今天安全研究人员发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。通常情况下,php的开发者会对文件名后缀、文件类型(Content-Type)、Mime type、文件大小等进行检查来限制恶意php脚本的上传,但是攻击者可以利用该漏洞绕过这些限制,直接上传恶意的文件。
漏洞详情
该漏洞存在于php的move_uploaded_file()函数中,这个函数一般在上传文件时被使用,用途是将上传的文件移动到新位置。
语法
|
1
|
move_uploaded_file ( string $filename , string $destination )
|
这次的漏洞就出现在$destination这个参数中,这个参数代表的是上传文件移动的最终目的地址。如果$destination变量是从用户$_GET或$_POST中获得的并且我们可控,那么我们可以利用空字符/x00来截断后面的拓展名,从而造成任意文件上传。
漏洞利用演示
我们利用DVWA的high难度来演示,首先我们把move_uploaded_file()函数的第二个参数改成我们可控的$_POST['xxname']。
源码如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
<?php
if (isset($_POST['Upload'])) {
$target_path = DVWA_WEB_PAGE_TO_ROOT."hackable/uploads/";
$target_path = $target_path . basename($_FILES['uploaded']['name']);
$uploaded_name = $_FILES['uploaded']['name'];
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1);
$uploaded_size = $_FILES['uploaded']['size'];
if (($uploaded_ext == "jpg" || $uploaded_ext == "JPG" || $uploaded_ext == "jpeg" || $uploaded_ext == "JPEG") && ($uploaded_size < 100000)){
if(!move_uploaded_file($_FILES['uploaded']['tmp_name'], $_POST['xxname'])) {
$html .= '<pre>';
$html .= 'Your image was not uploaded.';
$html .= '</pre>';
} else {
$html .= '<pre>';
$html .= $target_path . ' succesfully uploaded!';
$html .= '</pre>';
}
}
else{
$html .= '<pre>';
$html .= 'Your image was not uploaded.';
$html .= '</pre>';
}
}
?>
|
然后上传文件,这里把POST的xxname参数利用空字符进行截断。
如下图所示:
我们可以看到,文件名被成功截断,php脚本上传成功。
受影响的php版本
5.4.38~5.6.6,同时由于php 5.2版本本身就受到00截断漏洞的影响,所以也在受影响的行列之中。
安全建议
在上传文件处不要把用户$_GET或者$_POST过来的变量作为move_uploaded_file()函数的目的地址,使用$_FILES[xxx][name]将不受影响。
本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/1383.html
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论