phpcms上传php文件php文件上传技巧_PHPCMS v924文件上传马脚分析附Exploit

利用条件：由于文件上传利用了Apache解析漏洞，因此只适用于Linux + Apache网站，Windows下的Apache彷佛不存在解析漏洞

1、攻击演示

（1）本地搭建phpcms v9.2.4环境

（2）随便访问一个页面，用burp suite捉住这个数据包，修正捉住的http数据包如下图所示：

要把稳的几点如下：

1、一定假如POST要求

2、URL中的“m、c、a”这三个参数一定要设置成如图所示

3、URL中的file参数是\"大众http://127.0.0.1/phpcms-924/uploadfile/webshell.Php.jpg\公众的URL编码形式，

个中\"大众http://127.0.0.1/phpcms-924\公众是攻击工具的网址，你可以根据须要修正

4、Content-Type字段不能设置成application/x-www-form-urlencoded，要设置成缺点的格式，在这里我随便写了个xss

（3）然后forward这个数据包就在网站根目录下的/uploadfile目录天生了webshell.Php.jpg文件

2、漏洞剖析

（1）漏洞发生在/phpcms/modules/attachment/attachments.php文件的crop_upload()方法中

这个方法对文件的扩展名检测时采取如下代码：

if(is_image($_GET['file'])== false || strpos($_GET['file'],'.php') !== false) exit();

它先调用is_image()函数检测文件是否是图片，这个函数是作者自定义的函数，详细内容请参考phpcms源码，这个函数是通过后缀名白名单来检测的，以是我们把\"大众.jpg\"大众添加到末了，让它通过检测；同时它又调用strpos()函数检测文件名中是否含有\"大众.php\"大众字符串，但这个函数是区分大小写的，我们把文件名设置成\"大众.Php\"大众它就认为不包含\"大众.php\公众字符串；

经由前面两步，我们的文件名\"大众webshell.Php.jpg\公众成为了合法的文件名。

（2）检测完文件名后，作者进行了一次if()条件判断：

if (strpos($_GET['file'], pc_base::load_config('system', 'upload_url'))!==false)

这条语句的意思是：如果$_GET['file']参数中包含uploadfile目录，则进入if()代码段，否则进入else代码段。

在这里我让它进入了if()代码段，这便是为什么URL中的file参数要包含\公众http://127.0.0.1/phpcms-924/uploadfile/\"大众的缘故原由。

（3）进入if()代码段后，进行的是文件名单拼接事情，直接给原文件名加前缀，没有任何检测，于是乎我们顺利逃过了作者的文件检测。

（4）末了，作者用file_put_contents()函数把POST传输的数据写入到文件中。
在这里要把稳：

$pic变量的值来源于$GLOBALS[\公众HTTP_RAW_POST_DATA\公众]，

这个$GLOBALS[\"大众HTTP_RAW_POST_DATA\"大众]变量只有在Content-Type字段的值不能被识别时才会涌现，

因此我们要把http要求的Content-Type字段设置成不可识别的格式。

3、防御策略

在写入文件之前用stripos()函数再次检测文件名中是否含有\"大众.php\"大众字符串，如果有就退出实行，如果没有就连续实行。

4、Exploit