蓝鲸安全打卡Web分析

蓝鲸打卡的一个 web 文件上传引发二次注入的题解和思考

蓝鲸文件管理系统

源代码地址:http://www.whaledu.com/course/290/task/2848/show

首先在设置文件里把所有的输入都采用 addslashes() 函数进行转义

upload.php关键代码

将上传的文件通过pathinfo()函数分成三个部分,[dirname] [filename] [extension]

然后进行后缀名检查,拼接后进行addslashes转义,查询是否存在这个文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
if($file["error"] == UPLOAD_ERR_OK) {
$name = basename($file["name"]);
$path_parts = pathinfo($name);

if(!in_array($path_parts["extension"], array("gif", "jpg", "png", "zip", "txt"))) {
exit("error extension");
}
$path_parts["extension"] = "." . $path_parts["extension"];

$name = $path_parts["filename"] . $path_parts["extension"];

$path_parts['filename'] = addslashes($path_parts['filename']);

$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";
$fetch = $db->query($sql);
if($fetch->num_rows>0) {
exit("file is exists");
}

将文件名和后缀名插入数据库,将文件移动到相应文件夹并返回路径

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
if(move_uploaded_file($file["tmp_name"], ROOT . UPLOAD_DIR . $name)) {

$sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
$re = $db->query($sql);
if(!$re) {
echo 'error';
print_r($db->error);
exit;
}
$url = "/" . UPLOAD_DIR . $name;
echo "Your file is upload, url:
<a href=\"{$url}\" target='_blank'>{$url}</a><br/>
<a href=\"/\">go back</a>";
} else {
exit("upload error");
}

rename.php关键代码

查询旧文件是否存在

1
2
3
4
5
6
7
if(isset($req['oldname']) && isset($req['newname'])) {
$result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
if ($result->num_rows>0) {
$result = $result->fetch_assoc();
}else{
exit("old file doesn't exists!");
}

更新filename,将oldname和newname重组,查询oldname是否存在,然后将文件的oldname更新为newname

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
if($result) {       

$req['newname'] = basename($req['newname']);
$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
if(!$re) {
print_r($db->errorInfo());
exit;
}
$oldname = ROOT.UPLOAD_DIR . $result["filename"].$result["extension"];
$newname = ROOT.UPLOAD_DIR . $req["newname"].$result["extension"];
if(file_exists($oldname)) {
rename($oldname, $newname);
$url = "/" . $newname;
echo "Your file is rename, url:
<a href=\"{$url}\" target='_blank'>{$url}</a><br/>
<a href=\"/\">go back</a>";
}
else{echo $oldname." not exists.";}
}

解题思路

在upload的过程中,全程进行转义并检测后缀,无法对上传进行操作,但是在rename的时候,没有对newname进行控制,这就可能会造成update的二次注入。

假设我们上传的文件是 1.jpg,然后进行改名,这个时候就会触发数据库的update语句

update `file` set `filename`=’newname’, `oldname`=’1’ where `fid`=fid

很明显,这里的newname和oldname都是我们可以控制的。

考虑上传问题,假设 1.jpg 是一句话木马,要把 1.jpg 变成 1.php,由于filename和extension分开操作,然后再合并,所有这里希望extension为空,这样在rename时可以将 1.jpg 变成 1.php。

构造文件 ‘,extension=’’,filename=’1.jpg.jpg,上传,进行rename为 1.php,发现结果为 1.php.jpg

解释:

文件 ‘,extension=’’,filename=’1.jpg.jpg 上传后的数据库如下

注意,rename过程中进行查询时,查询的结果 result[‘fid’] = 1,result[‘extension’] = ‘jpg’

然后进行update,这时执行了构造的SQL语句,数据库如下

注意这两行代码

1
2
$oldname = ROOT.UPLOAD_DIR . $result["filename"].$result["extension"];
$newname = ROOT.UPLOAD_DIR . $req["newname"].$result["extension"];

在这个过程中,oldname=’,extension=’’,filename=’1.jpg.jpg,newname=1.php.jpg,由于oldname存在,所以最后变成1.php.jpg

解决

构造文件 ‘,extension=’’,filename=’1.jpg.jpg,上传,进行rename为 1.jpg,结果为 1.jpg.jpg

构造另外一个一句话木马文件1.jpg,上传,数据库如下

再进行rename,传入的oldname为 1.jpg,newname为 1.php

进行查询的结果为 result[‘fid’] = 1,result[‘extension’] = ‘’

在最后的过程中,oldname = 1.jpg,newname = 1.php,这样就把上传的 1.jpg 变成了 1.php