【0day】课廊 v1.8.9 后台拿WebShell漏洞

    这套系统是收费系统，没有开源，我也是在旁注的时候发现这套系统的，去官方看了下价格还挺高，就顺便分析下，刚出的系统，估计过不了多久就会多起来了，这个漏洞我没有发布过的，这是第一次在这发布！

    课廊 v1.8.9 是 课廊 v1.8.8 的升级版本，主要是增加了包括本站提供的中文等语言文件，修复一些安全问题、补充论坛帖子的删除功能以及输出练习或下载作业时中断的问题等等。

    这是官方的说法，但是后台的安全问题很是很严重，首先“http://www.xxx.com/claroline/claroline/install/”安装页面的漏洞，默认是没有删除的。

    进入后台之后编辑器可以上传文件，但是当上传 .php 的时候，会自动变为 .phps (当上传 .php5 的时候也会自动转化成 .phps， 对于 .php 的所有的解析漏洞都试过了！没用！)。.jsp 等其他文件必须要加入图片的文件头才能上传，可能有些脚本马加入文件头后会出现错误。

    但是本程序还有一个致命的漏洞，就是在教学空间的首页创建一个课程，然后点击课程进入后，选择课程练习。这里可以随便上传文件，虽然 .php 文件上传后还会变为 .phps，但是其他文件不再验证文件头！

    还有一个漏洞就是“学习路径”这个栏目，可以上传后缀为 .zip 的压缩包，可以将 .jsp 马放进去然后加压为 .zip 格式的文件后上传，程序会自动解压。上传文件的路径是“/courses/创建课件目录/document/”，如：http://www.xxxx.com/courses/EN/document/20071107090819208186474.jsp

安全提示：

    注意：现在仍然可以通过网络浏览你的课廊（Claroline）安装程序的目录（claroline/install/）。这表示任何人都有可能能够重新安装你的平台！我们强烈建议您将这个目录保护起来，或是将它从服务器中删除掉。

安全警示：

    我们建议在 php.ini 中将 register_globals 设置为 off。