0x00 环境准备
BootCMS官网:http://www.kilofox.net
网站源码版本:BootCMS v1.1.3 发布日期:2016年10月17日
程序源码下载:http://www.kilofox.net/download-v1-1-3
测试网站首页:
0x01 代码分析
1、漏洞文件位置:/application/classes/controller/manage.php 第2082-2134行:
- public function action_create_media()
- {
- if ($this->request->method() == 'POST')
- {
- $output = new stdClass();
- $output->status = 0;
- $output->title = '操作失败';
- $output->content = '您没有足够的权限进行此项操作。';
- $this->accessLevel = Admin::minimumLevel('create_media');
- 10. if ($this->user->role_id == $this->accessLevel)
- 11. {
- 12. $groupId = (int) $this->request->post('gid');
- 13. $group = Model::factory('media_group')->load($groupId);
- 14. if (!$group->id)
- 15. {
- 16. $output->status = 2;
- 17. $output->title = '操作失败';
- 18. $output->content = '请选择媒体分组。';
- 19. exit(json_encode($output));
- 20. }
- 21. if (isset($_FILES['qqfile']) && $_FILES['qqfile']['name'])
- 22. {
- 23. $file = Validation::factory($_FILES);
- 24. $file->rule('qqfile', 'Upload::not_empty');
- 25. $file->rule('qqfile', 'Upload::valid');
- 26. $file->rule('qqfile', 'Upload::image');
- 27. $file->rule('qqfile', 'Upload::size', array(':value', '2M'));
- 28. if (!$file->check())
- 29. {
- 30. $output->status = 3;
- 31. $output->title = '无效的文件';
- 32. $output->content = '这个文件是无效的。';
- 33. exit(json_encode($output));
- 34. }
- 35. $extension = Functions::nameEnd($file['qqfile']['name'], '.');
- 36. $fileName = date('ymdHis') . mt_rand(10, 99) . $extension;
- 37. $directory = getcwd() . '/assets/uploads/' . $group->slug;
- 38. $filePath = $directory . DIRECTORY_SEPARATOR . $fileName;
- 39. if (!file_exists($filePath))
- 40. {
- 41. $filePath = Upload::save($file['qqfile'], $fileName, $directory);
- 42. }
- 43. else
- 44. {
- 45. $filePath = Upload::save($file['qqfile'], NULL, $directory);
- 46. }
- 47. if ($filePath === false)
- 48. {
- 49. $output->status = 4;
- 50. $output->title = '文件上传失败';
- 51. $output->content = '无法保存上传的文件!';
- 52. exit(json_encode($output));
- 53. }
这段代码中,首先进行权限验证,然后获取qqfile参数,将文件上传到服务器,最后进行调整生成缩略图,注意看红色代码部分,并没有对文件类型进行过滤,可以构造脚本文件上传到服务器,导致程序在实现上存在文件上传漏洞,攻击者可以通过上传脚本木马,控制服务器权限。
0x02 漏洞利用
1、登录网站后台,在媒体—媒体库—添加新媒体—上传图片木马—抓包修改为PHP后缀—成功上传:
2、程序生成缩略图过程报错,直接爆出上传后脚本木马文件的物理路径,通过URL访问:
3、通过菜刀连接,成功控制网站服务器
0x03 修复建议
1、通过白名单限制上传文件后缀
2、禁止上传目录脚本执行权限。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。