[送0day]代码审计就该这么来3 beescms getshell

最新推荐文章于 2024-10-28 11:39:07 发布

qianduan520

最新推荐文章于 2024-10-28 11:39:07 发布

阅读量848

点赞数

CC 4.0 BY-SA版权

文章标签：操作上传 str 系统 file

本文链接：https://blog.youkuaiyun.com/qianduan520/article/details/80125980

本文介绍了在快速漏洞挖掘中关注文件操作的重要性和方法，并通过实战分析了beescms系统中的上传部分代码，揭示了文件上传漏洞的常见检查手段及其应对策略。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言
上一回(http://bbs.ichunqiu.com/thread-13714-1-1.html)说到快速漏洞挖掘中的几个重点关注对象，命令执行，文件操作，sql注入。并且拿sql做为例子简单做了一次代码审计，今天换一个思路，从文件操作部分入手，毕竟文件操作一个搞不好就是getshell，比起注入按部就班慢慢来可要爽快多了。

一、关注重点
对于文件操作部分来说，首先对php内置的文件操作函数的作用和特性要有一个大概的了解
file_get_contents()
file_put_contents()
move_uploaded_file()
readfile()
fopen()
file()
fputs()
fwrite()
…………

这些都是常用的文件读写类函数，一般文件类的漏洞直接搜索这些函数的调用，跟踪上下文参数传递过程就可以了。说起来挺简单其实要一个一个调用看过去还是很费时间的，尤其是在快速漏洞挖掘中，对系统结构还不太熟悉，有些参数传递或者方法可能一眼看上去就懵比了。那么如何来快速发现一个文件类的漏洞呢。
审计文件类的漏洞，首先我会去看这套系统的上传部分。上传部分是已经构造完成的一套从输入到写入到输出的流程，如果其中存在问题，那么很可能直接就拿到shell。
上传漏洞被挖了这么多年，各类cms或多或少都会在上传部分做一些检查和限制，常见的检查有
1、[Math Processing Error]_FILES[‘file’][‘type’] 上传文件的类型，一般是与白名单比较。
3、[Math Processing Error]_FILES['file']['tmp_name'] 是否为合法的上传文件，当[Math Processing Error]_FILES[‘file’][‘tmp_name’]将是一个极大的安全威胁，如果处理文件上传的函数是copy 那么最轻都是一个任意文件读取的漏洞。
2、单独使用move_uploaded_file()函数处理上传文件，理由同上，move_uploaded_file函数也会判断是否为合法文件。减少系统存在变量覆盖漏洞时躺枪的概率。
3、文件名不可控且后缀名限制为某个数组的成员比如
[PHP] 纯文本查看复制代码
?
1
2
[Math Processing Error]filename = 'user_avatar_01' . [Math Processing Error]s];

接下来就看看我们的目标beescms
二、实战
先来看看beescms的上传部分代码
[PHP] 纯文本查看复制代码
图片描述
if(isset([Math Processing Error]_FILES[‘up’][‘tmp_name’])){
if([Math Processing Error]is_thumb=empty([Math Processing Error]_POST[‘thumb’];
[Math Processing Error]_POST[‘thumb_width’])?[Math Processing Error]_POST[‘thumb_width’]);
[Math Processing Error]_POST[‘thumb_height’])?[Math Processing Error]_POST[‘thumb_height’]);
[Math Processing Error]is_up_size = [Math Processing Error]value_arr=up_img([Math Processing Error]is_up_size,array('image/gif','image/jpeg','image/png','image/jpg','image/bmp','image/pjpeg'),[Math Processing Error]thumb_width,[Math Processing Error]logo);
[Math Processing Error]value_arr[‘pic’];
if(!empty([Math Processing Error]str="<script type=\"text/javascript\">[Math Processing Error]str;
exit;
}//图片上传
}else{
die(‘没有上传文件或文件大小超过服务器限制大小返回重新上传‘);
}
}

可以看到用is_uploaded_file检查了上传文件是否合法，所以即使系统有变量覆盖漏洞（这套系统的确是有的，后面会说），也帮不上多大忙了
实际上传用的是up_img函数接着跟过去看看
…………………………….略
查看全文请看这里》》》》》》》原文地址：http://bbs.ichunqiu.com/thread-13977-1-1.html?from=jike