0x00 环境准备

CLTPHP官网：http://www.cltphp.com

网站源码版本：CLTPHP内容管理系统5.5.3版本

程序源码下载：https://gitee.com/chichu/cltphp

默认后台地址： http://127.0.0.1/admin/login/index.html

默认账号密码： 后台登录名：admin  密码：admin123

测试网站首页：

0x01 代码分析

1、漏洞文件位置：/app/user/controller/UpFiles.php 第5-25行：

在这段函数中，未经用户权限验证，获取表单内容，存在越权绕过上传的情况。我们继续跟进move函数：

2、文件位置：/think/library/think/File.php 第329-377行：

在这段函数中，经过一系列检测后上传文件，我们重点来看一下check验证上传函数。

3、文件位置：/think/library/think/File.php 第218-245行：

在check函数中检查文件大小、Mime类型、文件后缀等，主要是从数组$rule中获取，check函数未带入参数$rule，故$rule采用默认值，我们看一下$rule的值

在同文件中$rule默认值为date，调用ThinkPHP的上传函数，但配置不当导致过滤函数chenk无效，导致程序在实现存在任意文件上传漏洞，攻击者无需任何权限，可直接上传恶意脚本，控制网站服务器权限。

0x02 漏洞利用

利用方式一：

1、 通过编写Python脚本，模拟Ajax 异步请求，

Python’脚本如下：

2、在同一目录下放置脚本和1.php文件名的小马，运行Python脚本，成功上传木马并返回路径。

3、访问url，成功getshell

利用方式二：

1、在前台注册一个用户test，登录会员中心

2、在会员中心—设置—上传图片马（包含一句话）—抓包改包为php后缀名

3、访问shell地址，成功获取网站权限

http://127.0.0.1/public/uploads/20180309/64a211154e71c05795a9f901860b62b9.php

0x03 修复建议

1、添加上传页面的认证，通过白名单限制上传文件后缀；

2、禁止上传目录脚本执行权限。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。 

【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析的更多相关文章

1. 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞

   0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/ ...

2. 【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析

     0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

3. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

     0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

4. 【代码审计】BootCMS v1.1.3 文件上传漏洞分析

     0x00 环境准备 BootCMS官网:http://www.kilofox.net 网站源码版本:BootCMS v1.1.3  发布日期:2016年10月17日 程序源码下载:http://w ...

5. UEditor编辑器两个版本任意文件上传漏洞分析

   0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

6. [转]UEditor编辑器两个版本任意文件上传漏洞分析

   0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

7. 关于finecms v5 会员头像 任意文件上传漏洞分析

   看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用 ...

8. PHPCMS v9.6.0 任意文件上传漏洞分析

   引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户 ...

9. 代码审计之XiaoCms（后台任意文件上传至getshell,任意目录删除,会话固定漏洞）

   0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...

随机推荐

1. 引入CSS

   前面的话 Web早期,HTML是一种很有限的语言,这种语言不关心外观,它只是一种简洁的小型标记机制.随着Mosaic网页浏览器的出现,网站开始到处涌现.对于页面改变外观的需求增加,于是增加了类似&lt ...

2. UML中几种类间关系：继承、实现、依赖、关联、聚合、组合的联系与区别

   继承 指的是一个类(称为子类.子接口)继承另外的一个类(称为父类.父接口)的功能,并可以增加它自己的新功能的能力,继承是类与类或者接口与接口之间最常见的关系:在Java中此类关系通过关键字extend ...

3. 【leetcode】Shortest Palindrome(hard)★

   Given a string S, you are allowed to convert it to a palindrome by adding characters in front of it. ...

4. SqlServer调用CLR服务

   作用 从数据库发起对外部服务的请求. 应用场景 心跳监测 定时启动站点 服务实现 代码部分(C#) using System; using System.Net; publicpartialclass ...

5. 工具类HttpServerUtility

   在ASP.NET服务器上提供一个辅助的工具类HttpServerUtility,该类提供了一些处理请求的辅助方法. MapPath:计算网站中虚拟路径所对应的物理文件路径. HtmlEncode:将H ...

6. java Scanner与BufferedReader读取键盘输入性能比较

   java  Scanner与BufferedReader读取键盘输入性能比较            1.Scanner和BufferedReader 性能比较 在java中常见的从键盘获取输入的方式有 ...

7. tlplayer for android V2.7(支持变速不变调) 2014-07-20更新

   2014-07-20新版本已经修复部分视频倾斜问题,已经更新到服务器,需要的朋友自行下载. 此版本修正了倾斜问题,增加水印等功能.可以动态添加水印. tlplayer for android V2.6 ...

8. AJAX快速上手

   创建XMLHttpRequest对象 xmlHttp = new XMLHttpRequest(); xmlHttp = new ActiveXObject('Microsoft.XMLHTTP'); ...

9. jquery 实现导航栏滑动效果

   精简的代码实现导航栏滑动效果,实现详解: 1.滑块位置:通过父节点position=fixed,子节点position=absolute方式,实现子节点浮动: 2.导航栏居中:通过left=0px,r ...

10. Vue表单控件绑定

    前面的话 本文将详细介绍Vue表单控件绑定 基础用法 可以用 v-model 指令在表单控件元素上创建双向数据绑定.它会根据控件类型自动选取正确的方法来更新元素.v-model本质上不过是语法糖,它负 ...