Destoon B2B CMS 20180827版本Getshell漏洞分析利用

Destoon B2B CMS 20180827版本Getshell漏洞分析利用

漏洞分析

漏洞发生在头像上传处。Destoon中处理头像上传的是 module/member/avatar.inc.php 文件。在会员中心处上传头像时抓包，部分内容如下：

对应avatar.inc.php代码如下：

这里通过$_FILES['file']依次获取了上传文件扩展名$ext、保存临时文件名$name、保存临时文件完整路径$file变量。之后通过new upload();创立一个upload对象，等到$upload->save()时再将文件真正写入。

upload对象构造函数如下，include/upload.class.php:25：

这里通过foreach($_file as $file)来遍历初始化各项参数。而savepath、savename则是通过__construct($_file, $savepath, $savename = '', $fileformat = '')直接传入参数指定。

因此考虑上传了两个文件，第一个文件名是1.php，第二个文件是1.jpg，只要构造合理的表单上传

而在upload类中，由于多个文件上传，$this->file、$this->file_name、$this->file_type将foreach在第二次循环中被置为jpg文件。测试如下：

回到avatar.inc.php，当进行文件保存时调用$upload->save()，include/upload.class.php:50:

先经过几个基本参数的检查，然后调用$this->is_allow()来进行安全检查 include/upload.class.php:72：

可以看到这里仅仅对$this->ext进行了检查，如前此时$this->ext为jpg，检查通过。

接着会进行真正的保存。通过$this->set_savepath($this->savepath); $this->set_savename($this->savename);设置了$this->saveto，然后通过move_uploaded_file($this->file, DT_ROOT.'/'.$this->saveto)将file保存到$this->saveto ，注意此时的savepath、savename、saveto均以php为后缀，而$this->file实际指的是第二个jpg文件。

漏洞利用

综上，上传两个文件，其中第一个文件以php为结尾如1.php，用于设置后缀名为php；第二个文件为1.jpg，jpg用于绕过检测，其内容为php一句话木马(图片马)。

访问 http://www.cesafe.com/file/temp/avatar1.php 即可。其中1是自己的_userid

不过实际利用上会有一定的限制。

第一点是destoon使用了伪静态规则，限制了file目录下php文件的执行。

第二点是avatar.inc.php中在$upload->save()后，会再次对文件进行检查，然后重命名为xx.jpg。

因此要利用成功就需要条件竞争了。