0x00 环境准备

ukcms官网：https://www.ukcms.com/

程序源码下载：http://down.ukcms.com/down.php?v=1.1.0

测试网站首页：

0x01 代码分析

1、文件位置: /application/admin/controller/Filemanage.php 第93-208行中：

 

这段代码中saveFile函数经过一些大小、类型限制，到最后进行判断附件格式是否符合存在问题。注意看红色代码部分，首先获取文件名和后缀名，判断后缀是否为空，然后对文件头MIME_TYPE字段校验，这里客户端可通过抓包伪造MIME_TYPE类型，导致绕过，最后的附件类型限制是客户端参数可控的。

综上，程序在实现上对文件上传类型过滤不严，导致可以被绕过，通过该漏洞上传脚本木马，获取服务器控制权限。

0x02 漏洞利用

A、        如何登陆后台

思路1：通过默认后台入口及默认账号密码进行登录。

程序在安装过程中，自动默认账号密码，管理员要在后台进行更改，很大的几率存在弱口令情况。

后台入口:admin.php

后台默认账户/密码:admin/123456

思路2：通过爆破备份文件路径，获取数据库备份文件。

数据库备份文件格式：\data\db\20180119-214910-1.sql.gz，以时间戳为命名方式，存在被爆破的风险，通过爆破备份文件路径，获取数据库敏感信息。

B、文件上传漏洞利用

1、登录后台—系统参数—参数设置—上传，首先在允许上传的图片后缀添加PHP:

2、此时如果直接上传php文件，还是会被提示“禁止上传非法文件”：

3、如何绕过MIME_TYPE的检测呢？上传一张包含有一句话木马的图片，抓包，修改文件为3.php，然后上传，最后点击确认修改，保存文件到服务器。

4、通过右键查看图片文件路径，访问php文件，执行脚本代码

5、通过菜刀连接，获取网站服务器控制权限。

0x03 修复建议

1、通过白名单限制上传文件后缀

2、禁止上传目录脚本执行权限。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。 

【代码审计】UKCMS_v1.1.0 文件上传漏洞分析的更多相关文章

1. PHPcms v9.6.0 文件上传漏洞

   title: PHPcms v9.6.0 文件上传漏洞 date: 2021-4-5 tags: 渗透测试,CVE漏洞复现,文件上传 categories: 渗透测试 CVE漏洞复现 文件上传 PHP ...

2. 1.5 webshell文件上传漏洞分析溯源(1~4)

   webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中 上传1.png  ---->   我们查看页面元素 -----&gt ...

3. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

     0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

4. 【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析

     0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

5. 【代码审计】BootCMS v1.1.3 文件上传漏洞分析

     0x00 环境准备 BootCMS官网:http://www.kilofox.net 网站源码版本:BootCMS v1.1.3  发布日期:2016年10月17日 程序源码下载:http://w ...

6. 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析

     0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

7. 【代码审计】XYHCMS V3.5文件上传漏洞分析

     0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhc ...

8. UEditor编辑器两个版本任意文件上传漏洞分析

   0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

9. [转]UEditor编辑器两个版本任意文件上传漏洞分析

   0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...

随机推荐

1. iOS 从某个页面返回然后刷新当前页面

   -------->不说废话 在返回页面实现下面方法: - (void)navigationController:(UINavigationController*)navigationContro ...

2. LeetCode122:Best Time to Buy and Sell Stock II

   题目: Say you have an array for which the ith element is the price of a given stock on day i. Design a ...

3. Linux系统/etc/init.d目录

   理解Linux系统/etc/init.d目录和/etc/rc.local脚本 http://blog.csdn.net/acs713/article/details/7322082 Linux文件目录 ...

4. 韦东山驱动视频笔记——3.字符设备驱动程序之poll机制

   linux内核版本:linux-2.6.30.4 目的:我们在中断方式的按键应用程序中,如果没有按键按下,read就会永远在那等待,所以如果在这个程序里还想做其他事就不可能了.因此我们这次改进它,让它 ...

5. GridView编辑删除操作

   第一种:使用DataSource数据源中自带的编辑删除方法,这样的不经常使用,在这里就不加说明了. 另外一种:使用GridView的三种事件:GridView1_RowEditing(编辑).Grid ...

6. day23.面向对象之继承

   1.什么是继承 继承是一种创建新类的方式,在python中,新建的类可以继承一个或多个父类,父类又可称为基类或超类,新建的类称为派生类或子类 python中类的继承分为:单继承和多继承 class A ...

7. Vue CLI 3.0脚手架如何在本地配置mock数据

   前后端分离的开发模式已经是目前前端的主流模式,至于为什么会前后端分离的开发我们就不做过多的阐述,既然是前后端分离的模式开发肯定是离不开前端的数据模拟阶段. 我们在开发的过程中,由于后台接口的没有完成或 ...

8. 单页面应用SPA和多页面应用MPA

   单页面应用(SinglePage Web Application,SPA) 只有一张Web页面的应用,是一种从Web服务器加载的富客户端,单页面跳转仅刷新局部资源 ,公共资源(js.css等)仅需加载 ...

9. poi读取、通过poi导出数据库的记录到excl表

   package com.nt.test;   import java.io.File; import java.io.FileInputStream; import java.io.FileNotFo ...

10. 一文看尽HashMap

    前言 日常开发中,经常会使用到JDK自带的集合类:List.Set.Map三者的实现,ArrayList.LinkedList.HashSet.TreeSet.HashMap.TreeMap等.其中L ...