phpdisk V7 （20140604）绕过补丁继续上传任意文件。

来源

http://wooyun.org/bugs/wooyun-2014-064037

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：验证encrypt_key. 这个会上首页吗。。好紧张。。 ### 详细说明：首先说一下官方的demo站竟然还没打补丁。我进去的时候已经看见里面有几个马儿了。。打下补丁清下马儿把。来看看0604出的补丁修改了哪里。在plugins/phpdisk_client/client_sub.php ``` switch ($action){ case 'upload_file': //write_file(PHPDISK_ROOT.'system/2.txt',var_export($_POST,true)); //write_file(PHPDISK_ROOT.'system/3.txt',var_export($_FILES,true)); $sign_md5 = md5($uid.$settings[encrypt_key]); if(!$sign and $sign_md5<>$sign){ echo 'Sign Error!'; exit; } ``` 在这里上传的时候验证了 ``` $sign_md5 = md5($uid.$settings[encrypt_key]); if(!$sign and $sign_md5<>$sign){ echo 'Sign Error!'; exit; ``` 如果不相等则退出. $uid倒还容易搞来看看$settings[encrypt_key] ``` 'encrypt_key' => 'Bw5xe2XIlwwj', ``` 我擦这么复杂? 再来看看是如何生成这个的。 ``` function make_key(){ var chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"; var tmp = ""; var code = ""; for(var i=0;i<12;i++){ code += chars.charAt(Math.ceil(Math.random()*100000000)%chars.length); } document.getElementById('encrypt_key').value = code; } ``` 这么多字符中随机取12个。我擦放弃逆这个了。在plugins/phpdisk_client/client_sub.php中 ``` $agent = $_SERVER['HTTP_USER_AGENT']; if($agent!='phpdisk-client'){ exit('<a href="http://faq.phpdisk.com/search?w=p403&err=code" target="_blank">[PHPDisk Access Deny] Invalid Entry!</a>'); } $u_info = trim(gpc('u_info','P','')); parse_str(pd_encode(base64_decode($u_info),'DECODE')); ``` parse_str(pd_encode(base64_decode($u_info),'DECODE')); 这里调用了自定义的pd_encode 来解密如果可以逆到key 就可以自己通过key来生成一个加密的然后解密之后就可以变量覆盖。 ``` function pd_encode($string, $operation = 'ENCODE',$key = ''){ global $settings; $ckey_length = 4; $key = md5($key ? $key : ($settings['encrypt_key'] ? $settings['encrypt_key'] : 'PHPDisk=Rc9o')); $keya = md5(substr($key, 0, 16)); $keyb = md5(substr($key, 16, 16)); $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : ''; $cryptkey = $keya.md5($keya.$keyc); $key_length = strlen($cryptkey); $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d',0).substr(md5($string.$keyb), 0, 16).$string; $string_length = strlen($string); $result = ''; $arr = range(0, 255); $rndkey = array(); for($i = 0; $i <= 255; $i++) { $rndkey[$i] = ord($cryptkey[$i % $key_length]); } for($j = $i = 0; $i < 256; $i++) { $j = ($j + $arr[$i] + $rndkey[$i]) % 256; $tmp = $arr[$i]; $arr[$i] = $arr[$j]; $arr[$j] = $tmp; } for($a = $j = $i = 0; $i < $string_length; $i++) { $a = ($a + 1) % 256; $j = ($j + $arr[$a]) % 256; $tmp = $arr[$a]; $arr[$a] = $arr[$j]; $arr[$j] = $tmp; $result .= chr(ord($string[$i]) ^ ($arr[($arr[$a] + $arr[$j]) % 256])); } if($operation == 'DECODE') { if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) { return substr($result, 26); } else { return ''; } } else { return $keyc.str_replace('=', '', base64_encode($result)); } } ``` 调用了那12位的key。。对算法不懂放弃了。。那就找找有没有哪里调用这函数来进行加密的。如果要加密的可控的话也行。那就来找找在哪里调用了这函数来进行加密了的。在plugins/phpdisk_client/client_main.php中 ``` if($action && $action<>'download'){ $agent = $_SERVER['HTTP_USER_AGENT']; if($agent!='phpdisk-client'){ exit('<a href="http://faq.phpdisk.com/search?w=p403&err=code" target="_blank">[PHPDisk Access Deny] Invalid Entry!</a>'); } } // checked username and pwd... $username = trim(gpc('username','GP','')); $password = trim(gpc('password','GP','')); $username = is_utf8() ? convert_str('gbk','utf-8',$username) : $username; $password = is_utf8() ? convert_str('gbk','utf-8',$password) : $password; $rs = $db->fetch_one_array("select * from {$tpf}users where username='$username' and password='$password'"); if(!$rs){ $str = '网盘登录出错：用户名或密码不正确，请重新输入'; if(is_utf8()){ echo convert_str('utf-8','gbk',$str); }else{ echo $str; } exit; }else{ if($rs[is_locked]){ $str = '网盘登录出错：用户名被锁定'; if(is_utf8()){ echo convert_str('utf-8','gbk',$str); }else{ echo $str; } exit; ``` 验证了user agent 可以修改一下就行了然后去注册一个号就行了。再往下面看。 ``` case 'loadset': if($settings['open_multi_server']){ $server_host = @$db->result_first("select server_host from {$tpf}servers where server_id>1 order by is_default desc limit 1"); } $server_host = $server_host ? trim($server_host) : $settings[phpdisk_url]; $sign = md5($uid.$settings[encrypt_key]); echo 'true'.LF; echo $server_host.LF; echo '0'.LF; echo base64_encode(pd_encode('username='.$username.'&password='.$password.'&sign='.$sign)).LF; echo $settings[client_api_key]; exit; break; ``` 这里调用了pd_encode 不是DECODE 是ENCODE。看看里面的。 ``` echo base64_encode(pd_encode('username='.$username.'&password='.$password.'&sign='.$sign)).LF; $sign = md5($uid.$settings[encrypt_key]); ``` 。。可以看到自己把做验证的带入到了pd_encode里面然后输出了。。这特么的太爽了。 ### 漏洞证明：首先注册一个号 [<img src="https://images.seebug.org/upload/201406/0811534358218dd43b562b84cc05f71d391c9240.jpg" alt="p5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0811534358218dd43b562b84cc05f71d391c9240.jpg) 由于密码他这里没有md5。所以自己把自己的密码进行md5一次后再放进去。然后得到加密字符串。 MjdjNWpzd0lOYTFtQTd6R1l1alkxRlhlS2ZiYnc4azV1VFIyNHFXLzluZ1p1K2JFOVdqZlRTbVJXMXZLL0FYb21ScGlVMU5wcU1hSjZXOHYzZXk4MnpOWU1pdk1oV2Zzb0RTQk9tNHdCYWpjeHNUWG9sZUtMK0s5VzlrMUJhNzkrOXgrSVV2dTZrVitscURFZk16djJtM0lsWjV6OUZvSE9JU0lUZw== 然后在client_sub.php中 ``` $u_info = trim(gpc('u_info','P','')); parse_str(pd_encode(base64_decode($u_info),'DECODE')); ``` 解密后就注册了$sign变量。就通过了这个验证就能继续上传任意文件了。 [<img src="https://images.seebug.org/upload/201406/0811570144aba4016e4e827d0222d18962a3af94.jpg" alt="p10.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0811570144aba4016e4e827d0222d18962a3af94.jpg) sign错误把刚才的加密字符串复制进去。 [<img src="https://images.seebug.org/upload/201406/0811575471651db67922f4b44a09e2920a796378.jpg" alt="p11.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0811575471651db67922f4b44a09e2920a796378.jpg) 上传成功。 [<img src="https://images.seebug.org/upload/201406/08115853e731a7516a168990bfa342429c1be3fe.jpg" alt="p12.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08115853e731a7516a168990bfa342429c1be3fe.jpg) 嗯。 _________________________________________________________________________ 测试一下demo。 [<img src="https://images.seebug.org/upload/201406/08120008e5ce19cf392b1e3153b9d901b6b438a9.jpg" alt="p13.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08120008e5ce19cf392b1e3153b9d901b6b438a9.jpg) 成功得到加密字符串。在测试过程中发现不用这加密的也能上传成功。看看原因。 [<img src="https://images.seebug.org/upload/201406/08120139827943c0ac8276ff161175424b6ebaed.jpg" alt="p14.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08120139827943c0ac8276ff161175424b6ebaed.jpg) 原来官方竟然都忘记给自己的demo站打补丁了。出于人道我给官方把补丁弄上去把。 ``` switch ($action){ case 'upload_file': //write_file(PHPDISK_ROOT.'system/2.txt',var_export($_POST,true)); //write_file(PHPDISK_ROOT.'system/3.txt',var_export($_FILES,true)); $sign_md5 = md5($uid.$settings[encrypt_key]); if(!$sign and $sign_md5<>$sign){ echo 'Sign Error!'; exit; } ``` 不过这补丁还得继续修改因为能像上面那样绕过。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-064037

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

phpdisk V7 （20140604）绕过补丁继续上传任意文件。

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

phpdisk V7 （20140604） 绕过补丁继续上传任意文件。

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

phpdisk V7 （20140604）绕过补丁继续上传任意文件。

评论前需绑定手机现在绑定