记一次某CMS代码审计
2022-11-4 17:33:18 Author: mp.weixin.qq.com(查看原文) 阅读量:20 收藏

作者:ddwGeGe

本文转自先知社区:https://xz.aliyun.com/t/11774

前言

无意中浏览到某小众OA官网且可以下载到源码,随机审计一波,最后成功Getshell,大佬勿喷

目录结构

环境搭建

WIN11 + PhpStudy(Mysql) + Redis + IDEA(Tomcat 8.0)

将sql文件导入到phpstudy(Mysql)中,同时启动Redis服务,配置好数据库环境

采用白+黑进行审计,从功能点出发,在个人资料处图像可以进行上传

开始抓包进行文件上传,后缀和文件内容均没有做校验,且返回上传的路径和文件名,本以为可以直接getshell,但却无法解析,且该文件并没有落地

代码审计

根据数据包的路径(/func/upload/uploadImages)直接搜索路由,成功找到上传函数

首先会对db的值进行判断,根据db的值来决定上传文件的保存方式

初始上传的时候,db=1,而if的GlobalConstant.FILE_UPLOADER_SAVE_FILE=0,故直接进入到else if

新的文件名 = 上传时间 + 10位随机数 + 原始上传文件的后缀名

String extend = FileUtils.getExtend(fileName);// 获取文件扩展名String noextfilename = DateUtils.getDataString(DateUtils.SDF_YYYYMMDDHHMMSS) + StringUtil.random(10);//自定义文件名称String myfilename= noextfilename+"."+extend;//自定义文件名称

文件存储在数据库中,并将文件名通过map保存,最后返回在数据包中

db可控,在上传的时候,将db=1改为db=0,进入到if

会创建新的上传目录,新的目录 = Web根目录 + upload + 上传时间(年月日),若不存在则进行新建

String realPath = request.getSession().getServletContext().getRealPath("/") + "/upload/" + strYYYYMMDD + "/";// 文件的硬盘真实路径String path = "upload/" + strYYYYMMDD + "/";File file = new File(realPath);    if (!file.exists()) {    file.mkdirs();// 创建根目录}

新的文件名的命名方式跟else if基本一致,在获取文件的后缀名的时候,并未进行检查和过滤,直接进行拼接,从而造成了文件上传漏洞

最后将上传文件内容直接复制到新创建的文件

FileCopyUtils.copy(mf.getBytes(), savefile);

最后通过map进行存储,且将文件上传路径和文件名分别存储在 filePath、saveName

Map<String, Object> map = new HashMap<String, Object>();map.put("filePath", GlobalConstant.CONFIG_FILE_SAVE_DB_URL + myfilename);map.put("saveName", noextfilename);

上传回显的Jsp Webshell,将db在上传的时候改为db=0,成功上传,可执行命令

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:[email protected]

文章类型:黑客极客技术、信息安全热点安全研究分析安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

靶场实操,戳“阅读原文“

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&mid=2652892734&idx=1&sn=e049f543648c98548f5bdab174a258d7&chksm=bd5992f38a2e1be5c282006b2c2eb0f1885b39cd321d14cdb3542b9c4985ce17bacf8006f5ef#rd
如有侵权请联系:admin#unsafe.sh