.                 $arr_data['folders'][] = array(
40. 41.                     'folder' => $value,
41. 42.                     'size' => filesize($dir . $value) ? filesize($dir . $value) : 0,
42. 43.                     'date' => filemtime($dir . $value) ? filemtime($dir . $value) : time() - 3600 * 12
43. 44.                 );
44. 45.             } else {
45. 46.                 $type = explode('.', $value);
46. 47.                 $type = array_reverse($type);
47. 48.                 if (in_array($type[0], $arr_type) && $arr_type_num == 1) {
48. 49.                     $arr_data['apks'][] = array(
49. 50.                         'apk' => $value,
50. 51.                         'size' => filesize($dir . $value) ? filesize($dir . $value) : 0,
51. 52.                         'date' => filemtime($dir . $value) ? filemtime($dir . $value) : time() - 3600 * 12
52. 53.                     );
53. 54.                 }
54. 55.                 if (in_array($type[0], $arr_type) && $arr_type_num > 1) {
55. 56.                     $arr_data['images'][] = array(
56. 57.                         'image' => $value,
57. 58.                         'size' => filesize($dir . $value) ? filesize($dir . $value) : 0,
58. 59.                         'date' => filemtime($dir . $value) ? filemtime($dir . $value) : time() - 3600 * 12
59. 60.                     );
60. 61.                 }
61. 62.             }
62. 63.         }
63. 64.         $this->_data['file'] = $arr_data;
64. 65.         $this->_data['folder'] = $folder;
65. 66.         $this->_data['time'] = time();
66. 67.         $this->_data['private'] = $private;
67. 68.
68. 69.     }
69. 70.     $this->loadView('/App/file');

71. }

这段函数获取参数进行简单的处理，然后验证token，根据$folder的值进行列目录，然后再根据$type选择类型展示。参数在传递过程中未进行任何有效过滤，

导致程序在实现上存在目录遍历漏洞，攻击者可利用该漏洞获取敏感信息。

0x02 漏洞利用

1、登录后台，构造url，获取网站目录结构。

获取网站根目录Payload：

http://127.0.0.1/admin.php?c=App&m=file&folder=/&type=apk|jpg|gif|png

2、程序默认展示apk|jpg|gif|png四种类型的结果，我们可以通过改变$type的值来改变展示的类型。

http://127.0.0.1/admin.php?c=App&m=file&folder=/admin/config/&type=apk|jpg|gif|png|php

0x03 修复建议

1、正则判断用户输入的参数的格式，看输入的格式是否合法：这个方法的匹配最为准确和细致，但是有很大难度，需要大量时间配置规则。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。