048-WEB攻防-PHP应用&文件上传&中间件CVE解析&第三方编辑器&已知CMS漏洞

048-WEB攻防-PHP应用&文件上传&中间件CVE解析&第三方编辑器&已知CMS漏洞-cnblog

#知识点：

1、PHP-中间件-文件上传-CVE&配置解析
2、PHP-编辑器-文件上传-第三方引用安全
3、PHP-CMS源码-文件上传-已知识别到利用

演示案例：

➢PHP-中间件-上传相关-Apache&Nginx
➢PHP-编辑器-上传相关-第三方处理引用
➢PHP-CMS源码-上传相关-已知识别到利用

#漏洞环境：vulhub （部署搭建）

Vulhub - Docker-Compose file for vulnerability environment

https://github.com/vulhub/vulhub

• 1、打开虚拟机 ，将下载好的对应文件vulhub-master通过xftp7传输至虚拟机上
• 2、进入对应的vulhub-master目录
• 3、在提供的Vulhub - Docker-Compose file for vulnerability environment查找对应想要复现的漏洞如：Apache HTTPD 多后缀解析漏洞，复制其Path路径httpd/apache_parsing_vulnerability/
• 4、将复制的路径，继续在相关目录下打开，在虚拟机中输入：cd httpd/apache_parsing_vulnerability/ 然后使用docker compose up -d 拉取对应配置。
• 5、访问对应端口
• 6、需要配置其他靶场，首先使用docker-compose down停止和删除使用 Docker Compose 启动的容器，然后再次查询想要复现的漏洞Apache HTTPD 换行解析漏洞（CVE-2017-15715），并复制其path：httpd/CVE-2017-15715
• 7、虚拟机中输入：cd httpd/CVE-2017-15715 然后使用docker compose up -d 拉取对应配置。

PHP-中间件-上传相关-Apache&Nginx

由于PHP搭建常用中间件：IIS，Apache，Nginx
Web搭建在存在漏洞的中间件上，漏洞影响这文件的解析即配合上传

1.Apache HTTPD 换行解析漏洞（CVE-2017-15715）

漏洞条件

1. Apache2.4.0~2.4.29版本
2. 需要有文件上传
3. 需要有重命名文件的代码实现

漏洞环境

cd httpd/CVE-2017-15715

docker compose build
docker compose up -d

启动后 Apache运行在http://your-ip

漏洞复现

• 1、创建一个名为1.php的文件内容，上传该文件，并将filename（重命名修改为：evil.php）

• 通过burp抓包，将evil.php后面多加一个空格（方便后期十六进制进制定位），并将数据包发送至repeater处

• 将数据包的内容转换为Hex格式，定位到evil.php ，后方的20（预留空格处），将其修改为0a

• 点击发送数据包，然后访问http://192.168.162.128:8080/evil.php（在evil.php后面加%0a）即可发现，phpinfo被执行了，该文件被解析为php脚本。但这个文件不是php后缀，说明目标存在解析漏洞：

2.Apache HTTPD 多后缀解析漏洞（条件苛刻，忽略不计）

Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令。比如，如下配置文件

AddType text/html .html
AddLanguage zh-CN .cn

其给.html后缀增加了media-type，值为text/html；给.cn后缀增加了语言，值为zh-CN。此时，如果用户请求文件index.cn.html，他将返回一个中文的html页面。

以上就是Apache多后缀的特性。

漏洞条件

如果运维人员给.php后缀增加了处理器：

AddHandler application/x-httpd-php .php

那么，在有多个后缀的情况下，只要一个文件含有.php后缀的文件即将被识别成PHP文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。

漏洞环境

cd httpd/apache_parsing_vulnerability/

运行如下命令启动一个稳定版Apache，并附带PHP 7.3环境：

docker compose up -d

漏洞复现

总结：http://192.168.162.128/index.php中是一个白名单检查文件后缀的上传组件，上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件，利用Apache解析漏洞进行getshell。

• 1、创建木马文件 3.php内容为：，重命名为apache.php.jpeg
• 2、上传修改好的文件apache.php.jpeg ，并访问上传路径http://192.168.162.128/uploadfiles/apache.php.jpeg即可发现，phpinfo被执行了，该文件被解析为php脚本。
• 
• 

3.Nginx 文件名逻辑漏洞（CVE-2013-4547）

漏洞条件

1. Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7
2. 需要有文件上传

漏洞环境

cd /opt/vulhub-master/
cd nginx/CVE-2013-4547
docker compose up -d

漏洞复现

• 1、创建一个名为1.php的文件内容，修改此文件后缀 1.gif,上传该文件,抓包发送数据包至repeater，在filename="1.gif “其后加空格点击发送，查看发送成功
• 复制发送成功数据包中上传文件的存储路径，并加上ip进行路由访问http://192.168.200.130:8080/uploadfiles/1.gif，将访问的数据包再次进行抓包，将抓取的数据包发送至repeater
• 修改GET后的路径，将1.gif后面加上两个空格和.php，然后转Hex格式，将第二个空格20修改为00即可发现，phpinfo被执行了，该文件被解析为php脚本

4.Nginx 解析漏洞复现

漏洞条件

• Nginx 1.x 最新版

• PHP 7.x最新版

• 由此可知，该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。

直接执行docker compose up -d启动容器，无需编译。

漏洞环境

• cd /opt/vulhub-master/
  • cd nginx/nginx_parsing_vulnerability
    • docker compose up -d

漏洞复现

• 随便上传一个图片抓包 发送到repeter 在文件的末尾加上索要执行的php代码
• 将数据包发送至repeate，并点击发送，获取上传文件保存路
  • Please ensure you are uploading an image.如果出现这个看看你浏览器上面有没有显示success 如果有就代表执行成功
• 将路径加ip地址，并在路径后面加上/.php即可发现，phpinfo被执行了，该文件被解析为php脚本http://192.168.162.128/uploadfiles/87aa2ffbf3c5370b130361392aedf2ac.png/dsadsdas.php
• 
• 

PHP-编辑器-上传相关-第三方处理引用

复现漏洞环境：ueditor

由于编辑器漏洞较少，实战碰到机会不大，主要理解漏洞产生的思路

Ueditor编辑器任意文件上传漏洞_ueditor漏洞-CSDN博客

影响范围

该漏洞影响UEditor的.Net版本，其它语言版本暂时未受影响。

漏洞复现

• 开启网址服务，通过目录扫描发现有ueditor，访问该路径跳出ueditor的内容

• 将以下代码中的网址修改为：对应的网址服务地址，然后将代码以浏览器打开，输入远程图片地址（带有后门图片马），在网址后加上?.aspx

• 会自动上传图片文件，并将其修改为aspx格式，并会返回对应的上传文件路径，将其进行访问，并使用哥斯拉连接后门即可

参考：https://cloud.tencent.com/developer/article/2200036
参考：https://blog.csdn.net/qq_45813980/article/details/126866682
引用到外部的第三方编辑器实现文件上传，编辑器的安全即是上传安全

PHP-CMS源码-上传相关-已知识别到利用

复现漏洞环境：通达OA-V11.2

从未知的源码体系测试原生态上传安全，现在是已知CMS（创建和管理数字内容的软件应用程序）源码架构，利用已知的漏洞测试

漏洞复现

1. 打开通达系统服务IP地址
2. 将对应的ip地址使用ONE-FOX工具箱中的Liqun工具箱进行分析
3. 成功获取Cookie信息后，切换功能为后台上传GetShell，成功上传