emlog pro文件上传漏洞审计(CVE-2023-44974)(CVE-2023-44973)-天涯论坛

nqkk58 发表于 2024-10-3 03:25:48

emlog pro文件上传漏洞审计(CVE-2023-44974)(CVE-2023-44973)

<h1 style="color: black; text-align: left; margin-bottom: 10px;">【制品介绍】</h1>
emlog 是 “Every Memory Log” 的简叫作，意即：点滴记忆。它是一款基于PHP语言和MySQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(blog)。基于PHP和MySQL的功能强大的博客及CMS建站系统。致力于供给快速、稳定，且在运用上又极其简单、舒适的博客服务。安装和运用都非常方便
<h1 style="color: black; text-align: left; margin-bottom: 10px;">环境配置环境配置</h1>
<h1 style="color: black; text-align: left; margin-bottom: 10px;">影响版本：emlog emlog pro 2.2.0</h1>
<h1 style="color: black; text-align: left; margin-bottom: 10px;">emlog pro /admin/plugin.php任意文件上传漏洞 CVE-2023-44974</h1>
Emlog官网下载存在漏洞版本的源码：https://github.com/emlog/emlog/releases

<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-axegupay5k/aa154236a92c4a4fb8142fc6b9c79434~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=glAod5zqw%2B0ppdFM8RLqyihL5Jc%3D" style="width: 50%; margin-bottom: 20px;"></div>
运用PhpStudy进行搭建，配置数据库信息
起始代码审计，按照上面emlog pro提示路径/admin/plugin.php存在任意文件上传漏洞，远程攻击者可利用该漏洞提交特殊的请求，可上传恶意文件，以应用程序上下文执行任意代码。先拜访路径，瞧瞧页面是什么样的，这个是原生研发的可以这般，倘若是mvc的就不行
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/572ccde69ef64b3db8186168951c0441~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=R4k0sACUmykIQnR5lHROUvf0IE8%3D" style="width: 50%; margin-bottom: 20px;"></div>
挖掘文件上传这种漏洞就直接找功能点，这个页面的功能点仅有一个安装插件
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/374865e3d4224aa6a62c59c28d924dd0~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=rXoFGGj5W0%2FXQhdJ3LBveCsuOx4%3D" style="width: 50%; margin-bottom: 20px;"></div>
先正常的安装个插件走一下流程
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/1a63f7483feb49f9bcb86b9543b77dba~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=Jqj2fw2aKp3sB8gbsEhly4xxYEU%3D" style="width: 50%; margin-bottom: 20px;"></div>
运用burp抓包
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/e03f8cb23b9b46e785596d37ab32eb81~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=uTU%2BO6ntQiwUyatjn%2FzwToeuLh8%3D" style="width: 50%; margin-bottom: 20px;"></div>
晓得了这个数据包是成功上传文件的
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/bdabbc7201f0450a81578d74b6e13a66~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=BLZp3ezSUyj4%2FwuQ%2B8i2krPGTMM%3D" style="width: 50%; margin-bottom: 20px;"></div>
打开源码经过搜索全局upload_zip
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/23a1d6a6dad94a3ea3e747fb4b14df54~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=nsRKACZhlYxs5qApYu3yUlDQRgM%3D" style="width: 50%; margin-bottom: 20px;"></div>
按照上面的提示路径找到了这个文件
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/95d245beccc64951a4ee3bedf928c879~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=9ca0ZPV9LCLE%2B77UYdoPzB14M%2Fw%3D" style="width: 50%; margin-bottom: 20px;"></div>if ($action == upload_zip) {
LoginAuth::checkToken();
$zipfile =isset($_FILES[pluzip]) ? $_FILES[pluzip] : ;

if ($zipfile[error] == 4) {
emDirect("./plugin.php?error_d=1");
}if ($zipfile[error] == 1) {
emDirect("./plugin.php?error_g=1");
}
if (!$zipfile || $zipfile[error] >= 1 || empty($zipfile[tmp_name])) {
emMsg(插件上传失败，错误码： . $zipfile[error]);
}
if (getFileSuffix($zipfile[name]) != zip) {
emDirect("./plugin.php?error_f=1");
}
$ret = emUnZip($zipfile[tmp_name], ../content/plugins/, plugin);
switch ($ret) {
case 0:
emDirect("./plugin.php?activate_install=1");
break;
case -1:
emDirect("./plugin.php?error_e=1");
break;
case 1:
case 2:
emDirect("./plugin.php?error_b=1");
break;
case 3:
emDirect("./plugin.php?error_c=1");
break;
}
}这段是能够绕过的，没什么问题获取文件后缀名zip
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/f53108659e4a4437b53e8d762a763459~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=64qja4PXJgiV%2B6Ypf%2FyLL%2BVB%2Bos%3D" style="width: 50%; margin-bottom: 20px;"></div>
继续跟踪一下emUnZip，解压文件瞧瞧解压过程中有无什么过滤
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/273dde468fee45a5a7c9dda9a5e1951f~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=Ez4A0PjEIPwPPOZi0SMvtxgY3Pc%3D" style="width: 50%; margin-bottom: 20px;"></div>function emUnZip($zipfile, $path, $type = tpl) {
if (!class_exists(ZipArchive, FALSE)) {
return3;//zip模块问题
}$zip = new ZipArchive();
if ("label label-primary">@$zip->open($zipfile) !== TRUE) {
return 2;//文件权限问题
}
$r = explode(/, $zip->getNameIndex(0), 2);$dir = isset($r) ? $r . / : ;
switch ($type) {
case tpl:
$re = $zip->getFromName($dir . header.php);
if (false === $re) {
return -2;
}
break;
case plugin:
$plugin_name = substr($dir, 0, -1);
$re = $zip->getFromName($dir . $plugin_name . .php);
if (false === $re) {
return -1;
}
break;
case backup:
$sql_name = substr($dir, 0, -1);
if (getFileSuffix($sql_name) != sql) {
return -3;
}
break;
case update:
break;
}
if (true === "label label-primary">@$zip->extractTo($path)) {
$zip->close();
return 0;
}
return 1; //文件权限问题
}经过跟踪并无什么过滤，emUnZip函数，能够发掘他需要获取一个路径$dir，然则咱们的压缩包里面便是一个文件，安装正常的插件压缩包里面都有一个文件夹
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/f1d2919fe29e45f39b6c342e196b3e94~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=fNjgOpbh9%2FJUpnkI%2BesqiG%2BiCk4%3D" style="width: 50%; margin-bottom: 20px;"></div>
去网上找了一个正常插件，上传，能够成功上传
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/70d75f704df6474bb3b5df6d00233b04~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=%2BSObyf34xsQKxeIOULDzWU1f%2BCc%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/78f2984b9ac94123bd78ea61279b2e6a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=jotCE%2BgcD3uXI8j4VUyYB7fWOX0%3D" style="width: 50%; margin-bottom: 20px;"></div>
而后在本地修改插件，创建一个php文件
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/780e78d59fb54ccab1c4b82a1794fad6~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=zdLZoCZ%2FKcn2HJ9VSCopXYPuqno%3D" style="width: 50%; margin-bottom: 20px;"></div>
写入内容
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/4005516900db4f2e877940bcc3ee0d4b~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=aimKhtN9J8QonRxIExXquMji6oY%3D" style="width: 50%; margin-bottom: 20px;"></div>
而后进行压缩上传，分析上面代码，晓得了上传解压无对文件内的内容进行过滤，成功上传
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/346fcbee50ec45f798dcef0f9d91450d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=djrEWnq0HVM1jztRjGLbUOQpg3o%3D" style="width: 50%; margin-bottom: 20px;"></div>
查看本地文件夹是不是存在phpinfo.php
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/62a1ec6a201f4cae8cfdb8d59a8622b5~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=uzap5QXcyprg68DTf89BrFWzI7U%3D" style="width: 50%; margin-bottom: 20px;"></div>
网页拜访路径
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/a027fff80d7a43ce9401c5e2b55ef5c1~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=iQ5VHJ9n1yBK0KJNPA6tUG2qiGQ%3D" style="width: 50%; margin-bottom: 20px;"></div>
<h1 style="color: black; text-align: left; margin-bottom: 10px;">emlog pro /content/templates/任意文件上传漏洞 CVE-2023-44973</h1>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/d437e24856c64dfea7ac26b5b8696f9a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=%2F29uc8k7hDE5Fs9G%2FityCIkVUjM%3D" style="width: 50%; margin-bottom: 20px;"></div>
打开网站，还是先找功能点，按照上面的cnvd提示亦晓得是模板那个位置有问题
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/bed9ae53087f41d2b1c72a1da765227d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=nHL%2FB5JBMRcgcZUNNwBqAQFP2Pg%3D" style="width: 50%; margin-bottom: 20px;"></div>
和上面第1则同样先上传个正常的文件上去，抓一下包
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/4e35e369fa364305b60bd45c0a00cf34~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=z9SQrxn1X86lxVTF3AFLzK4SO8g%3D" style="width: 50%; margin-bottom: 20px;"></div>
定位到代码位置if ($action === upload_zip) {
LoginAuth::checkToken(); // 检测登录状态和令牌，保证安全性
$zipfile = isset($_FILES[tplzip]) ? $_FILES[tplzip] : ; // 获取上传的ZIP文件

if ($zipfile[error] == 4) {
emDirect("./template.php?error_d=1");// 倘若上传文件为空，重定向到错误页面
}
if ($zipfile[error] == 1) {
emDirect("./template.php?error_f=1"); // 倘若上传文件超过了php.ini中的限制体积，重定向到错误页面
}
if (!$zipfile || $zipfile[error] > 0 || empty($zipfile[tmp_name])) {
emMsg(模板上传失败，错误码： . $zipfile[error]); // 倘若上传文件出错，表示错误信息并返回
}
if (getFileSuffix($zipfile[name]) != zip) {
emDirect("./template.php?error_a=1"); // 倘若上传文件不是ZIP文件，重定向到错误页面
}
$ret = emUnZip($zipfile[tmp_name], ../content/templates/, tpl); // 调用解压缩函数解压上传的ZIP文件
switch ($ret) {
case 0:
emDirect("./template.php?activate_install=1"); // 解压缩成功，重定向到激活安装页面
break;
case -2:
emDirect("./template.php?error_e=1"); // 找不到header.php文件，重定向到错误页面
break;
case 1:
case 2:
emDirect("./template.php?error_b=1"); // 文件权限问题或解压缩失败，重定向到错误页面
break;
case 3:
emDirect("./template.php?error_c=1"); // 缺少ZIP模块，重定向到错误页面
break;
}
}<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/2ee5ee7d97144063a269546c09138dd0~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=ox4Jg0y0AAcHT%2F2%2BRfpr%2F6PiQ3U%3D" style="width: 50%; margin-bottom: 20px;"></div>
当action为upload_zip时，执行if后面的语句，LoginAuth::checkToken();是用来检测登录状态的。$zipfile用来接收tplzip上传上来的数据，而后对上传的数据进行各样错误判断，判断成功后，执行下面的emUnZip函数进行解压，并把解压后的文件放到/content/templates/目录下，咱们在跟踪一下emUnZip函数瞧瞧是不是有过滤等状况经过查看代码文件上传时会执行if后面的语句，$zipfile变量来接收上传的数据，对数据进行判断，符合需求执行解压函数emUnZip进行解压，因此咱们继续跟踪emUnZip瞧瞧有无过滤function emUnZip($zipfile, $path, $type = tpl) {
if (!class_exists(ZipArchive, FALSE)) {
return3; // 倘若服务器上无安装Zip模块，返回错误码3，暗示zip模块问题
}$zip = new ZipArchive(); // 创建一个ZipArchive对象
if ("label label-primary">@$zip->open($zipfile) !== TRUE) {
return2; // 倘若没法打开指定的压缩文件，返回错误码2，暗示文件权限问题
}$r = explode(/, $zip->getNameIndex(0), 2); // 获取压缩文件中的第1个文件的路径
$dir = isset($r) ? $r . / : ; // 获取文件的目录路径
switch ($type) {case tpl:
$re = $zip->getFromName($dir . header.php); // 从压缩文件中获取名为header.php的文件内容
if (false === $re) {
return -2; // 倘若没法获取到header.php文件内容，返回错误码-2
}
break;
case plugin:
$plugin_name = substr($dir, 0, -1); // 获取插件的名叫作
$re = $zip->getFromName($dir . $plugin_name . .php); // 从压缩文件中获取与插件名叫作对应的php文件内容
if (false === $re) {
return -1; // 倘若没法获取到插件对应的php文件内容，返回错误码-1
}
break;
case backup:
$sql_name = substr($dir, 0, -1); // 获取备份文件的名叫作
if (getFileSuffix($sql_name) != sql) { // 判断备份文件的后缀名是不是为sqlreturn -3; // 倘若备份文件的后缀名不为sql，返回错误码-3
}
break;
case update:
break;
}
if (true === "label label-primary">@$zip->extractTo($path)) { // 将压缩文件内容解压到指定路径
$zip->close();
return 0; // 解压缩成功，返回0
}
return 1; // 解压缩失败，返回错误码1，暗示文件权限问题
}能够看出无过滤,而后对上传的文件添加恶意文件
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/46c9dbb5288240008ca39ea1441f3366~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=XcEeKGExqBRatehEUpRyWTgcBu4%3D" style="width: 50%; margin-bottom: 20px;"></div>
还是和上面同样，在正常的模板里面添加一个php文件，文件内容不为空，压缩上传
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/1757ee7d113f4e26bad5a9b82b2d90ca~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=Zs17xAFk4E2%2FoHXTqIdN%2BovDV1E%3D" style="width: 50%; margin-bottom: 20px;"></div>
上传成功拜访
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/d8746a84ec6c4eb5bcb68aebf219e3d5~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=q0xvhmpIlHak66rGCO1wQvf1Gvw%3D" style="width: 50%; margin-bottom: 20px;"></div>
这两个文件上传都是同样调用同一个文件
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/92a7674f42214d219957d951d46cba77~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728083065&x-signature=3y3GL8EwVCpYoYvuh5YcGjATZ0s%3D" style="width: 50%; margin-bottom: 20px;"></div>

4zhvml8 发表于 2024-10-8 01:29:44

楼主的文章深得我心，表示由衷的感谢！

wrjc1hod 发表于 2024-10-12 19:21:45

楼主听话，多发外链好处多，快到碗里来！外链论坛 http://www.fok120.com/

4zhvml8 发表于 2024-11-2 18:29:39

软文发布平台 http://www.fok120.com/

4zhvml8 发表于 2024-11-7 16:50:55

论坛是一个舞台，让我们在这里尽情的释放自己。

页: [1]

天涯论坛's Archiver

emlog pro文件上传漏洞审计(CVE-2023-44974)(CVE-2023-44973)