SEMCMS上传漏洞分析与利用（Windows环境）<\/h1>

0x00 漏洞概述<\/h2>
本教学文档详细分析SEMCMS PHP 3.9版本在Windows环境下存在的文件上传漏洞，利用Windows特殊文件处理特性实现GetShell。该漏洞主要利用Windows的NTFS文件系统特性绕过CMS的上传限制。<\/p>

0x01 环境搭建<\/h2>

下载与安装<\/h3>

官网下载地址：http:\/\/www.sem-cms.com\/TradeCmsdown\/php\/SEMCMS_PHP_3.9.zip<\/li>

Windows安装说明：

后台地址：域名\/rhDOEr_Admin\/<\/code><\/li>

默认账号：Admin\/1<\/li>
<\/ul>
<\/li>
<\/ul>
测试环境<\/h3>

操作系统：Windows<\/li>
上传接口：\/N8D3ch_Admin\/SEMCMS_Upload.php<\/code><\/li>
<\/ul>
0x02 漏洞分析<\/h2>
上传流程关键代码<\/h3>
move_uploaded_file<\/span>($_FILES["file"<\/span>]["tmp_name"<\/span>],$Imageurl.<\/span>$newname);
<\/span><\/span><\/code><\/pre>漏洞点<\/h3>

文件名拼接过程未充分过滤特殊字符<\/li>
仅通过简单黑名单限制（'php', 'phtml'）<\/li>
在Windows环境下可利用NTFS特性绕过<\/li>
<\/ol>
0x03 Windows特性利用<\/h2>
特性1：冒号截断<\/h3>

格式：filename:stream<\/code><\/li>
示例：上传test.php:.jpg<\/code>会生成：

一个空的test.php<\/code>文件<\/li>
一个隐藏的test.php:.jpg<\/code>流文件<\/li>
<\/ul>
<\/li>
<\/ul>
特性2：特殊字符匹配<\/h3>

<<\/code>：匹配0个或多个字符（类似*）<\/li>
><\/code>：匹配1个字符<\/li>
"<\/code>：匹配点号(.)<\/li>
<\/ul>
特性3：自动去除点<\/h3>

文件名末尾的点会被自动删除<\/li>
示例：test.php.<\/code> → test.php<\/code><\/li>
<\/ul>
特性4：流类型<\/h3>

::$data<\/code>：默认流类型<\/li>
示例：test.php::$data<\/code> → test.php<\/code><\/li>
<\/ul>
0x04 漏洞利用方法<\/h2>
方法1：冒号截断+字符匹配<\/h3>

首先上传ttt.jpg.php:.jpg<\/code>生成空文件ttt.jpg.php<\/code><\/li>
然后上传ttt.jpg<<<\/code>（至少两个<）覆盖原文件

拼接后文件名：ttt.jpg<<.jpg<\/code><\/li>
实际匹配：ttt.jpg.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
方法2：点号匹配<\/h3>

构造后缀为jpg\"php<\/code>

匹配规则："<\/code>匹配点号<\/li>
实际生成：jpg.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
方法3：流类型利用<\/h3>

直接上传shell.php::$data<\/code>

系统会忽略::$data<\/code>部分<\/li>
实际保存为shell.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x05 详细利用步骤<\/h2>
步骤1：初始上传<\/h3>

访问上传接口<\/li>
修改上传文件名参数为ttt.jpg.php:.jpg<\/code><\/li>
上传后生成：

可见的空文件ttt.jpg.php<\/code><\/li>
隐藏的流文件ttt.jpg.php:.jpg<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
步骤2：覆盖写入<\/h3>

修改文件名参数为ttt.jpg<<<\/code><\/li>
确保后缀为.jpg<\/code>（或其他允许的后缀）<\/li>
上传后<<<\/code>会匹配到已存在的ttt.jpg.php<\/code>文件<\/li>
内容被成功写入<\/li>
<\/ol>
验证<\/h3>

访问http:\/\/target\/ttt.jpg.php<\/code><\/li>
确认内容已成功写入<\/li>
<\/ol>
0x06 防御建议<\/h2>

使用严格的白名单机制而非黑名单<\/li>
过滤所有特殊字符（:, <, >, ", $等）<\/li>
重命名上传文件（如使用MD5值）<\/li>
在Linux服务器部署（不受此特性影响）<\/li>
文件内容检查（而非仅检查扩展名）<\/li>
<\/ol>
0x07 总结<\/h2>
该漏洞利用Windows NTFS文件系统的多个特性：<\/p>

流文件特性（冒号分隔）<\/li>
通配符匹配特性（<, >, "）<\/li>
自动处理规则（点号删除）<\/li>
<\/ol>
虽然这些技术在较新系统中可能受到限制，但在特定环境下仍可能有效。防御关键在于严格的文件名验证和处理流程。<\/p>

SEMCMS上传漏洞分析与利用（Windows环境）<\/h1>

0x00 漏洞概述<\/h2> 本教学文档详细分析SEMCMS PHP 3.9版本在Windows环境下存在的文件上传漏洞，利用Windows特殊文件处理特性实现GetShell。该漏洞主要利用Windows的NTFS文件系统特性绕过CMS的上传限制。<\/p>

0x01 环境搭建<\/h2>

0x02 漏洞分析<\/h2>

0x03 Windows特性利用<\/h2>

0x04 漏洞利用方法<\/h2>

0x05 详细利用步骤<\/h2>

0x00 漏洞概述<\/h2>
本教学文档详细分析SEMCMS PHP 3.9版本在Windows环境下存在的文件上传漏洞，利用Windows特殊文件处理特性实现GetShell。该漏洞主要利用Windows的NTFS文件系统特性绕过CMS的上传限制。<\/p>