某云盘系统 API 端点无限制上传漏洞解析

admin 2025年3月26日13:50:02评论10 views字数 1114阅读3分42秒阅读模式

扫码加圈子

获内部资料

某云盘系统 API 端点无限制上传漏洞解析
某云盘系统 API 端点无限制上传漏洞解析

网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。

原文链接:https://forum.butian.net/article/673

作者:Massa

某云盘系统 API 端点无限制上传漏洞解析
0x1 前言

在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个

某云盘系统 API 端点无限制上传漏洞解析
简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下

某云盘系统 API 端点无限制上传漏洞解析
0x2 漏洞限制条件
某云盘系统 API 端点无限制上传漏洞解析

首先是需要一个账号来调用后台的插件

但是本套系统默认两个账号

guest:guest demo:demo

还有一个就是要知道web的路径 当然这个后面说

某云盘系统 API 端点无限制上传漏洞解析
0x3 漏洞分析

定位到函数 发现有一个in['file']的参数

某云盘系统 API 端点无限制上传漏洞解析

跟进in 在controller里面可以看到这个参数

某云盘系统 API 端点无限制上传漏洞解析

某云盘系统 API 端点无限制上传漏洞解析
还是全局变量 很容易判断他可以直接传参数

跟进这个可以发现有一个get_path_ext后缀

某云盘系统 API 端点无限制上传漏洞解析

可以发现只限制了数量和一些不可见字符 并没过滤php

继续跟进unzip_filter_ext 可以发现他过滤了 .user.ini .htaccess

某云盘系统 API 端点无限制上传漏洞解析

但是有一个checkExt检查后缀 但是逻辑有点问题

在这里有一个不允许的名单

还会不断的merge

某云盘系统 API 端点无限制上传漏洞解析

在这里进行判断

某云盘系统 API 端点无限制上传漏洞解析
逻辑错误点在这里 我们这里的$file是php 而后面的则是.php

因为stristr的意思是在前面的字符串查找后面的 而在php字符串里并不包含.php

所以在这里我们可直接传入php

某云盘系统 API 端点无限制上传漏洞解析

打印了下 $infoData发现为NULL 那后面$linkfile就是单纯的网页地址

而且他会对一个url发起请求并保存文件

我们可知$cachefile 的后缀是php 其实就可以直接写文件了

在目录下放一个/1.php的马

某云盘系统 API 端点无限制上传漏洞解析

直接进行访问

某云盘系统 API 端点无限制上传漏洞解析

发现在响应头里会有php文件名 但实际上

某云盘系统 API 端点无限制上传漏洞解析

在这里也写了完整的生成语句

某云盘系统 API 端点无限制上传漏洞解析

但是我们发现在生成文件的时候还是有一个目录的

某云盘系统 API 端点无限制上传漏洞解析

回到刚才代码

我们查看cacheFile类

某云盘系统 API 端点无限制上传漏洞解析

在这里有一个hash_path的生成

可以选择下断点 或者直接var_dump下变量

发现大致目录如下

某云盘系统 API 端点无限制上传漏洞解析

其实可以推断出来 /var/www/html/data/User/guest/home/ 为一般漏洞利用的hash_path

而且你会发现虽然说他在前面设置了一个随机生成的系统密码

但实在底下只是进行了md5的编码就把$path写进来了 所以

某云盘系统 API 端点无限制上传漏洞解析
某云盘系统 API 端点无限制上传漏洞解析

只要文件不变 md5值是不变的

某云盘系统 API 端点无限制上传漏洞解析

构造poc即可写木马

某云盘系统 API 端点无限制上传漏洞解析
0x4 修复方案

官方的修复中

某云盘系统 API 端点无限制上传漏洞解析

在这里把文件返回头给注释掉了 但是我们上文提了自己生成也可以

可以看到在path生成上完善了 拼接了$pre 没办法再进行路径的查找

某云盘系统 API 端点无限制上传漏洞解析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日13:50:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某云盘系统 API 端点无限制上传漏洞解析https://cn-sec.com/archives/3885996.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息