【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析

 

0x00 环境准备

QYKCMS官网：http://www.qykcms.com/

网站源码版本：QYKCMS_v4.3.2（企业站主题）

程序源码下载：http://bbs.qingyunke.com/thread-13.htm

测试网站首页：

 

0x01 代码分析

1、漏洞文件位置：/admin_system/include/lib/upfile.php   第24-69行：

1. switch($types){  
2.     case 'template':  
3.         if(!ispower($admin_group,'skin_upload'))ajaxreturn(1,'error4');  
4.         $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));  
5.         $filename=strtolower($_FILES['file']['name']);  
6.         if(!in_array($typename,array('html','css','js','jpg','gif','png')))ajaxreturn(1,'error');  
7.         $path=arg('path','all','url');  
8.         $filepath='../'.setup_webfolder.$website['webid'].'/'.$path.'/'.$filename;  
9.         $isup=false;  
10. 10.         $path2=$filepath;  
11. 11.         for($i=1;$i<=10000;$i++){  
12. 12.             if(file_exists($path2)){  
13. 13.                 $path2=preg_replace('/\.'.$typename.'$/','_'.$i.'.'.$typename.'',$filepath);  
14. 14.             }else{  
15. 15.                 $filepath=$path2;  
16. 16.                 $isup=true;  
17. 17.                 break;  
18. 18.                 }  
19. 19.             }  
20. 20.         if($isup){  
21. 21.             move_uploaded_file($_FILES['file']['tmp_name'],$filepath);  
22. 22.             infoadminlog($website['webid'],$tcz['admin'],24,'上传模板文件：'.$path.'/'.$filename);  
23. 23.             $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;  
24. 24.         }else{  
25. 25.             ajaxreturn(1,'error3'); //文件重名  
26. 26.             }  
27. 27.     break;  
28. 28.     case 'none':  
29. 29.         //$oldname=strtolower($_FILES['file']['name']);  
30. 30.         $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));  
31. 31.         $filename=date('dHis').'_'.randomkeys(6).'.'.$typename;  
32. 32.         $path='../'.$website['upfolder'].setup_uptemp.$filename;  
33. 33.         move_uploaded_file($_FILES['file']['tmp_name'],$path);  
34. 34.         $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;  
35. 35.     break;  
36. 36.     case 'theme':  
37. 37.         if(!ispower($admin_group,'super'))ajaxreturn(1,'error4');  
38. 38.         $typename=strtolower(pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION));  
39. 39.         if($typename!='zip')ajaxreturn(1,'error');  
40. 40.         $dir='../'.$website['upfolder'].setup_uptemp;  
41. 41.         $filename='qyk_theme_new.zip';  
42. 42.         $path=$dir.$filename;  
43. 43.         move_uploaded_file($_FILES['file']['tmp_name'],$path);  
44. 44.         infoadminlog($website['webid'],$tcz['admin'],24,'上传主题安装包');  
45. 45.         $res='http://'.$website['setup_weburl'].'/'.$website['upfolder'].setup_uptemp.'|'.$filename;  
46. 46.     break;  

这段代码根据types的值进行操作，可以发现当$types=none的时候（注意看红色代码部分），获取文件名后缀，拼接成完整路径，然后将文件上传到服务器。

并没有对文件类型进行过滤，导致程序在实现上存在任意文件上传漏洞，攻击者可以通过上传脚本木马，控制服务器权限。

0x02 漏洞利用

1、构造Form表单：

1.   
2. Upload a new file:
     
3. 
     
4.   
5.    

2、成功上传脚本木马，并回显上传路径

 

3、去掉文件名称的第一个“|”符，然后访问脚本木马地址

 

4、通过菜刀连接，成功控制网站服务器

 

0x03 修复建议

1、通过白名单限制上传文件后缀

2、禁止上传目录脚本执行权限。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。