0x00 环境准备
ukcms官网:https://www.ukcms.com/
程序源码下载:http://down.ukcms.com/down.php?v=1.1.0
测试网站首页:
0x01 代码分析
1、文件位置: /application/admin/controller/Filemanage.php 第93-208行中:
- private function saveFile($dir = '', $from = '', $module = '', $thumb = 0, $thumbsize = '', $thumbtype = '', $watermark = 1, $sizelimit = -1, $extlimit = '') {
- if (!function_exists("finfo_open")) {
- switch ($from) {
- case 'ueditor':
- return json(['state' => '检测到环境未开启php_fileinfo拓展']);
- default:
- return json([
- 'status' => 0,
- 'info' => '检测到环境未开启php_fileinfo拓展'
- 10. ]);
- 11. }
- 12. }
- 13. // 附件大小限制
- 14. // 附件类型限制
- 15. // 获取附件数据
- 16. // 判断附件是否已存在
- 17. // 判断附件大小是否超过限制
- 18. // 判断附件格式是否符合
- 19. $file_name = $file->getInfo('name');
- 20. $file_ext = strtolower(substr($file_name, strrpos($file_name, '.') + 1));
- 21. $error_msg = '';
- 22. if ($ext_limit == '') {
- 23. $error_msg = '获取文件后缀限制信息失败!';
- 24. }
- 25. try {
- 26. $fileMine = $file->getMime();
- 27. } catch (\Exception $ex) {
- 28. $error_msg = $ex->getMessage();
- 29. }
- 30. if ($fileMine == 'text/x-php' || $fileMine == 'text/html') {
- 31. $error_msg = '禁止上传非法文件!';
- 32. }
- 33. if (!in_array($file_ext, $ext_limit)) {
- 34. $error_msg = '附件类型不正确!';
- 35. }
这段代码中saveFile函数经过一些大小、类型限制,到最后进行判断附件格式是否符合存在问题。注意看红色代码部分,首先获取文件名和后缀名,判断后缀是否为空,然后对文件头MIME_TYPE字段校验,这里客户端可通过抓包伪造MIME_TYPE类型,导致绕过,最后的附件类型限制是客户端参数可控的。
综上,程序在实现上对文件上传类型过滤不严,导致可以被绕过,通过该漏洞上传脚本木马,获取服务器控制权限。
0x02 漏洞利用
A、 如何登陆后台
思路1:通过默认后台入口及默认账号密码进行登录。
程序在安装过程中,自动默认账号密码,管理员要在后台进行更改,很大的几率存在弱口令情况。
后台入口:admin.php
后台默认账户/密码:admin/123456
思路2:通过爆破备份文件路径,获取数据库备份文件。
数据库备份文件格式:\data\db\20180119-214910-1.sql.gz,以时间戳为命名方式,存在被爆破的风险,通过爆破备份文件路径,获取数据库敏感信息。
B、文件上传漏洞利用
1、登录后台—系统参数—参数设置—上传,首先在允许上传的图片后缀添加PHP:
2、此时如果直接上传php文件,还是会被提示“禁止上传非法文件”:
3、如何绕过MIME_TYPE的检测呢?上传一张包含有一句话木马的图片,抓包,修改文件为3.php,然后上传,最后点击确认修改,保存文件到服务器。
4、通过右键查看图片文件路径,访问php文件,执行脚本代码
5、通过菜刀连接,获取网站服务器控制权限。
0x03 修复建议
1、通过白名单限制上传文件后缀
2、禁止上传目录脚本执行权限。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
