dzzoffice 任意文件下载

\updload\dzz\system\save.php
第72行开始:
    elseif($_GET['do']=='move'){
    $obz=trim($_GET['obz']);
    $tbz=trim($_GET['tbz']);
    $sourcetype=trim($_GET['sourcetype']);
    $icoids=explode(',',$_GET['icoid']);
    $ticoid=intval($_GET['ticoid']);
    $container=trim($_GET['container']);
    $iscut=isset($_GET['iscut'])?intval($_GET['iscut']):0;
    $data=array();
    $icoarr=array();
    $folderarr=array();
进入move条件
几个参数全是直接GET传入,没有过滤,只有$ticoid经过intval整形判断。

$icoids看这个参数完全没有过滤,跟进
elseif($sourcetype=='icoid'){//
        
        $data=array();
        $totalsize=0;
        $data['gid']=$gid;
        $data['iscopy']=$iscopy;
        $icos=$folderids=array();
        
        //
        
        foreach($icoids as $icoid){
            //
            $opath=rawurldecode($icoid);
            $path=rawurldecode(str_replace(array('_dock_','icosContainer_folder_','icosContainer_body_'),'',$container));
            
             $return=IO::CopyTo($opath,$path,$iscopy);
             if(!$iscopy){
                 $return = IO::DeleteByData($return);
             }
            
            if($return['success']===true){
                $data['icoarr'][]=$return['newdata'];
                if(!$tbz){
                    addtoconfig($return['newdata'],$ticoid);
                }
                
                if($return['newdata']['type']=='folder') $data['folderarr'][]=IO::getFolderByIcosdata($return['newdata']);
                $data['successicos'][$return['icoid']]=$return['newdata']['icoid'];
                
            }else{
                $data['error'][]=$return['name'].':'.$return['success'];
            }
        }
        if($data['successicos']){
            $data['msg']='success';
            if(isset($data['error'])) $data['error']=implode(';',$data['error']);
            echo json_encode_gbk($data);
            exit();
        }else{
            $data['error']=implode(';',$data['error']);
            echo json_encode_gbk($data);
            exit();
        }
    }

第162到第205行全是这个函数相关。
首先是rawurldecode 和urldecode功能一样是url解码,然后$container=trim($_GET['container']);
这个函数也是直接传入然后去空格没有过滤。

$return=IO::CopyTo($opath,$path,$iscopy);这句是返回一个IO类的CopyTo方法的值跟进这个方法
class IO extends dzz_io {}
找到dzz_io类
在\upload\core\class\dzz\dzz_io.php中定义这个类
然后找到类方法CopyTo
function CopyTo($opath,$path,$iscopy=0){
    
        if($io=self::initIO($opath)) return $io->CopyTo($opath,$path,$iscopy);
        else return false;
    }

这里调用了另外一个类方法initIO这里把传入的第一个变量$opath传到这个方法当中跟进这个类方法
        protected function initIO($path){
        $bzarr=explode(':',$path);
        $allowbz=C::t('connect')->fetch_all_bz();//array('baiduPCS','ALIOSS','dzz','JSS');
        
        if(strpos($path,'dzz::')!==false){
            $classname= 'io_dzz';
        }elseif(strpos($path,'attach::')!==false){
            $classname= 'io_dzz';
        }elseif(is_numeric($bzarr[0])){
            $classname= 'io_dzz';
        }elseif(in_array($bzarr[0],$allowbz)){
            $classname= 'io_'.$bzarr[0];
        }else{
            return false;
        }
        return new $classname($path);
观察返回值前是return $io->CopyTo而这里$io的值全是io_dzz所以就变成了return io_dzz->CopyTo(这里之前没注意$io返回值卡了半天)
查看io_dzz类中的CopyTo方法
    public function CopyTo($icoid,$path,$iscopy){
        try{
            $data=self::getMeta($icoid);
            if(is_numeric($path)){//如果目标位置也是本地
            
                if(!$iscopy){
                    $re=self::FileMove($icoid,$path,true);
                    $data['newdata']=$re['icoarr'];
                    $data['success']=true;
                }else{
                    $re=self::FileCopy($icoid,$path,true);
                    $data['newdata']=$re['icoarr'];
                    $data['success']=true;
                }
                
            }else{
                
                switch($data['type']){
                    case 'folder'://创建目录
                        if($re=IO::CreateFolder($path,$data['name'])){
                            if(isset($re['error']) && intval($re['error_code'])!=31061){
                                $data['success']=$arr['error'];
                            }else{
                                
                                $data['newdata']=$re['icoarr'];
                                $data['success']=true;
                                 $contents=C::t('icos')->fetch_all_by_pfid($data['oid']);
                                 foreach($contents as $key=>$value){
                                    $data['contents'][$key]=self::CopyTo($value['icoid'],$re['folderarr']['path']);
                                 }
                            }
                        }
                        break;
                    case 'shortcut':case 'discuss':case 'dzzdoc':case 'user':case 'link':case 'music':case 'video':case 'topic':case 'app'://这些内容不能移动到api网盘内;
                        $data['success']=lang('message','非文件类只能存储在企业盘');
                        break;
                    default:
                        $re=IO::multiUpload($icoid,$path,$data['name']);
                        if($re['error']) $data['success']=$re['error'];
                        else{
                            $data['newdata']=$re;
                            $data['success']=true;
                        }
                        break;
                }
            }
        }catch(Exception $e){
            $data['success']=$e->getMessage();
            return $data;
        }
        return $data;
    }
在\upload\core\class\io\io_dzz.php的1415到1465行
$re=IO::multiUpload($icoid,$path,$data['name']);这里调用multiUpload方法跟进
    function multiUpload($file,$path,$filename,$attach=array(),$ondup="newcopy"){
        if($io=self::initIO($path))    return $io->multiUpload($file,$path,$filename,$attach,$ondup);
        else return false;
    }

同样是io_dzz类里面的multiUpload方法
public function multiUpload($opath,$path,$filename,$attach=array(),$ondup="newcopy"){
    /*
     * 分块上传文件
     * param $file:文件路径(可以是url路径,需要服务器开启allow_url_fopen);
    */
        $partsize=1024*1024*5; //分块大小2M
        $data=IO::getMeta($opath);
        
        if($data['error']) return $data;
        $size=$data['size'];
        if(is_array($filepath=IO::getStream($opath))){
            return array('error'=>$filepath['error']);
        }
        
        if(!SpaceSize($attach['filesize'],$gid)){
            return array('error' => lang('message','inadequate_capacity_space'));
        }
        if($size<$partsize){
            //获取文件内容
            $fileContent='';
            if(!$handle=fopen($filepath, 'rb')){
                return array('error'=>'打开文件错误');
            }
            while (!feof($handle)) {
              $fileContent .= fread($handle, 8192);
            }
            fclose($handle);
            
            return self::upload($fileContent,$path,$filename);
        }else{ //分片上传
        
            $partinfo=array('ispart'=>true,'partnum'=>0,'flag'=>$path,'iscomplete'=>false);
            if(!$handle=fopen($filepath, 'rb')){
                return array('error'=>'打开文件错误');
            }
            $fileContent='';
            while (!feof($handle)) {
              $fileContent .= fread($handle, 8192);
              if(strlen($fileContent)>=$partsize){
                  $partinfo['partnum']+=1;
                    if($partinfo['partnum']*$partsize>=$size) $partinfo['iscomplete']=true;
                  if($re=self::upload($fileContent,$path,$filename,$partinfo)){
                      if($re['error']) return $re;
                     if($partinfo['iscomplete']) return $re;
                  }
                  $fileContent='';
              }
            }
            fclose($handle);
            if(!empty($fileContent)){
                $partinfo['partnum']+=1;
                $partinfo['iscomplete']=true;
                if($re=self::upload($fileContent,$path,$filename,$partinfo)){
                    if($re['error']) return $re;
                    if($partinfo['iscomplete']) return $re;
                }
            }
                  
        }
    }
}
这里上传文件
重点终于来了!!!

if($size<$partsize){
            //获取文件内容
            $fileContent='';
            if(!$handle=fopen($filepath, 'rb')){
                return array('error'=>'打开文件错误');
            }
            while (!feof($handle)) {
              $fileContent .= fread($handle, 8192);
            }
            fclose($handle);
            
            return self::upload($fileContent,$path,$filename);

这里upload居然还会返回,而且变量可控。
mod=corpus&op=list&cid=&fid=在数据库中看到他的上传结构是这样的
构造payload
/mod=system&op=save&do=move&container=dzz::&tbz=a&sourcetype=icoid&icoid=../../index.php

dzzoffice 任意文件下载漏洞分析的更多相关文章

  1. 【代码审计】XYHCMS V3.5任意文件下载漏洞分析

      0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhc ...

  2. 【代码审计】ThinkSNS_V4 任意文件下载漏洞分析

      0x00 环境准备 ThinkSNS官网:http://www.thinksns.com 网站源码版本:ThinkSNS V4  更新时间:2017-09-13 程序源码下载:http://www ...

  3. 【代码审计】EasySNS_V1.6 前台任意文件下载漏洞分析

      0x00 环境准备 EasySNS官网:http://www.imzaker.com/ 网站源码版本:EasySNS极简社区V1.60 程序源码下载:http://es.imzaker.com/i ...

  4. 【代码审计】CLTPHP_v5.5.3后台任意文件下载漏洞分析

      0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

  5. 任意文件下载漏洞的接口URL构造分析与讨论

    文件下载接口的URL构造分析与讨论 某学院的文件下载接口 http://www.****.edu.cn/item/filedown.asp?id=76749&Ext=rar&fname ...

  6. 代码审计-(Ear Music).任意文件下载漏洞

    0x01 代码分析 后台地址:192.168.5.176/admin.php admin admin 安装后的界面 在后台发布了一首新歌后,前台点进去到一个“下载LRC歌词”功能点的时候发现是使用re ...

  7. PHP代码审计笔记--任意文件下载漏洞

    在文件下载操作中,文件名及路径由客户端传入的参数控制,并且未进行有效的过滤,导致用户可恶意下载任意文件.  0x01 客户端下载 常见于系统中存在文件(附件/文档等资源)下载的地方. 漏洞示例代码: ...

  8. 代码审计-phpcms9.6.2任意文件下载漏洞

    漏洞文件: phpcms\modules\content\down.php 1.在download函数中对文件的校验部分 首先 if(preg_match('/(php|phtml|php3|php4 ...

  9. WordPress插件会员简化1.58 -任意文件下载漏洞(附poc)

    今天我们将讨论在WordPress插件WordPress插件与重点会员简化v1.58作为这个剧本的创作时间不打补丁的扶贫开发实践.脆弱脚本如下: CVE-ID:cve-2017-1002008 当然, ...

随机推荐

  1. MT6737 Android N 平台 Audio系统学习----录音到播放录音流程分析

    http://blog.csdn.net/u014310046/article/details/54133688 本文将从主mic录音到播放流程来进行学习mtk audio系统架构.  在AudioF ...

  2. MySQL学习笔记(三)——计算字段及常用函数

    拼接字段-Concat()函数        将值连接在一起构成单个值.注意:大多数DBMS使用+或者||来实现拼接,mysql则使用Concat()函数来实现. 去空格函数-Trim函数       ...

  3. python字典无序?有序?

    默认情况下Python的字典输出顺序是按照键的创建顺序. 字典的无序是指,不能人为重新排序.比如说你按键值1,2,3,4的顺序创建的字典,只能由解析器按创建顺序,还是1,2,3,4的输出.你无法控制它 ...

  4. Java 线程转储

    软件维护是一个枯燥而又有挑战性的工作.只要软件功能符合预期,那么这个工作就是好的.设想一个这样的情景,你的电话半夜也一直在响(这不是一个令人愉快的感受,是吧?)任何软件系统,无论它当初是被设计的多好, ...

  5. android BLE Peripheral 手机模拟设备发出BLE广播 BluetoothLeAdvertiser

    android 从4.3系统开始可以连接BLE设备,这个大家都知道了.iOS是从7.0版本开始支持BLE. android 进入5.0时代时,开放了一个新功能,手机可以模拟设备发出BLE广播, 这个新 ...

  6. codeforces 665A A. Buses Between Cities(水题)

    题目链接: A. Buses Between Cities time limit per test 1 second memory limit per test 256 megabytes input ...

  7. HDU2147 kiki's game (SG表找规律)

    Recently kiki has nothing to do. While she is bored, an idea appears in his mind, she just playes th ...

  8. linux 中的局部变量、全局变量、shell 变量的总结

    系统局部变量和全局变量  一.变量分类局部变量和环境变量,局部变量只适用于当前shell,而环境变量是全局的,它适用于所有当前shell以及其派生出来的任意子进程,有些变量是用户创建的,其他的则是专用 ...

  9. 网卡流量检测.py

    network_speed网卡流量检测 #!/usr/bin/env python #coding:utf-8 import sys import os import atexit import ti ...

  10. 1.大量数据导出Excel 之 多重影分身之术

    还未验证过...... 摘自:http://www.cnblogs.com/axing/archive/2012/05/25/Excel-65535.html http://www.cnblogs.c ...