利用 Apache 的解析机制来植入webshell
本文作者:Z1NG(信安之路核心成员)
这篇 getshell 是上一篇的一个续篇。在上一篇中提及的 getshell 的方式依赖于修改任意文件漏洞,假如任意文件修改被修补了,那么连带 getshell 也无法进行了。于是再对 down_url() 函数进行审计试图找出直接控制文件内容的方法。运气又一次眷顾,发现新的 getshell 的方法。
先简单回顾一下上篇的利用点,在代码的第 887 行处,有一处黑名单限制后缀名。显然,这个黑名单是不完备的。不仅仅只是用 phtml 可以绕过,就连 php (php 后面带一个空格)这样的方式也就可以绕过了。因此,首先通过 phtml 和 php [空格]已经可以创建一个动态可执行的脚本。那么,现在的关键点只在于如何控制内容?
控制内容的代码在 898 行处开始,由于是远程获取文件,所以流程进入 if 语句。很明显的可以看到,是使用 curl 的方式来获取远程服务器上的页面资源。说实话,对 curl 其实不是特别熟悉,仅仅是简单粗暴的把它理解成是一个浏览器。也就是,当curl www.baidu.com时,实际上等效于访问百度的页面,会将页面的内容加载出来。
利用 curl 操作会将页面内容加载出来的特点,只要在可控服务器上能够使得一个 php 文件显示出一段 php 代码,再触发目标网站的漏洞点不就可以植入 webshell 吗?因此,我们可以得到两种 getshell 的方法。
方式一
在可控的服务器里(该虚拟机 IP 为 192.168.198.132),配置上一个 shell.php 内容如下:
然后在目标网站,执行 payload,效果如下: 注 : shell.php 后面有一个空格
查看文件夹,可以看到文件已经被保存下来了。
方式二
上一篇是利用生成一个 phtml 文件,再利用修改任意文件漏洞来达到 webshell 植入。在测试的过程中发现,我使用的 Win7+phpstudy 的环境默认不解析 phtml 环境,需要做修改才能解析。如果不解析,访问该文件,会直接将文件内容显示出来,或者弹出下载框。
于是自然而然的可以想到,先配置一个服务器并且设置不解析 phtml 文件,然后构造一个请求,使得目标网站将这个 shell.phtm 保存下来,从而达到 webshell 植入的目的!
总结
蛮有意思的一个洞吧。植入后门,不一定是要文件上传。类似于这种远程文件获取的,本身是带有一定危险的。如果没限制好后缀,简直就是天然的漏洞。加上上一篇,一共三种 getshell 方式(其实还有一种没写出来),各有各的特征。两个漏洞相结合 getshell 的方式不需要有自己的服务器,但是依赖于任意修改文件漏洞。后两种首先需要有自己的服务器,并且根据目标网站的环境不同(是否能解析 phtml 文件)来选择不同的方式。
对这套 CMS 的审计应该到此就结束了,不排除心血来潮再审一审。写下这几篇文章,仅记录一下挖掘过程和思路吧。
推荐阅读
腾讯云开发者
