[代码审计]eyoucms前台未授权任意文件上传
0x00 背景
来公司差不多一年了,然而我却依旧没有转正。约莫着转正也要到九月了,去年九月来的,实习,转正用了一年。2333
废话不多说了,最近有其他的事要忙,很久没有代码审计了。难的挖不了,浅的没意思。那就随便选吧。
在A5找了套源码,找找感觉。花了十来分钟审了一下,发现了个未授权任意文件上传。
0x01 总体了解
版本: v 1.1.3
框架: tp 5.0
目录如下:
挺标准的tp二次开发目录,直接看application目录下的。
外面的几个php文件就不解释了。粗略的看了一下配置文件和路由。
全局过滤用了strip_sql加htmlspecialchars,tp5默认是走pdo的。除非不是故意留的坑,都不太可能会出现比较容易利用的注入点。
application里面有多个模块。主要是admin,api,common,home四个。
admin 顾名思义是后台处理的
api 是一些接口
common 是基础类。
home 是前端
0x02 发现任意文件上传的接口
看了一下common和api两个模块,在api里面发现了这么一个接口。
看到文件application\api\Uploadify.php
public function preview(){ // 此页面用来协助 IE6/7 预览图片,因为 IE 6/7 不支持 base64 $DIR = \'preview\'; // Create target dir if (!file_exists($DIR)) { @mkdir($DIR); } $cleanupTargetDir = true; // Remove old files $maxFileAge = 5 * 3600; // Temp file age in seconds if ($cleanupTargetDir) { if (!is_dir($DIR) || !$dir = opendir($DIR)) { die(\'{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "Failed to open temp directory."}, "id" : "id"}\'); } while (($file = readdir($dir)) !== false) { $tmpfilePath = $DIR . DIRECTORY_SEPARATOR . $file; // Remove temp file if it is older than the max age and is not the current file if (@filemtime($tmpfilePath) < getTime() - $maxFileAge) { @unlink($tmpfilePath); } } closedir($dir); } //前面的一大串,不用关注,看下面的就行了 $src = file_get_contents(\'php://input\'); if (preg_match("#^data:image/(\w+);base64,(.*)$#", $src, $matches)) { $previewUrl = sprintf( "%s://%s%s", isset($_SERVER[\'HTTPS\']) && $_SERVER[\'HTTPS\'] != \'off\' ? \'https\' : \'http\', $_SERVER[\'HTTP_HOST\'],$_SERVER[\'REQUEST_URI\'] ); $previewUrl = str_replace("preview.php", "", $previewUrl); $base64 = $matches[2]; $type = $matches[1]; if ($type === \'jpeg\') { $type = \'jpg\'; } $filename = md5($base64).".$type"; $filePath = $DIR.DIRECTORY_SEPARATOR.$filename; if (file_exists($filePath)) { die(\'{"jsonrpc" : "2.0", "result" : "\'.$previewUrl.\'preview/\'.$filename.\'", "id" : "id"}\'); } else { $data = base64_decode($base64); file_put_contents($filePath, $data); die(\'{"jsonrpc" : "2.0", "result" : "\'.$previewUrl.\'preview/\'.$filename.\'", "id" : "id"}\'); } } else { die(\'{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "un recoginized source"}}\'); } }
这是一个图片预览的接口,通过php://input接收图片base64编码数据,然后解码,写入文件。返回图片路径。
正则获取了图片的后缀之后,简单判断了一下就没有下文了。然后将获取到的文件后缀,与base64文件数据的md5值拼接成为文件名。最后解码数据,写入。返回路径
追溯一下这个api是否需要登录?(=>等于extends)
app\api\controller\Uploadify =>app\api\controller\Base => app\common\controller\Common =>think\Controller
看了一下没有发现有判断权限或认证的代码,在 app\api\controller\Base 类里面看到似乎是权限判断的代码:
但这里的代码都是空的。。。
那么,整个漏洞的利用逻辑就是往http://www.example.com/index.php/api/Uploadify/preview 打一个base64的post数据包。
漏洞原理很简单。我想这里会出现这么一个问题,大概是作者认为data:image/ 这样的数据,只能是图片?
0x03 漏洞影响
在官网下了一个1.0版本的,对比了一下发现,1.0版本也是存在该漏洞。左1.1.3 ,右1.0
这里的差异只是我添加的一个备注。
昨晚用fofa跑了一下,发现存在该漏洞的网站有50%以上。
0x04 漏洞修复建议
使用白名单判断文件后缀名。
在Uploadify.php中213行到214行的代码修改为如下:
if ($type !== \'jpeg\' || $type !==\'png\' || $type !==\'gif\' || $type!==\'jpg\') { exit(); } if ($type === \'jpeg\') { $type = \'jpg\'; }
0x05 总结
搜了一下这个CMS的历史漏洞,发现只有seebug上面的一个后台任意文件读取漏洞。这个洞藏了很久啊。。
整个漏洞很简单,写篇文章记录一下,除除博客上面的草。
之后想总结一下tp框架二次开发CMS的奇葩漏洞,不知道什么时候能总结出来。。
声明:本文章只用于学习研究之用,禁止用于违法犯罪。