對某cms的一次審計思路

原創 原創 2021-03-22 21:11

漏洞的審計

源頭是在/src/extend/extcore/ImageCrop.php/crop這個方法裏面發現有個getimagesize函數,這個函數是能夠觸發phar反序列化漏洞的,而這個 cms 是基於 thinkphp5.1 框架二次開發的,這個框架有個反序列化漏洞相信大家都很熟悉了,所以我們的目的就是能控制$imgData這個變量就行了

image-20210310113922878.png

可以看到$imgData是由$this->getImgData($img);控制的,我們跟蹤進去

private function getImgData($img){
        if(strripos($img, 'http://')!==FALSE OR strripos($img,'https://') !==FALSE) {	//站外圖片
            $data=file_get_contents($img);
        }else{	//站內圖片
            $file=DOC_ROOT.'/'.$img;
            if(is_file($file)) {
                $data = file_get_contents($file);
            }else{
                return false;
            }
        }
        return $data;
    }

可以看到這裏會限制只能由http://或者https://開頭的參數才能獲取站外的圖片信息

再看看全局搜索crop這個方法看看哪裏會調用他

image-20210310114857549.png

我們在src/application/task/controller/UtilController.php/cropimage發現有個crop_image函數,我們跟蹤進去

function crop_image($file, $options){
    // echo $file;
    $imageCrop=new \extcore\ImageCrop($file, $options);
    return $imageCrop->crop();
}

發現這裏會調用到我們上面的crop函數

這裏的$file參數也就是我們傳給getImgData函數的$img變量,所以這裏我們看看如何去控制他,可以看到crop_image方法裏面有一個$paths=explode('.',$img);,就是會根據點去分隔我們的$img參數,然後又要count($paths)==3,我們可以回想到getImgData限制了http的開頭,我們想要phar反序列化的話,必須是phar://的開頭,那麼我們直接在vps上放置我們的phar文件的路徑不就可以了

但是這裏有一個問題,我們正常輸入一個IP地址的話肯定是不行的,因爲他的count($paths)==3,所以我們可以使用十六進制繞過的方法,所以也就限制了這種方法只能在linux下面使用,這裏順便貼一下之前寫的一個轉進制的腳本

<?php
$ip = '127.0.0.1';
$ip = explode('.',$ip);
$r = ($ip[0] << 24) | ($ip[1] << 16) | ($ip[2] << 8) | $ip[3] ;
if($r < 0) {
    $r += 4294967296;
}
echo "十進制:";
echo $r;
echo "八進制:";
echo decoct($r);
echo "十六進制:";
echo dechex($r);
?>

我們在$ip處貼上自己的vps的地址,這裏要注意生成的十六進制前面要加上0x

然後cacheimage函數的

$response = crop_image($paths[0].'.'.$paths[2], $args);

$paths[0].'.'.$paths[2]就是我們想要控制的參數,因爲前面explode把我們的url地址分成了3份,這裏把第一份和第三份拼接了起來,於是我們可以構造類似於http://vps-ip/1.1.txt的形式,這裏樣我們的$paths[0].'.'.$paths[2]也就成爲了1.txt也就是我們可控的東西了,同時這裏也明白了爲什麼要將vps-ip轉成16進制的原因了

我們同時在vps上放置test.phar的路徑,這個cms後臺是可以上傳jpg文件的,當然phar反序列化的話即使是jpg後綴的文件也是能夠成功反序列的,這裏我爲了方便直接放在根目錄下

image-20210310121018615.png

到了這一步我們的思路基本就清晰了,我們測試一下$img是否能夠正確的打印出來,可以手動添加一個echo $img;

image-20210310121752201.png

我們訪問一下cacheimage的路由

image-20210310122044053.png

可以看到我們的$img變成了1.txtgetimagesize函數裏面也成功接收到我們放在1.txt裏面的內容

image-20210310141711478.png

我們再cmd傳參我們的命令即可看到漏洞已經成功利用

本文涉及相關實驗:任意文件上傳漏洞的代碼審計01 (通過本節的學習,瞭解文件上傳漏洞的原理,通過代碼審計掌握文件上傳漏洞產生的原因、上傳繞過的方法以及修復方法。)

總結

漏洞已經上交於cnvd平臺,然後這個漏洞由於十六進制繞過的問題,只能在linux下才可以成功實現,所以可以把cms放在docker裏面進行測試,然後在一些小的cms裏面關於phar反序列化漏洞還是比較好找的,因爲一般來說後臺都是能夠上傳jpg格式的文件,能夠觸發phar的函數也蠻多的

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ThinkPHP6 excel 導入功能完整實現

在 ThinkPHP 6.0 中實現 excel 導入導出功能,需要使用第三方庫或擴展,例如 phpspreadsheet。 安裝 項目目錄下打開命令行,執行命令: composer require phpoffice/p

Jack088 2023-04-01 22:43:54

docker使用xhprof進行thinkphp性能分析

一、小試牛刀 1.環境準備 進入docker,執行下面動作安裝擴展 wget https://pecl.php.net/get/xhprof-2.3.9.tgz tar xvf xhprof-2.3.9.tgz mv xhprof-2.3.

原創 2023-01-31 00:19:01

thinkphp6無法獲取前端傳過來的header裏面的信息,配置Nginx

在.conf 文件中,頂部增加  underscores_in_headers on; 修改 location ~ \.php$ 刪除 後面的$ underscores_in_headers on; server { liste

原創 2022-04-30 14:17:35

php7異常與錯誤處理

異常與錯誤的概述 什麼叫作異常? 異常是指程序運行中不符合預期狀況以及與正常流程不一樣的情況。php 好比你連接數據庫,在參數都寫上去的條件下,發現連接不上去,這就屬於不符合預期 html 能夠被 try-catch 捕捉獲得think

原創 2021-12-25 21:12:24

ThinkPHP3.2 中空方法、空控制器和空模塊的設置

ThinkPHP3.2 中空方法、空控制器和空模塊的設置 1、空方法設置 問題: 當你訪問一個不存在的方法的時候: 如: http://localhost/test/index.php/Home/User/getList 會報如下錯

osc_030273w2 2021-12-25 21:08:56

解決ThinkPHP關閉調試模式時報錯的問題彙總

解決ThinkPHP關閉調試模式時報錯的問題彙總 參考文章: (1)解決ThinkPHP關閉調試模式時報錯的問題彙總 (2)https://www.cnblogs.com/ChengDong/p/5846671.html (3)https

fyin1314 2021-06-15 09:22:08

thinkphp5+mysql 分組排序,並且按照時間倒序排列

<?php //mysql 5.7及以上版本,需要加入limit限制,先算出總的記錄條數 $countz = Db::table("order_detail")->where($odmap)->

原創 2021-05-27 21:08:27

thinkphp6 文件系統 上傳問題

 問題  想要修改上傳的文件名    解決辦法:之前用的是putFile   需要改成  putFileAs $file = new File(\think\facade\Config::get('commonConfig.job_dow

原創 2021-05-10 21:09:16

《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網絡日趨多見

近期,加密貨幣市場可謂熱度十足。數字資產交易網站Crypto.com的一項調查顯示,截至2021年1月,全球已有1.06億加密貨幣用戶。各類數字加密貨幣價格暴漲是推動用戶數增長的主要驅動力。然而,用戶數增加的同時,數字貨幣也引來了黑產的垂涎

原創 2021-03-22 21:31:28

SIYUCMS介紹及演示效果

SIYUCMS基於ThinkPHP開發,目前提供兩個版本供選擇: V5.1版本基於ThinkPHP5.1.X開發; V6.1版本基於ThinkPHP6.0.X開發; SIYUCMS後臺前端框架採用AdminLTE開發,系統的核心理念就是“

原創 2021-03-22 21:30:10

SIYUCMS 快速開發內容管理系統

SIYUCMS 基於 ThinkPHP6.0 + AdminLTE 開發,簡單 / 易用 / 響應式 / 低門檻。 系統內置了表單構建器和表格構建器,配合後臺模塊管理和字段管理能快速方便的構建Web應用程序。 功能特性 1、權限管理,基於

原創 2021-03-22 21:30:10

uniapp手機號碼一鍵登陸功能實現

HBuilderX 3.0+版本,新增一鍵登錄,運營商網關認證,免短信驗證獲取手機號;剛好最近開發項目有應用上,簡單分享一下! 1、開通uniapp的“一鍵登錄”權限 在minifest.json文件中勾選一鍵登錄(univerify)

Azan夜大蝦 2021-03-22 21:25:33

記某cms的漏洞挖掘之旅

任意文件寫入 這個 cms 是基於 thinkphp5.1 的基礎開發的,一般我們挖 cms 如果想 rce 的話,可以在 application 文件夾直接搜索file_put_content等危險函數,如下圖,我們直接全局定位到這個fi

原創 2021-03-22 21:11:21

PHP高級編程-迴歸原生態-框架是如何運行的?

4.5 框架是如何運行的 基本很多項目的開發都是基於PHP開源框架的,或者至少都是基於框架的,不管這個框架是內部的,還是自己個人編寫的,還是來自開源社區的。理解框架是如何運行是很有幫助的,注意這裏說的是理解,而不是瞭解。說白了,就是你不

原創 2021-02-18 21:30:18

“你做外包,賺了很多錢吧”

“你做外包,賺了很多錢吧” 我最早開始做外包開發時,是在大二。不過,都是在學校內的項目。那時,我們的學校需要重新開發一個就業指導系統網站,經過就業中心的學生助理介紹,找到了我和我同班的幾位同學,因爲當時我們是這個專業的,剛好學了PHP網

原創 2021-02-10 21:30:36