getshell 某发卡平台

2020-03-30

前言

之前在群里有个老兄求助帮忙审计一个自助发卡系统的cms(还是1块钱买来的) 基于tp5开发我反正没事于是看了一下o-o 找到了几种getshell的方法这里就介绍一种

正文

这个系统的后台上传是有两个步骤首先会调用 admin模块plugin控制器的update方法通过 post的md5 和 filename 生成一个加密token 这个token会用于后面的检验
getshell-某发卡平台

对应源码
getshell-某发卡平台

getshell-某发卡平台

再来看看第二步当然就是上传文件拉下面就是个平常的上传文件包
getshell-某发卡平台

看看对应的源码

getshell-某发卡平台

这里

1	if ($this->request->post('token') !== md5($filename . session_id()))

这一个判断是可以绕过的因为这里的 $filename = join(‘/‘, $md5) . “.{$ext}”; 而 $md5是可以控制的 ext 也是可以控制的所以$filename可以控制而且 post 的token也可以控制这样当然可以绕过具体的生成方法就是利用上传文件的第一步自己可以随意构造post的md5值并且没有检验针对post的md5参数这是getshell的背景之一

然后关键点在

1	$info = $file->move('static' . DS . 'upload' . DS . $md5[0], $md5[1], true))

这个move函数里跟进这个move函数在这个move函数里有一个关键的调用

1
2
3

$saveName = $this->buildSaveName($savename);
       $filename = $path . $saveName;

我们来看看这个buildsavename函数


protected function buildSaveName($savename)
    {
        // 自动生成文件名
        if (true === $savename) {
            if ($this->rule instanceof \Closure) {
                $savename = call_user_func_array($this->rule, [$this]);
            } else {
                switch ($this->rule) {
                    case 'date':
                        $savename = date('Ymd') . DS . md5(microtime(true));
                        break;
                    default:
                        if (in_array($this->rule, hash_algos())) {
                            $hash     = $this->hash($this->rule);
                            $savename = substr($hash, 0, 2) . DS . substr($hash, 2);
                        } elseif (is_callable($this->rule)) {
                            $savename = call_user_func($this->rule);
                        } else {
                            $savename = date('Ymd') . DS . md5(microtime(true));
                        }
                }
            }
        } elseif ('' === $savename || false === $savename) {
            $savename = $this->getInfo('name');
        }
        if (!strpos($savename, '.')) {
            $savename .= '.' . pathinfo($this->getInfo('name'), PATHINFO_EXTENSION);
        }
        return $savename;
    }

兄弟萌看见没 hh 关键点就在最后一个if判断上判断 $savename里是否有. 有的话就会直接 return $savename 那么这个savename是什么呢看前面的调用发现这个savename就是调用move函数的第二个参数也就是 $md5[1] 这个是咱们可以控制的呀而且看move函数后面是将这个作为文件名了的那么我们将$md5[1]设置成xxxx.php(要长与16位) 是不是已经成了!!! hh

还需要注意一下上传的时候 png图片前面一部分的格式需要保留因为有检测 php代码丢后面就好
getshell-某发卡平台

你别看它返回的是上传失败其实已经上传成功了路径就是 xxxxx/static/upload/$md5[0]/$md5[1]

我刚开始百思不得其解为什么会上传失败一切都这么的流畅…. 最后自己在本地搭建了环境，然后实验，偶然间,去瞟了一眼上传目录,发现……其实已经上传成功了….. 应该自己去访问一下的这个地方有点傻了

最终：

弄了个phpinfo上去

getshell-某发卡平台

看了一下disabled function 并不恐怖而且是php 7 直接用 php7的bug 就能执行命令

getshell-某发卡平台

提权的话还没有尝试也不是很会提权………..eee 就这样…………