当前位置:资源分享吧 > F2blog XMLRPC 上传任意文件漏洞
也想出现在这里? 联系我们

F2blog XMLRPC 上传任意文件漏洞

作者 : 小编 本文共4397个字,预计阅读时间需要11分钟 发布时间: 2021-06-18 共4.51K人阅读
也想出现在这里? 联系我们

刚从官方下载的最新版:F2blog-v1.2_build_03.01_full

存在漏洞文件:xmlrpc.php,

影响:可上传任意文件到服务器。

原理:get_http_raw_post_data()是获取最原始的传递过来的数据,也是说不会因为PHP环境的magic为on的影响。

而他在check_user_pw的时候,并没有过滤,结合后面的上传没有做后缀判断,所有可以直接导致上传任意文件到服务器。

简单分析:

function metaWeblog_newMediaObject ($values) { //2007-02-01 add support for uploading files

global $settingInfo,$DMC, $DBPrefix,$defualtcategoryid;

//此处本是判断用户是否登录的,但是下面没有做检查,仅仅在这里返回了用户是否登录的一个值。

$userdetail = check_user_pw ($values[\’username\’], $values[\’password\’]);

$struct=$values[\’struct\’];

//writetofile (\’text1.php\’, $struct[\’bits\’]); //debug only

if ($struct[\’bits\’] && $struct[\’name\’]) {

$writefilecontent=base64_decode($struct[\’bits\’]);

if (file_exists("attachments/{$struct[\’name\’]}")) @unlink("attachments/{$struct[\’name\’]}");

$filenum=@fopen("attachments/{$struct[\’name\’]}","wb");

if (!$filenum) {

xml_error ("Sorry, uploading file ({$struct[\’name\’]}) failed.");

}

flock($filenum,LOCK_EX);

fwrite($filenum,$writefilecontent);

//并没有判断文件是否安全,直接写入。

fclose($filenum);

}

$xml_content=make_xml_piece ("struct", array(\’url\’=>"{$settingInfo[\’blogurl\’]}/attachments/{$struct[\’name\’]}"));

$body_xml=xml_generate($xml_content);

send_response ($body_xml);

}

本来说到这里都够明白了,下面就再把利用方法写下吧:

定义的方法数组:

$methodFamily=array(\’blogger.newPost\’, \’blogger.editPost\’, \’blogger.getUsersBlogs\’, \’blogger.getUserInfo\’, \’blogger.deletePost\’, \’blogger.getTemplate\’, \’blogger.setTemplate\’, \’metaWeblog.newPost\’, \’metaWeblog.editPost\’, \’metaWeblog.getPost\’, \’metaWeblog.newMediaObject\’, \’metaWeblog.getCategories\’, \’metaWeblog.getRecentPosts\’);

方法调用:

$methodName=parse_get($rawdata, \’methodName\’, true);

if (!@in_array($methodName, $methodFamily)) xml_error ("Method ({$methodName}) is not availble.");

$values=parse_get($rawdata, \’value\’);

$values=parse_walk_array($values, $methodName);

//print_r($values); //For debug only

//exit();

//Get default category, for those editors which don\’t support Categories

$sql="select * from ".$DBPrefix."categories limit 0,1";

$arr_category=$DMC->fetchArray($DMC->query($sql));

$defualtcategoryid=$arr_category[id];

$methodName=str_replace(\’.\’, \’_\’, $methodName);

call_user_func ($methodName, $values);

$rawdata的来源:

$rawdata=get_http_raw_post_data();

//writetofile ("text4.xml", $rawdata); //For debug use

//$rawdata=file_get_contents("text4.xml"); //For debug use

if (!$rawdata) die ("Sorry, don\’t visit this web!");

$stringType_o="i4|int|boolean|struct|string|double|base64|dateTime\\.iso8601";

$stringType="(".$stringType_o.")";

$rawdata=str_replace("\\r", \’\’, $rawdata);

$rawdata=str_replace("\\n", \’\’, $rawdata);

$rawdata=str_replace("\\t", \’\’, $rawdata);

$rawdata=str_replace("<![CDATA[", \’\’, $rawdata);

$rawdata=str_replace("]]>", \’\’, $rawdata); //Stupid CDATA, I don\’t want it

$rawdata=preg_replace("/<([^>] ?) \\/>/is", \'<\\\\1></\\\\1>\’, $rawdata); //Self-closed tags

//$rawdata=convert_utf8($rawdata);

$rawdata=preg_replace_callback("/<struct>(. ?)<\\/struct>/is", \’filter_struct\’, $rawdata); //Struct can be a trouble, use this to avoid values and names being parsed

get_http_raw_post_data()方法:

function get_http_raw_post_data () { //Get http_raw_post_data

global $HTTP_RAW_POST_DATA;

if (isset($HTTP_RAW_POST_DATA)) { //Good, the server supports $HTTP_RAW_POST_DATA, then return it directly

return trim($HTTP_RAW_POST_DATA);

}

elseif (PHP_OS>="4.3.0") { //PHP 4.3.0 and higher version supports another way to get it

return readfromfile( \’php://input\’ );

}

else return false; //Sorry, no way out, or $raw data is not set at all

}

漏洞修补,简单点的,判断下用户是否有上传附件的权限。其他的自己发挥吧。

既然费了这么多话,那就顺便附上一个安全点的方法吧:

function metaWeblog_newMediaObject ($values) { //2008-05-27 edit by Neeao

global $settingInfo,$DMC, $DBPrefix,$defualtcategoryid;

$userdetail = check_user_pw ($values[\’username\’], $values[\’password\’]);

$records=$DMC->fetchArray($DMC->query("SELECT * FROM `{$DBPrefix}logs` WHERE `id`=\'{$values[\’postid\’]}\’"));

if ($records[\’id\’]==\’\’) xml_error ("Entry does not exist.");

else {

$struct=$values[\’struct\’];

//writetofile (\’text1.php\’, $struct[\’bits\’]); //debug only

if ($struct[\’bits\’] && $struct[\’name\’]) {

$writefilecontent=base64_decode($struct[\’bits\’]);

if (file_exists("attachments/{$struct[\’name\’]}")) @unlink("attachments/{$struct[\’name\’]}");

$filenum=@fopen("attachments/{$struct[\’name\’]}","wb");

if (!$filenum) {

xml_error ("Sorry, uploading file ({$struct[\’name\’]}) failed.");

}

flock($filenum,LOCK_EX);

fwrite($filenum,$writefilecontent);

fclose($filenum);

}

$xml_content=make_xml_piece ("struct", array(\’url\’=>"{$settingInfo[\’blogurl\’]}/attachments/{$struct[\’name\’]}"));

$body_xml=xml_generate($xml_content);

send_response ($body_xml);

}

}

没有加文件格式的判断,有点麻烦了,懒得写了。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » F2blog XMLRPC 上传任意文件漏洞

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
小编

小编 VIP

分享到:

发表评论

相关推荐

  • 2676本站运营(天)
  • 62446用户总数
  • 26548资源数(个)
  • 2近7天更新(个)
  • 82301资源大小(GB)
加入VIP获取全站资源

「资源分享吧」 ZYFX8.CN

国内极具人气的网络源码资源交流学习平台
下载源码文章,学软件教程,找灵感素材,尽在「资源分享吧」
按Ctrl+D收藏本站

找资源就上「 资源分享吧 」

WWW.ZYFX8.CN

资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,网站以网站源码、网站模板、网页特效为主要内容,以“共享创造价值”为理念,以“尊重原创”为准则。

本站导航
更多导航
Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,以“共享创造价值”为理念,以“尊重原创”为准则。
开通VIP 享更多特权,建议使用QQ登录
账号登录/注册
QQ登录
微博登录