利用 Apache 的解析机制来植入webshell

本文作者：Z1NG（信安之路核心成员）

这篇 getshell 是上一篇的一个续篇。在上一篇中提及的 getshell 的方式依赖于修改任意文件漏洞，假如任意文件修改被修补了，那么连带 getshell 也无法进行了。于是再对 down_url() 函数进行审计试图找出直接控制文件内容的方法。运气又一次眷顾，发现新的 getshell 的方法。

先简单回顾一下上篇的利用点，在代码的第 887 行处，有一处黑名单限制后缀名。显然，这个黑名单是不完备的。不仅仅只是用 phtml 可以绕过，就连 php (php 后面带一个空格)这样的方式也就可以绕过了。因此，首先通过 phtml 和 php [空格]已经可以创建一个动态可执行的脚本。那么，现在的关键点只在于如何控制内容？

控制内容的代码在 898 行处开始，由于是远程获取文件，所以流程进入 if 语句。很明显的可以看到，是使用 curl 的方式来获取远程服务器上的页面资源。说实话，对 curl 其实不是特别熟悉，仅仅是简单粗暴的把它理解成是一个浏览器。也就是，当curl www.baidu.com时，实际上等效于访问百度的页面，会将页面的内容加载出来。

利用 curl 操作会将页面内容加载出来的特点，只要在可控服务器上能够使得一个 php 文件显示出一段 php 代码，再触发目标网站的漏洞点不就可以植入 webshell 吗？因此，我们可以得到两种 getshell 的方法。

方式一

在可控的服务器里（该虚拟机 IP 为 192.168.198.132），配置上一个 shell.php 内容如下：

然后在目标网站，执行 payload，效果如下： 注 : shell.php 后面有一个空格

查看文件夹，可以看到文件已经被保存下来了。

方式二

上一篇是利用生成一个 phtml 文件，再利用修改任意文件漏洞来达到 webshell 植入。在测试的过程中发现，我使用的 Win7+phpstudy 的环境默认不解析 phtml 环境，需要做修改才能解析。如果不解析，访问该文件，会直接将文件内容显示出来，或者弹出下载框。

于是自然而然的可以想到，先配置一个服务器并且设置不解析 phtml 文件，然后构造一个请求，使得目标网站将这个 shell.phtm 保存下来，从而达到 webshell 植入的目的！

总结

蛮有意思的一个洞吧。植入后门，不一定是要文件上传。类似于这种远程文件获取的，本身是带有一定危险的。如果没限制好后缀，简直就是天然的漏洞。加上上一篇，一共三种 getshell 方式（其实还有一种没写出来），各有各的特征。两个漏洞相结合 getshell 的方式不需要有自己的服务器，但是依赖于任意修改文件漏洞。后两种首先需要有自己的服务器，并且根据目标网站的环境不同（是否能解析 phtml 文件）来选择不同的方式。

对这套 CMS 的审计应该到此就结束了，不排除心血来潮再审一审。写下这几篇文章，仅记录一下挖掘过程和思路吧。

利用 Apache 的解析机制来植入webshell

方式一

方式二

总结

推荐阅读