DouPHP_v1.5漏洞分析

DouPHP是一款免费开源的轻量级企业建站系统，基于PHP+MYSQL架构，包含多个模块，后台简约明了，从使用者而不是开发者的角度出发设计后台功能布局，可以轻松进行日常内容编辑工作。可以使用它快速搭建一个中小企业官网。基于现有框架通过模块扩展还可实现个人博客、网上商城、投票系统、企业在线办公等。

这里需要简单提一下双引号的高级用法，以便后面代码的理解。  

在PHP5.5及以上版本存在着双引号的二次解析，按照PHP官方的解释，这是属于字符串的高级用法。双引号的二次解析能够将双引号内的字符串当成代码来执行，这本身并不是漏洞，但如果被加以利用，则可能产生一些意外的结果。  

双引号二次解析的要点：  

1、字符串得在双引号内  

2、$和{} 得在一起  

3、双引号内的代码是正确的，无语法错误  

4、PHP版本要5.5.38以上

v1.5

从网上下载并安装好DouPHP_v1.5_Release_20190711cms。

已知漏洞点在/admin/mobile.php 第74行 unlink函数

此处可任意控制要删除的文件的后缀

从代码中可以看出，想利用该函数，核心是利用好最后这个变量$mobile_logo。  该变量最近的变化是在这行代码中：

注：table()函数是给表名加个前缀。  这行代码的意思是，从数据库中获取字段mobile_logo的值。  这里我们直接登陆cms去访问目标文件看看是干什么的。注意到mobile.php这个文件是在admin目录下的，所以很可能是需要先登陆才能访问这个文件。登陆到后台，访问`/admin，得到如下页面：

admin
admin123

进入后台查看服务器以及CMS版本信息

接下来访问漏洞点/admin/mobile.php

同时这也证明，代码可以执行到这一步。  （这里简单提一下，这里的文件上传入口源代码中没有检测上传的文件后缀和内容，可能存在文件上传漏洞，有兴趣的可以去测试一下）  我们需要删除的文件在data/install.lock，所以需要一级一级跳到上级文件目录。在php中，上一级目录是用…/来表示，如果想要访问上一级目录，可以使用变量接收，就是:

这样$a表示的就是上一级目录。所以我们需要设法让源代码中的mobile_logo的值为：

Content-Disposition: form-data; name=”mobile_logo”
Content-Type: image/jpeg

../../../../data/install.lock

然后再删除LOGO

这里可以看到成功写入了

把修改回来unlink

DOUPHP代码执行漏洞的利用过程为：弱密码进入网站后台->传参->利用任意文件删除漏洞删除install.lock文件->进入网站安装页面->注入恶意的指令->访问

config.php文件->从URL进行传参->写木马文件->测试木马文件->getshell。  

漏洞的触发链较长，一环扣一环，从防御的角度，只要阻断其中的任何一环，该漏洞将很难被利用。  首先，代码执行需要有后台管理员的权限，因此对于管理员账号，应避免使用弱密码。同时，对于用户的传参内容使用正则进行过滤，避免传入恶意的内容,在服务器上也需要随时检测用户上传的文件，一旦检测到恶意文件及时删除。此外，对cms的文件夹、文件名等进行修改，也能其到一定的防护作用。