JunAMS v1.2.1.20190403程式碼審計筆記

阿新 • • 發佈：2021-01-11

前言

CNVD-2020-24741

過程

JunAMS是以ThinkPHP為框架的開源內容管理系統，本地搭建受影響版本JunAMS v1.2.1.20190403

前臺沒有上傳功能，進入後臺。發現在系統設定->版本管理->新增表單中，發現檔案上傳功能

先傳張正常的圖片，抓個包看一下：

上傳功能沒問題，根據POST路徑追蹤對應功能程式碼，在common方法中的add_images函式，程式碼如下:

public function add_images() {
        $file = request()->file('file');
        $path = ROOT_PATH . 'public' . DS . 'edit' . DS;

        if($file){
            $info = $file->validate([])->move($path); 
            if($info){
                $name = $info->getSaveName();
                $path = $path.$name;
                # 是否需要壓縮
                if (\qiniu\Qiniu::get_zip() == 1) {
                    \qiniu\Qiniu::image_png_size_add($path, $path);
                }
                # 關閉七牛雲上傳
                if (\qiniu\Qiniu::get_status() == 0) {
                    $url = str_replace(['\\', '//'],'/', dirname($_SERVER['SCRIPT_NAME']) .DS. 'public' .DS. 'edit' .DS. $name);
                } else {
                    # 要先釋放TP5的例項，否則無法刪除圖片
                    unset($info);
                    $url  = \qiniu\Qiniu::put($path, $name);
                }
                # 成功上傳後 獲取上傳資訊
                if ($url) {
                    echo json_encode([
                        'code' => 0,
                        'msg'  => '上傳成功',
                        'data' => [
                            'src' => $url
                        ],
                    ], JSON_UNESCAPED_UNICODE);exit;
                }
                
            }
            # 上傳失敗獲取錯誤資訊
            echo json_encode([
                'code' => '01',
                'msg'  => '上傳失敗：'.$file->getError(),
                'data' => '',
            ], JSON_UNESCAPED_UNICODE);exit;
        }
    }

$info獲取檔案詳情，並經過move函式處理，追蹤下move()

public function move($path, $savename = true, $replace = true)
    {
        // 檔案上傳失敗，捕獲錯誤程式碼
        if (!empty($this->info['error'])) {
            $this->error($this->info['error']);
            return false;
        }

        // 檢測合法性
        if (!$this->isValid()) {
            $this->error = 'upload illegal files';
            return false;
        }

        // 驗證上傳
        if (!$this->check()) {
            return false;
        }

        $path = rtrim($path, DS) . DS;
        // 檔案儲存命名規則
        $saveName = $this->buildSaveName($savename);
        $filename = $path . $saveName;

        // 檢測目錄
        if (false === $this->checkPath(dirname($filename))) {
            return false;
        }

        // 不覆蓋同名檔案
        if (!$replace && is_file($filename)) {
            $this->error = ['has the same filename: {:filename}', ['filename' => $filename]];
            return false;
        }

        /* 移動檔案 */
        if ($this->isTest) {
            rename($this->filename, $filename);
        } elseif (!move_uploaded_file($this->filename, $filename)) {
            $this->error = 'upload write error';
            return false;
        }

        // 返回 File 物件例項
        $file = new self($filename);
        $file->setSaveName($saveName)->setUploadInfo($this->info);

        return $file;
    }

這裡我們需要著重關注驗證上傳部分，看下check函式如何定義

public function check($rule = [])
    {
        $rule = $rule ?: $this->validate;

        /* 檢查檔案大小 */
        if (isset($rule['size']) && !$this->checkSize($rule['size'])) {
            $this->error = 'filesize not match';
            return false;
        }

        /* 檢查檔案 Mime 型別 */
        if (isset($rule['type']) && !$this->checkMime($rule['type'])) {
            $this->error = 'mimetype to upload is not allowed';
            return false;
        }

        /* 檢查檔案字尾 */
        if (isset($rule['ext']) && !$this->checkExt($rule['ext'])) {
            $this->error = 'extensions to upload is not allowed';
            return false;
        }

        /* 檢查影象檔案 */
        if (!$this->checkImg()) {
            $this->error = 'illegal image files';
            return false;
        }

        return true;
    }

check函式中檢查了檔案型別、字尾和影象檔案，依次看下程式碼，首先來看checkMime()

public function checkMime($mime)
    {
        $mime = is_string($mime) ? explode(',', $mime) : $mime;

        return in_array(strtolower($this->getMime()), $mime);
    }

直接將傳入的型別與獲取到的型別做對比，未做過濾，繼續看checkExt()

public function checkExt($ext)
    {
        if (is_string($ext)) {
            $ext = explode(',', $ext);
        }

        $extension = strtolower(pathinfo($this->getInfo('name'), PATHINFO_EXTENSION));

        return in_array($extension, $ext);
    }

字尾型別也沒有限制，看下checkImg()

public function checkImg()
    {
        $extension = strtolower(pathinfo($this->getInfo('name'), PATHINFO_EXTENSION));

        // 如果上傳的不是圖片，或者是圖片而且字尾確實符合圖片型別則返回 true
        return !in_array($extension, ['gif', 'jpg', 'jpeg', 'bmp', 'png', 'swf']) || in_array($this->getImageType($this->filename), [1, 2, 3, 4, 6, 13]);
    }

    /**
     * 判斷影象型別
     * @access protected
     * @param  string $image 圖片名稱
     * @return bool|int
     */
    protected function getImageType($image)
    {
        if (function_exists('exif_imagetype')) {
            return exif_imagetype($image);
        }

        try {
            $info = getimagesize($image);
            return $info ? $info[2] : false;
        } catch (\Exception $e) {
            return false;
        }
    }

這裡限制了當上傳的字尾為'gif', 'jpg', 'jpeg', 'bmp', 'png', 'swf'時，檔案內容必須為圖片，換言之，當不是圖片字尾時，內容沒有限制

整個上傳流程為：獲取圖片檔案字尾、Mime型別、內容，當字尾為圖片檔案時，檢測內容是否為圖片，當字尾不為圖片檔案時，定義上傳目錄與檔名，上傳成功，返回檔案路徑。並且common方法沒有受後臺許可權驗證基類Backend限制，任意使用者可訪問，產生前臺任意檔案上傳漏洞。

利用

本地構造上傳表單

<form enctype="multipart/form-data" action="http://localhost//admin.php/common/add_images.html" method="post">  
<input type="file" name="file" size="50"><br>  
<input type="submit" value="Upload">  
</form>

任意檔案上傳GETSHELL：

最後

上傳檔案位置不止一處，其他的還需一一驗證。

JunAMS v1.2.1.20190403程式碼審計筆記

前言 CNVD-2020-24741 過程 JunAMS是以ThinkPHP為框架的開源內容管理系統，本地搭建受影響版本JunAMS v1.2.1.20190403

SeacmsV10.7版程式碼審計筆記

data: 2020.11.9 10:00AM description： seacms程式碼審計筆記 0X01前言 seacms（海洋cms）在10.1版本後臺存在多處漏洞，事實上當前最新版V10.7這些漏洞都沒有修復，網上已有10.1版本相關的分析文章，這裡就不再重

Beescms V4.0_R_20160525程式碼審計筆記

寫在前面什麼是報錯注入？正常使用者訪問伺服器傳送id資訊返回正確的id資料。報錯注入是想辦法構造語句，讓錯誤資訊中可以顯示資料庫的內容；如果能讓錯誤資訊中返回資料庫中的內容，即實現SQL注入。

spring boot-2.1.16整合swagger-2.9.2 含yml配置檔案的程式碼詳解

java程式碼 package com.oauth.util; import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;

OpenCV4學習筆記（2.1）Windows系統 | 檔案路徑表示法 | ./、../、/、~的作用 | /、//、\等之間的區別 | 字串的原始字面量R"(...)"

學習OpenCV的過程中，需要讀取或者儲存影象時，肯定會用到影象的絕對路徑或者相對路徑。路徑這一塊很混亂、很複雜，這次主要說一說Windows系統下的檔案路徑表示方法。

CTF程式碼審計之BUU CODE REVIEW 1

BUU CODE REVIEW 1 考點知識：反序列化，md5繞過魔術方法 __destruct()：物件的所有引用都被刪除或者當物件被顯式銷燬時執行

Java核心技術學習筆記——進階——第二章單元測試和JUnit——2.1 單元測試

1. 軟體測試 2. 單元測試和整合測試 3. 白盒測試和黑盒測試 4. 自動測試和手動測試

C# 好程式碼學習筆記(1)：檔案操作、讀取檔案、Debug/Trace 類、Conditional條件編譯、CLS

目錄1，檔案操作2，讀取檔案3，Debug 、Trace類4，條件編譯5，MethodImpl 特性5，CLSCompliantAttribute6，必要時自定義類型別名

計算機構成原理學習筆記 2.1 - 程序同步

程序的同步學習筆記參考資料： 1. 相關概念 1.1 什麼是程序的同步？首先複習以下程序的5個特徵：

2.1 spring-boot整合Redis程式碼搭建

1. spring-boot整合Redis 1pom.xml中新增Jedis依賴，新增Fastjson依賴 <dependency> <groupId>redis.clients</groupId>

部分php程式碼審計習題（2）

[RoarCTF 2019]Easy Calc 網頁開啟之後就是一個非常普通的計算器（web應用），直接翻查原始碼，主要看js程式碼。

《原神攻略》學者的筆記在哪裡？2.1學者的筆記位置點分享

原神學者的筆記在哪裡?在2.1版本中成就有不少，其中有些是隱藏的比如這個小獵犬號擱淺記，需要玩家找到相應的筆記，這裡給大家帶來了原神2.1學者的筆記位置點分享，一起來看下吧。

ThinkPHP3.2.3程式碼審計

寫在前面　　剛好CTFSHOW做到ThinkPHP程式碼審計的部分了,以前也沒嘗試審計過這種完整的框架,只會照著成品Payload瞎打,這裡就審計下ThinkPHP3.2.3的那些利用點,總結一下。

程式碼審計-ThinkPHP3.2.3框架漏洞

程式碼審計-ThinkPHP3.2.3框架漏洞 1.閱讀目錄 web目錄：thinkphp架構目錄：熟悉web目錄結構，ThinkPHP框架目錄結構

Java 程式碼審計 — 1. ClassLoader

參考： https://www.bilibili.com/video/BV1go4y197cL/ https://www.baeldung.com/java-classloaders https://mp.weixin.qq.com/s/lX4IrOuCaSwYDtGQQFqseA

Java 程式碼審計 — 2. Reflection

參考： https://zhishihezi.net/b/5d644b6f81cbc9e40460fe7eea3c7925 https://stackoverflow.com/questions/16966629/what-is-the-difference-between-getfields-and-getdeclaredfields-in-java-reflectio

java程式碼審計學習筆記

一、程式碼審計常用思路 1、介面排查(\"正向追蹤\") 2、危險方法溯源(\"逆向追蹤\")

2.1 Orthogonal Vectors and Subspaces 閱讀筆記

正交向量和正交空間 reference的內容為唯一教程，接下來的內容僅為本人的課後感悟，對他人或無法起到任何指導作用。

夢斷程式碼閱讀筆記2

《夢斷程式碼》作者羅森伯格對OSAF主持的Chandler專案進行田野調查，跟蹤經年，試圖藉由Chandler的開發過程揭示軟體開發中的一些根本性大問題。本書是講一事，也是講百千事；是寫一軟體，也是寫百千軟體；是寫一群人

TiDB 2.1.18 釋出，分散式 NewSQL 資料庫

TiDB 2.1.18 已經發布了，該版本更新內容如下： TiDB SQL 優化器修復 Feedback 切分查詢範圍出錯的問題 #12172

JunAMS v1.2.1.20190403程式碼審計筆記

前言

過程

利用

最後

相關推薦