对仙桃之窗的一次安全检测

纹身青年岳飞

　　最近无聊在网上瞎转，碰到一个网站——仙桃之窗http://www.awxt.com/php/index.php，现在养成了一个毛病，看到网站就想给它来一次“全面体检”，于是就有了今天的检测之旅。该网站采用的是PHP脚本语言，因为对PHP不是太熟，而且在页面看了半天也没找到版权信息，所以也就没有看出是采用什么网站管理系统的，于是决定还是先找后台。一般情况下，大部分网站找到后台后都能看出是采用何种网站管理系统的。按常规先尝试最常见的后台，如admin、manage等，直接将index.php换成admin后确认，页面提示“请先登录”，然后自动转跳到登录页面。\r\n\r\n　　原来是采用phpcms网站管理系统 v3.0版的，真是天助我也！这个版本不是最近刚爆出上传漏洞吗？刚好拿来“实习”一下。该系统发生漏洞的文件是ads/upload.php和uppic.php，具体内容是由于upfile_type变量过滤不够严格，可以自定义上传类型所导致的。要利用此漏洞，需要先注册一个用户，回到主页睁大眼睛看了半天，居然没找到注册的地方，于是打开百度填上“Powered by phpcms 3.0.0”搜索，很快出来一堆采用这种phpcms网站管理系统 v3.0版的网站，随便找了几个打开，发现页面最顶部是注册和登录的地方，最底部是版权信息。看来仙桃之窗的管理员可能已经发现有漏洞，所以把版权信息和注册登录的链接删掉了，真是天不助我（反正都是老天爷的问题）！虽然注册和登录的链接没有了，只要注册和登录的文件没有被删掉还是可以搞定的，由其他同类网站得知注册文件是member/register.php，直接在网址后加上，注册页面出来了，哈哈，看来还是有戏唱的。\r\n\r\n　　注册完毕后，同理由其他同类网站得知登录文件是member/login.php，终于顺利登录了。现在我们需要在本地构造一个HTML格式的漏洞利用文件，其中“http://网址/ads/upload.php?action=upload&url=&upfile_type=asp”中的“网址”，大家换上有漏洞网站的网址，在这我换成www.awxt.com/php，而“upfile_type=asp”表示上传的ASP文件，将ASP改成JSP就可以上传JSP文件了。依此类推，除了PHP和PHP3不能上传外，其他格式均可以。用登录后的窗口打开这个HTML文件，目的是通过Session验证，就可以上传文件了。上传以后，在源码中就可以找到文件地址。获得的WebShell。另外一个漏洞文件uppic.php的利用原理和这是一样的。\r\n\r\n\r\n　　看来我们的管理员已经知道了有漏洞存在，然而遗憾的是只做了表面文章，虽将链接删掉了，但却没有删除或改名有漏洞的文件，属于斩草不除根，没有真正解决问题，依然有漏洞存在。希望管理员能从中吸取教训，修补漏洞要从根本上解决问题才行。