码迷,mamicode.com
首页 > Web开发 > 详细

时尚起义开源话题微博系统 v.0.4.5 上传漏洞

时间:2015-10-05 15:34:27      阅读:238      评论:0      收藏:0      [点我收藏+]

标签:

漏洞出现在/action/upload.php文件中

 1 <?php
 2 /**
 3 **
 4 **By QINIAO
 5 **/
 6 !defined(‘QINIAO_ROOT‘) && exit(‘access deined!‘);
 7 if($uid == 0)
 8 {
 9 echo "请登录后再上传照片! <a href =‘javascript:history.go(-1);‘>返回</a> ";
10 exit;
11 }
12 $uptypes = array( 
13 ‘image/jpg‘,
14 ‘image/jpeg‘,
15 ‘image/png‘,
16 ‘image/pjpeg‘,
17 ‘image/gif‘,
18 ‘image/bmp‘,
19 ‘image/x-png‘
20 );
21 if($_POST[‘Submit‘]==‘上传‘)
22     {
23     $file        =  $_FILES["upfile"];
24     $fname         =  $_FILES["upfile"]["name"];
25     $fname_array   =  explode(‘.‘,$fname);
26     $fname = $fname_array[count($fname_array)-2];  //或者这样写$fname = $fname_array[‘0‘];
27     $extend        =  $fname_array[count($fname_array)-1];  ////或者这样写$extend = $fname_array[‘1‘];
28     $MAX_FILE_SIZE =  512000;
29     //文件当前位置创建picture文件夹,若要在上一层目录创建则为"../picture/";
30     
31     
32     $dest_folder   =  ‘data/uploadfile/content/‘.date(‘Ymd‘).‘/‘;
33     
34     if($extend!="")
35         {
36         if(!in_array($file["type"],$uptypes))
37             {
38             echo "只能上传图片文件! <a href =‘javascript:history.go(-1);‘>返回</a> ";
39             exit;
40             }
41 ...

代码第12行,使用$uptypes定义了一个白名单,使用数组控制允许上传的文件类型,在第36的if语句行中进行判断,如果文件类型不在$uptypes数组中,则禁止上传,但是用于判断的$file是在第23行由$_FILES[‘upfile‘]赋值的,而$_FILES数组在客户端是可控的。

 

在文件后面处理上传的代码中:

 1 if(move_uploaded_file($_FILES["upfile"]["tmp_name"],$uploadfile))
 2             {
 3             $dest100=$dest_folder.$randval.‘.‘.$extend.‘_view.jpg‘;
 4             chmod($uploadfile, 0755);
 5             $resizeimage = new resizeimage("$uploadfile", "100", "80", "1","$dest100");
 6             header(‘Location: index.php?action=group&id=‘.$gid.‘‘);
 7             }
 8         else
 9             {
10             echo "图片分享失败! <a href =‘javascript:history.go(-1);‘>返回</a>";
11             }

会生成两个文件名,一个是上传了原始文件名,另一个是第3行代码,在原始文件名后面添加一个‘_view.jpg‘的后缀,估计是缩略图的文件名。

POC:

首先注册一个账号,然后发微博上传照片
技术分享

上传一个测试文件test.php,其中只有一条代码phpinfo();然后需要抓包

 

技术分享

 

上图是原始数据包的内容,当然不能直接上传,这样的话类型判断会过不去,上传不了的,需要修改红框标注的地方,改为$uptypes数组中定义的任何一个值即可

这是修改后的数据包

 

技术分享

 

然后上传即可,在前台处,鼠标移动到图片的上方,可以看到图片路径,Php文件已经上传成功

技术分享

直接在浏览器中访问该文件

技术分享

 

时尚起义开源话题微博系统 v.0.4.5 上传漏洞

标签:

原文地址:http://www.cnblogs.com/debugzer0/p/4855760.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!