分析某CMS上传GetShell原理-Window
2022-9-9 08:9:21 Author: 系统安全运维(查看原文) 阅读量:12 收藏

0x00 前言

  笔者在看一篇代码审计的文章时,对其中作者提及的一处地方感到迷惑,思考无果遂便自己展开了一次粗浅的分析,最终弄明白了自己的困惑并在Window环境下实现了两种思路去达到GetShell目的。

0x01 安装

官网:http://www.sem-cms.com/xiazai.html

下载地址:http://www.sem-cms.com/TradeCmsdown/php/SEMCMS_PHP_3.9.zip

Linux:

安装完成后会给出后台登陆信息:

网站后台地址为:你的域名+N8D3ch_Admin/ 请牢记,后台默认帐户:Admin 密码:1 登陆后进行修改

Window:

网站后台地址为:你的域名+rhDOEr_Admin/ 请牢记,后台默认帐户:Admin 密码:1 登陆后进行修改

0x02 失败复现

访问:http://localhost:8887/semcms/N8D3ch_Admin/SEMCMS_Upload.php

上传抓包

按照某新版本商贸系统的代码审计文章所说的上传步骤进行操作。

1)第一步

传入这个参数之后,会进入代码的拼接过程

最终执行的$newname , 是将文件的内容写入到111.jpg.php:.jpg,$Imageurl可以控制向上目录穿越,这里不设置,默认则为空。

move_uploaded_file($_FILES["file"]["tmp_name"],$Imageurl.$newname); //文件写入文件夹
最终由于:从而写入ADS流文件,会导致生成一个111.jpg.php的空文件和一个111.jpg.php:.jpg的实际内容为<?php phpinfo();?>的隐藏文件。
2)第二步
代码处理:
最终走向生成文件名字为111.jpg.php:.jpg<<<,可惜访问111.jpg.php,并没有发现有内容写入,所以在这里我对原文中作者的描述,产生了质疑。

0x03 问题探索

首先这个问题,对环境有要求,只能在Window环境下进行测试。
正常来说,利用:冒号和<追加符号结合的方式,一般用于绕过黑名单的限制。为了理解这种方式,我们需要了解并学习下Window的特性

0x3.1 Window特性

通过一段存在上传漏洞的代码来进行说明。
<?php
/**
* Created by PhpStorm.
* User: xq17
* Date: 4/17/22
* Time: 7:07 PM
*/
header("Content-Type: text/html; charset=UTF-8");

$filename = $_FILES["file"]["name"];
if($filename){
# 获取后缀名
$uptype = strtolower(end(explode(".", $filename)));
print_r("suffix:".$uptype."\n");
# 判断是否在黑名单里面
if(in_array($uptype, array('php', 'phtml'))){
print_r("不允许上传php文件!");
die(0);
}else{
// 通过黑名单检验
move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
print_r("上传成功!");
}
}

正常上传php文件的话,会被拦截。
这种情况在linux环境可以通过FUZZ各种后缀来尝试绕过,不过在Window环境,却可以通过一些巧妙的方式来进行绕过。
当php懈垢windows通用上传缺陷(http://t.zoukankan.com/dongchi-p-4982612.html)
绕过方式1:
通过在文件名后面添加一个或多个.来绕过黑名单。
生成文件的时候会自动删除.
绕过方式2:
通过在文件名后面添加一个::$data这一默认流类型来绕过黑名单。
写入的时候会忽略::$data,而是作为默认流类型,保留了3.php这一原文件名达到绕过目的。
绕过方式3:
这种方式是PHP调用WindowAPI的特性导致的:
window的特性(https://developer.aliyun.com/article/654388)
Windows下的"你画我猜" -- 告别效率低下的目录扫描方法(https://xz.aliyun.com/t/2318#toc-2)
PHP源码调试之Windows文件通配符分析(https://xz.aliyun.com/t/2004)
< :匹配0个以上的字符
>:匹配一个字符
":匹配点号
(1)先利用冒号截断生成一个空白文件7.php
修改文件名:7.php:jpg,即可上传成功一个空文件
(2)然后利用<"或者>号进行覆盖写入
使用<可以匹配多个字符,即7.p< 能够匹配到7.php
使用>只能匹配单个字符,故用7.p>>能够匹配到7.php

使用"来匹配点号。

0x3.2 追溯失败原因
在0x02节提到的方式,若按原作者所说,通过构造111.jpg.php:.jpg<<<文件名结合0x3.1的Window特性来看并没有很大意义。
因为111.jpg.php:.jpg<<<匹配的就是111.jpg.php:.jpg+后面任意字符的文件名,根本匹配不到111.jpg.php这个我们想要覆盖的文件。

0x04 巧妙ByPass

既然知道了失败的原因,那么我们需要去找找,看看有没有可以突破的地方。
在这里,我们需要清晰地认识到场景的两处特殊之处:
1)后缀内容部分可控
2)文件名可控制
0x4.1 Bypass 1
根据代码的逻辑,我们是没有办法构造出php后缀的,来直接上传的。
因为我们可控的仅仅是文件名,还需要拼接后缀,而后缀的话必须是形如xxxjpgxxx的字符串,不能插入.,要不然会被分割,所以后缀我们是没办法构造出php的。
既然直接的办法行不通,那么可以尝试利用window特性来进行覆盖写入。
尝试1
首先通过冒号截断来写入一个ttt.jpg.php的空文件,只需要如图构造参数即可。
拼接之后,传入move_uploaded_file的值为ttt.jpg.php:.jpg
那么接下来,我只需要控制,wname的值为ttt,后缀控制为1.jpg<,那么拼接之后的值便是ttt.jpg<,按道理来说是应该能匹配到ttt.jpg.php,因为<其实等价于*的作用。
不过在实际中发现,一个<并没有匹配成功,使用两个以上<即可匹配成功。

0x4.2 Bypass 2

那就是如果<被过滤的时候,我们可以通过构造jpg\"php来匹配上jpg.php这个格式。
查看下文件是否被修改成功, success!
0x05 总结
   本文内容记录了笔者从初始化环境,因复现失败,再去学习window特性,然后结合特性实现在window环境绕过CMS伪白名单限制(因为他只是通过正则部分限定了后缀,不是严格的白名单)并最终完成GetShell的过程。值得一提的是,虽然这些trick比较老了,但是源远流长,在一些场景依然有着不可忽视的作用。
来源:先知(https://xz.aliyun.com/t/11233)
注:如有侵权请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247509746&idx=2&sn=a96ab94ce9cbee9e421e6b2b67b9d499&chksm=c3087582f47ffc94d95be18c67aa9b2352b4c571bc1ea0d6fedd73ca4b9bc7093a6465f01428#rd
如有侵权请联系:admin#unsafe.sh