时尚起义开源话题微博系统 v.0.4.5 上传漏洞

漏洞出现在/action/upload.php文件中

<?php
/**
**
**By QINIAO
**/
!defined('QINIAO_ROOT') && exit('access deined!');
if($uid == 0)
{
echo "请登录后再上传照片! <a href ='javascript:history.go(-1);'>返回</a> ";
exit;
}
$uptypes = array(
'image/jpg',
'image/jpeg',
'image/png',
'image/pjpeg',
'image/gif',
'image/bmp',
'image/x-png'
);
if($_POST['Submit']=='上传')
{
$file        =  $_FILES["upfile"];
$fname         =  $_FILES["upfile"]["name"];
$fname_array   =  explode('.',$fname);
$fname = $fname_array[count($fname_array)-2];  //或者这样写$fname = $fname_array['0'];
$extend        =  $fname_array[count($fname_array)-1];  ////或者这样写$extend = $fname_array['1'];
$MAX_FILE_SIZE =  512000;
//文件当前位置创建picture文件夹，若要在上一层目录创建则为"../picture/";

$dest_folder   =  'data/uploadfile/content/'.date('Ymd').'/';

if($extend!="")
{
if(!in_array($file["type"],$uptypes))
{
echo "只能上传图片文件! <a href ='javascript:history.go(-1);'>返回</a> ";
exit;
}
...

代码第12行，使用$uptypes定义了一个白名单，使用数组控制允许上传的文件类型，在第36的if语句行中进行判断，如果文件类型不在$uptypes数组中，则禁止上传，但是用于判断的$file是在第23行由$_FILES['upfile']赋值的，而$_FILES数组在客户端是可控的。

在文件后面处理上传的代码中：

if(move_uploaded_file($_FILES["upfile"]["tmp_name"],$uploadfile))
{
$dest100=$dest_folder.$randval.'.'.$extend.'_view.jpg';
chmod($uploadfile, 0755);
$resizeimage = new resizeimage("$uploadfile", "100", "80", "1","$dest100");
header('Location: index.php?action=group&id='.$gid.'');
}
else
{
echo "图片分享失败! <a href ='javascript:history.go(-1);'>返回</a>";
}

会生成两个文件名，一个是上传了原始文件名，另一个是第3行代码，在原始文件名后面添加一个'_view.jpg'的后缀，估计是缩略图的文件名。

POC:

首先注册一个账号，然后发微博上传照片



上传一个测试文件test.php，其中只有一条代码phpinfo();然后需要抓包



上图是原始数据包的内容，当然不能直接上传，这样的话类型判断会过不去，上传不了的，需要修改红框标注的地方，改为$uptypes数组中定义的任何一个值即可

这是修改后的数据包



然后上传即可，在前台处，鼠标移动到图片的上方，可以看到图片路径，Php文件已经上传成功



直接在浏览器中访问该文件