奇安信攻防社区-金山终端安全系统 V8/V9存在文件上传漏洞

金山终端安全系统 V8/V9存在文件上传漏洞

**金山终端安全系统 V8/V9存在文件上传漏洞**

程序下载链接：

V8：\[v8下载\](<http://duba-011.duba.net/netversion/Package/KAVNETV8Plus.iso> "v8下载")

V9：\[v9下载\](<http://duba-011.duba.net/netversion/Package/SecManage.iso> "v9下载")

系统环境:

Win2008 R2

内存:&gt;=4G

![image](https://shs3.b.qianxin.com/butian_public/fdf1871d966de5e6bf79f4d47eef8dd19.jpg)  
![image](https://shs3.b.qianxin.com/butian_public/f7993e3dc9c1e4ef18b13e6288b412984.jpg)

![image](https://shs3.b.qianxin.com/butian_public/fe53c4f94a11c537b7271391470251e30.jpg)  
改系统采用B/S架构，管理员可通过web应用对程序进行实时管控。

V9和V8文件结构大致相同，Web根目录为程序结构下的Console目录。  
![image](https://shs3.b.qianxin.com/butian_public/f28e08659ee66165d14006369444eb0f7.jpg)

漏洞点:/tools/manage/upload.php

在tools目录下的mange下存在一个upload.php。  
该文件可导致任意文件上传

漏洞分析:  
![image](https://shs3.b.qianxin.com/butian_public/f9165035295d2556909eecfca389ce832.jpg)  
在文件第八行中定义了一个变量为:$uploaddir.设置上传文件的默认存储路径为根目录下的/UploadDir/。

![image](https://shs3.b.qianxin.com/butian_public/fcb9692808d222ab64ae26284ba7b43ee.jpg)  
第11行至22行。

如果根目录下存在server.conf。则重写$uploaddir的值。

默认配置是不存在的。

![image](https://shs3.b.qianxin.com/butian_public/f080abea5565f1eaf62b57e199bfd5d1c.jpg)

24-35行中。进行了文件上传操作。

最终文件的存储路径为$uploaddir+上传文件名

在第27行中，使用preg\_math进行一次正则匹配。要求上传的文件名必须已/A-z/\*32位字符的格式。

也就是说上传的文件名必须是32位的长度。

这里随便给一个32位的md5就行。

满足条件后进入else。使用mkdir创建文件夹，并给予权限0777.

后调用move\_uploaded\_file导致任意文件上传:

POC如图

![image](https://shs3.b.qianxin.com/butian_public/f2126a3c255ff58e8016f70c4aa977aaf.jpg)

![image](https://shs3.b.qianxin.com/butian_public/f52d52dcdd3430a344f75bf9b827bc9fa.jpg)

发表于 2021-04-09 21:21:00
阅读 ( 10872 )
分类：漏洞分析

金山终端安全系统 V8/V9存在文件上传漏洞

0 条评论