【漏洞研究】[Web安全]Phpcms_V9任意文件上传 -临时解决方案

很简单,在download函数中我们可以看到,`$remotefileurls``数组,中,$k是未经过滤去除#.jps的恶意url,而$file是经过过滤处理的恶意url。并且保存的后缀,将会使用$file参数,也就是.php。由此我们可以写出一个临时的防护方案,将保存的文件后缀,使用未经过滤的url参数。这样,将不会受到过滤函数的影响,
修改 phpcms/libs/classes/attachement.class.php 文件中的download函数

foreach($remotefileurls as $k=>$file)

循环中,大约是167行左右的位置,将

            if(strpos($file, '://') === false || strpos($file, $upload_url) !== false) continue;             $filename = fileext($file);

修改成

            $filename = fileext($k);

我们再使用poc测试一下
如图

图中的两个jpg文件,就是我测试的结果。这样就可以防御住任意文件上传攻击了。

正在写具体分析,所以呢大家等一下吧

666
期待ing

技术交流QQ群: 397745473
来自:https://xianzhi.aliyun.com/forum/read/1490.html?fpage=5

评论

发表评论

此博客中的热门博文

【黑产分析】互联网业务安全的黑灰产业链的故事

图片
本文系转载,作者:独孤qiu败;原文地址:http://bobao.360.cn/learning/detail/3214.html 之前写过一篇关于支付风控体系设计的文章,但是对于互联网电商而言,支付环节的风险仅仅是一环,对于很多没有能力构建风控系统的中小创企业而言,他们觉得自己不在乎多花点手续费选择网银、第三方支付方式来规避支付环节的风险,但是中小创企业就能天真的以为他们的业务安全了么,恩,真的是too young too 天真(抱歉,从小用汉字标注英文发音的我表示这个单词不会写~)。 在互联网行业做风控,首先需要学会的是,你要知道你的对手是谁、他们是怎么做的、他们想做什么、他们在哪做、他们什么时候做(who,how,what,where,when),这样才能不断提高现有的业务风控水平,在不断变化的业务环境中get到新业务可能存在的风险点并做好对预知风险的防范措施。 所谓道魔互博,只有对对手足够了解,才能不断提高风险防范水平,在用户感知不到的节点为所有业务部门提供业务的支撑保护。 不以盈利为目的的黑产都不是好黑产,如下图: 当然,我这里指的仅仅是电商/信贷行业的业务风险,对于互联网这个圈子而言,会被黑产盯上的行业太多,比如游戏私服、网络彩票、色情赌博等,但凡有利益的行业都会有人去干;而企业面临的黑产风险类型也很多,主要分为技术风险与业务风险,大体上可以如下分类,为了配合本文行文方便,对我所已知的风险做了如下分类: 表1:互联网行业面临的风险分类 当然这里对风险的分类其实并不准确,但是结合我之前的工作,本文想阐述的仅仅是表格中的阴影部分,这些风险点对于企业而言就犹如溃坝的蚁穴一般,单个风险点损失不是很大,几千几万的损失而已,但是不加控制就会全节点开花。因此对于一家略微成熟的互联网企业,所面临的风险一定是多层次全方位的,单单只对一个节点的控制是远远不能满足业务发展的需要的。 另外,很想跟大家说的一点是,很多业务风险的黑色产业从业者基本没有太高的技术水平,他们是整个环节的下游部分,基于网络上形形色色的数据信息来钻公司流程规则的漏洞。 这些对于业务风险点的风控体系设计后续可能会单独另开一篇文章,但是作为一名立志要干好风控的同学来说,知己知彼,知道这些业务风险的黑色产业链对于做好风险点的业务防控至关重要,这么好学的宝宝...
阅读全文

【黑产分析】【转载】技术分享|利用恶意软件检测服务向服务提供商植入恶意软件(一)

注:本文为"小米安全中心"原创,转载请联系"小米安全中心":https://sec.xiaomi.com/ 这个恶意软件检测服务的关注点主要在web脚本后门,即webshell上。服务的具体形态是:上传脚本文件(支持压缩包),然后服务在后台对上传的文件进行检测,完毕后显示有所上传文件中有哪些文件是恶意脚本,以类似如下的形式: ------------------------------------ /e.php              中国菜刀变形 /index.php          正常 /upload.php         正常 /lib/core.class.php 正常 /lib/wtf.class.php  正常 ... ------------------------------------ 我会按照如下顺序介绍对这个检测引擎的测试: 基本原理测试 / 针对该引擎的免杀 实现引擎与外部交互的数据通道 实现本地IO操作 / 任意代码执行 注意,第三步实现任意代码执行的操作很简单,只是用了相应语言的几个标准功能。因为这个系统过于依赖于第二步,即攻击者没有渠道获取php的执行细节和结果,所以没有投入足够的精力来做它的沙盒。本文仍以测试的时间顺序来描述,但以下文字主要描述在第一二步。 基本原理测试 / 针对该检测的免杀 这个检查系统的官方介绍中提到是"动态监测技术"技术,通过下文所述的测试,可以发现这个系统是通过评估脚本中每个操作和其运行结果(因为运行结果可能会作为下一个操作的输入),包括字符串操作、压缩解压、动态执行等,来检测脚本代码中是否含有特定行为来判断对应脚本是否恶意。这里很重要的一点是检查引擎实现的操作都有什么,这些操作是否有些行为我们可以利用(来做坏事,比如IO、进程控制等典型高危操作)。 这个方案最简单的实现方式是修改一个php解释器,然后在关注的操作处进行行为审计来判断脚本是否恶意。一个显而易见需要注意的地方就是因为php解释器是完全实现的,所以原来虚拟机所实现的IO和进程操作接口可能导致检测脚本对检测引擎本身所在环境产生一些不期望的更改,这里需要修改这些编程接口的行为。 这里还有一个问题,在脚本出现分支结构的情况下,如果执行时环境(远端内容、当前时间)不符合某...
阅读全文