phpcms上传导致getshell详解及案例

一、环境

这里我根据大佬的文章将环境复原

phpcms上传导致getshell详解及案例 | 离别歌

回忆phpcms头像上传漏洞以及后续影响 | 离别歌

二、代码：

php：

<?php
header("Content-Type:text/html; charset=utf-8");
require_once('pclzip.lib.php');

$file = $_FILES['file'];
if (!$file) {
    exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'upload/';
$ext = strtolower(substr(strrchr($name, '.'), 1));

//递归删除  zip  1   web.php
function check_dir($dir)
{
    $handle = opendir($dir);
    while (($f = readdir($handle)) !== false) {
        if (!in_array($f, array('.', '..'))) {
            $ext = strtolower(substr(strrchr($f, '.'), 1));
            if (!in_array($ext, array('jpg', 'gif', 'png'))) {
                unlink($dir . $f);
            }
        }
    }
}
if (!is_dir($dir)) {
    mkdir($dir);
}

 $temp_dir = $dir . 'member/1/';
if (!is_dir($temp_dir)) {
    // mkdir($temp_dir);
}

if (in_array($ext, array('zip', 'jpg', 'gif', 'png'))) {
    if ($ext == 'zip') {

        $archive = new PclZip($file['tmp_name']);

        if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
            check_dir($dir);
            exit("解压失败");
        }
        check_dir($temp_dir);
        exit('上传成功!');
    } else {
        move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']);
        check_dir($temp_dir);
        exit('上传成功!');
    }
} else {
    exit('仅允许上传zip、jpg、gif、png文件!');
}

html：

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <title>文件上传</title>
</head>
<body>
    <form method="post" action="upload.php" enctype="multipart/form-data">
        <input type="file" name="file" />
        <input type="submit" name="submit" value="上传" />
    </form>
</body>
</html>

三、实操

开始我们先随便上传一个zip文件

结果如下:

上传进去文件是空的自动把我们php文件删除了：

因为不是递归删除，只删文件，那么我们可以在压缩包下放一个文件夹，如此

之后进行上传

自然成功

意识到这个问题后，改团队对代码进行了更改为递归删除

//递归删除  zip  1   web.php
function check_dir($dir){
    $handle = opendir($dir);
    while(($f = readdir($handle)) !== false){
        if(!in_array($f, array('.', '..'))){
            if(is_dir($dir.$f)){
                check_dir($dir.$f.'/');
             }else{
                $ext = strtolower(substr(strrchr($f, '.'), 1));
                if(!in_array($ext, array('jpg', 'gif', 'png'))){
                    unlink($dir.$f);
                }
            }
        }
    }
}

 所以这样以来递归删除不能搞定了

先解压后删除不就是我们的竞争型漏洞

我们BurpSuite抓包进行发送，这边手动刷新，竞争上传

直接抓包1000次

 这边手动刷新

 第三次，他修补代码为随机命名，防御我们的竞争上传

但是呢这个第三次也很简单，如果压缩包中途损坏是不是不会走底下的上传成功了，只要保证解压到php不会出错就可以

那我们改CRC校验码，就可以达成我们的目的 

接下来我们上传（很明显这里有问题下面我会说）

如此php解压出去了但是jpg没有，那我们代码中为什么不成功？

因为代码太老的缘故，我进行了更改

Windows下不允许文件名带:

 解压失败了，但是我们去看看文件，我们的一句话木马是在的

 至于随机数，我们上传图像后可以右键查看路径直接访问

基于第三种问题作者又进行了更改

改了一个这在解压失败后会再次检测一次，再删除一次

那我们可以把自己上传的文件名给为../../../../aaaaaaaaaa.php

那等它删除的时候我跳到根目录了，都已经没有这个文件了

开始操作

我压一个文件

在01里改为

 两个都改一下

上传

pass：这里使用先前早期代码，因为在5.0以后解压方式做了设置，不能再次跳转，无法成功3

自然成功

四、总结

1.没有递归函数，导致文件夹内的文件并未被删除

修复方法：递归函数

2.先上传，后删除，利用时间竞争

修复方式：创一个随机字符的文件夹名

3.直接解压报错

修复方式：在解压后，先删除一次

4.利用../../跳出目录

究竟是什么原因造成了这个漏洞，究其根本还是以为将用户不安全的POST数据写入了文件，并解压到web目录下了。把压缩包放进tmp目录里，如果上传、解压缩的操作都能在tmp目录里完成，再把我们需要的头像文件拷贝到web目录中，就不会有麻烦的安全问题了