1784 字
9 分钟
第48天:WEB攻防-PHP应用
2025-08-25
Web攻防
WEB攻防
/
PHP应用
/
网络安全

e99ac02026fac3c06e739d6300677dfa

WEB攻防-PHP应用&文件上传&中间件CVE解析&第三方编辑器&已知CMS漏洞#

可跳转目录#

  1. 知识点概览
  2. 演示案例概览
  3. PHP-中间件-上传相关-Apache&Nginx
  4. PHP-编辑器-上传相关-第三方处理引用
  5. PHP-CMS源码-上传相关-已知识别到利用

知识点概览#

  • 1、PHP-中间件-文件上传-CVE&配置解析
  • 2、PHP-编辑器-文件上传-第三方引用安全
  • 3、PHP-CMS源码-文件上传-已知识别到利用

演示案例概览#

  • ➢PHP-中间件-上传相关-Apache&Nginx
  • ➢PHP-编辑器-上传相关-第三方处理引用
  • ➢PHP-CMS源码-上传相关-已知识别到利用

PHP-中间件-上传相关-Apache&Nginx#

复现漏洞环境:vulhub (部署搭建看打包视频)
由于PHP搭建常用中间件:IIS,Apache,Nginx
Web搭建在存在漏洞的中间件上,漏洞影响这文件的解析即配合上传

1. Apache HTTPD 换行解析漏洞(CVE-2017-15715)#

漏洞条件:#

  • Apache2.4.0~2.4.29版本
  • 需要有文件上传
  • 需要有重命名文件的代码实现

漏洞环境#

编译及运行漏洞环境:

Terminal window
docker compose build
docker compose up -d

启动后Apache运行在http://your-ip:8080。

漏洞复现#

  1. 创建一个名为1.php的文件内容<?php phpinfo();?>,上传该文件,并将filename(重命名修改为:evil.php)
  2. 通过burp抓包,将evil.php后面多加一个空格(方便后期十六进制进制定位),并将数据包发送至repeater处
  3. 将数据包的内容转换为Hex格式,定位到evil.php ,后方的20(预留空格处),将其修改为0a
  4. 点击发送数据包,然后访问http://47.86.173.25:8080/evil.php%0a(在evil.php后面加%0a)即可发现,phpinfo被执行了,该文件被解析为php脚本。但这个文件不是php后缀,说明目标存在解析漏洞:

6edbe9a17354c8cd7f6e752edcd14b66 image-20250827223941305

image-20250827224337356

image-20250827224405922

image-20250827224434459

image-20250827224452714

image-20250827224724723

2. Apache HTTPD 多后缀解析漏洞(条件苛刻,忽略不计)#

Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件:

AddType text/html .html
AddLanguage zh-CN .cn

其给.html后缀增加了media-type,值为text/html;给.cn后缀增加了语言,值为zh-CN。此时,如果用户请求文件index.cn.html,他将返回一个中文的html页面。

以上就是Apache多后缀的特性。

漏洞条件#

如果运维人员给.php后缀增加了处理器:

AddHandler application/x-httpd-php .php

那么,在有多个后缀的情况下,==只要一个文件含有.php后缀的文件即将被识别成PHP文件,==没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

漏洞环境#

运行如下命令启动一个稳定版Apache,并附带PHP 7.3环境:

Terminal window
docker compose up -d

漏洞复现#

总结:http://192.168.200.130/index.php中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件,利用Apache解析漏洞进行getshell。

  1. 创建木马文件,1.txt修改内容为:<?=phpinfo()?>,重命名为apache.php.jpeg
  2. 上传修改好的文件apache.php.jpeg ,并访问上传路径http://192.168.200.130/uploadfiles/apache.php.jpeg即可发现,phpinfo被执行了,该文件被解析为php脚本。

6edbe9a17354c8cd7f6e752edcd14b66

3. Nginx 文件名逻辑漏洞(CVE-2013-4547)#

漏洞条件#

  • Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7
  • 需要有文件上传

漏洞环境#

运行如下命启动漏洞环境:

Terminal window
cd ~/vulhub
cd nginx/CVE-2013-4547
docker compose up -d

image-20250828190612917
环境启动后,访问http://your-ip:8080/即可看到一个上传页面。

image-20250828190658614

漏洞复现#

  1. 创建一个名为1.php的文件内容<?php phpinfo();?>,修改此文件后缀 1.gif,上传该文件,抓包发送数据包至repeater,在filename=“1.gif “其后加空格点击发送,查看发送成功
  2. 复制发送成功数据包中==上传文件的存储路径==,并加上ip进行路由访问http://192.168.200.130:8080/uploadfiles/1.gif,将访问的数据包再次进行抓包,将抓取的数据包发送至repeater
  3. 修改GET后的路径,==将1.gif后面加上两个空格和.php,然后转Hex格式,将第二个空格20修改为00==即可发现,phpinfo被执行了,该文件被解析为php脚本
    Terminal window
    GET /uploadfiles/1.gif .php HTTP/1.1
  4. 细节:在修改Hex中的数值时候,如果发现一直修改不了,应当在修改完毕时候,点旁边任意一个数值,即可修改成功

image-20250828190949684

image-20250828191055776

image-20250828191533509

image-20250828191602185

image-20250828191632125

image-20250828191722705

4. Nginx 解析漏洞复现#

漏洞条件#

Nginx解析漏洞复现。
版本信息:

  • Nginx 1.x 最新版
  • PHP 7.x最新版

由此可知,该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。

直接执行docker compose up -d启动容器,无需编译。

漏洞环境#

运行如下命启动漏洞环境:

Terminal window
cd ~/vulhub
cd nginx/nginx_parsing_vulnerability
docker compose up -d

image-20250828192155452
环境启动后,访问http://192.168.200.130/uploadfiles/nginx.pnghttp://your-ip/uploadfiles/nginx.png/.php即可查看效果

漏洞复现#

  1. 随便上传一个图片,通过抓取数据包,在该数据包的最后写上php后门代码,可以多写几个
  2. 将数据包发送至repeate,并点击发送,获取上传文件保存路径/uploadfiles/8266e4bfeda1bd42d8f9794eb4ea0a13.png
  3. 将路径加ip地址,并在路径后面加上/.php即可发现,phpinfo被执行了,该文件被解析为php脚本http://192.168.200.130/uploadfiles/87aa2ffbf3c5370b130361392aedf2ac.png/dsadsdas.php

image-20250828192630765

image-20250828193257550

397478a6da5f9b7533d7cf35b33d1064

PHP-编辑器-上传相关-第三方处理引用#

复现漏洞环境:ueditor
由于编辑器漏洞较少,实战碰到机会不大,主要理解漏洞产生的思路

参考文档:Ueditor编辑器任意文件上传漏洞_ueditor漏洞-CSDN博客

影响范围#

该漏洞影响UEditor的.Net版本,其它语言版本暂时未受影响。

漏洞复现#

  1. 开启网址服务,通过目录扫描发现有ueditor,访问该路径跳出ueditor的内容
  2. 将以下代码中的网址修改为:对应的网址服务地址,然后将代码以浏览器打开,输入远程图片地址(带有后门图片马),在网址后加上?.aspx

38a2eba973283cd1e84a0c8bfed61094

  1. 会自动上传图片文件,并将其修改为aspx格式,并会返回对应的上传文件路径,将其进行访问,并使用哥斯拉连接后门即可

image-20250828204254489

<form action="http://192.168.93.135:10000/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST">
 <p>输入web地址: <input type="text" name="source[]" /></p>
 <input type="submit" value="Submit" />
</form>

image-20250828204708841

image-20250828205044295

image-20250828205301054

0953a167e2ae48aff0127d64a3f6bf1f

89a0440c9cd9505ecbc642cc7884c8dd

参考:https://cloud.tencent.com/developer/article/2200036
参考:https://blog.csdn.net/qq_45813980/article/details/126866682
引用到外部的第三方编辑器实现文件上传,编辑器的安全即是上传安全

PHP-CMS源码-上传相关-已知识别到利用#

复现漏洞环境:通达OA-V11.2
从未知的源码体系测试原生态上传安全,现在是==已知CMS==(创建和管理数字内容的软件应用程序)源码架构,利用已知的漏洞测试

  1. 打开通达系统服务IP地址
  2. 将对应的ip地址使用ONE-FOX工具箱中的Liqun工具箱进行分析
  3. 成功获取Cookie信息后,切换功能为后台上传GetShell,成功上传

ba60279eb466b58eb9d81a6b57fa1f95

58e0d739de5a86fce6e92bf634ff07bc

1dbe8e9f8e19d1932fcb60410c405f23

10fda622fd931d644dea2107e7179533

第48天:WEB攻防-PHP应用
https://konwait12.github.io/my-kon-blog/posts/048web攻防/
作者
k-on!--wait
发布于
2025-08-25
许可协议
CC BY-NC-SA 4.0
第49天:WEB攻防-文件上传
第47天:WEB攻防-PHP应用
© 2025 k-on!--wait. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari