PHPOK 6.0 不安全的UNZIP操作漏洞分析<\/h1>

漏洞概述<\/h2>
本文详细分析PHPOK 6.0 CMS系统中存在的多个不安全UNZIP操作漏洞，这些漏洞允许攻击者在获得后台管理员权限后，通过上传恶意ZIP压缩包实现任意文件上传，最终获取服务器WebShell。<\/p>

漏洞背景<\/h2>
文件上传漏洞是Web应用中最常见且危害严重的漏洞之一。随着防护手段的增强，直接上传恶意PHP文件的难度增大，但不安全的UNZIP操作导致的Getshell问题仍广泛存在于许多CMS系统中。<\/p>

漏洞点分析<\/h2>

1. 插件中心漏洞<\/h3>

利用步骤：<\/strong><\/p>

导出一个已安装的插件<\/li>
修改文件名并添加恶意代码<\/li>
本地上传修改后的插件<\/li>
访问上传的恶意文件实现Getshell<\/li> <\/ol>
请求示例：<\/strong><\/p>
\/phpok6\/admin.php?c=upload&f=zip&PHPSESSION=9ff1mj7tdjnnru3uahmdfg6nh5&id=WU_FILE_0&name=shell.zip&type=application\/x-zip-compressed&lastModifiedDate=Tue+Mar+15+2022+12:20:22+GMT+0800+(中国标准时间)&size=10022 <\/code><\/pre> 代码分析：<\/strong><\/p> 控制器路径：framework\/admin\/upload_control.php<\/code><\/li> 关键方法zip_f()<\/code>：<\/li> <\/ul> public<\/span> function<\/span> zip_f<\/span>() { <\/span><\/span> $rs =<\/span> $this-><\/span>lib<\/span>('upload'<\/span>)-><\/span>zipfile<\/span>('upfile'<\/span>); <\/span><\/span> if<\/span>($rs['status'<\/span>] !=<\/span> 'ok'<\/span>){ <\/span><\/span> $this-><\/span>json<\/span>($rs['error'<\/span>]); <\/span><\/span> } <\/span><\/span> $this-><\/span>json<\/span>($rs['filename'<\/span>],true<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 调用framework\/libs\/upload.php<\/code>中的zipfile()<\/code>方法：<\/li> <\/ul> public<\/span> function<\/span> zipfile<\/span>($input,$folder=<\/span>''<\/span>) { <\/span><\/span> if<\/span>(!<\/span>$input){ <\/span><\/span> return<\/span> array<\/span>('status'<\/span>=><\/span>'error'<\/span>,'content'<\/span>=><\/span>P_Lang<\/span>('未指定表单名称'<\/span>)); <\/span><\/span> } <\/span><\/span> \/\/ 文件类型检测和上传处理 <\/span><\/span><\/span><\/span> $this-><\/span>set_type<\/span>('zip'<\/span>); <\/span><\/span> $this-><\/span>cate<\/span> =<\/span> array<\/span>('id'<\/span>=><\/span>0<\/span>,'filemax'<\/span>=><\/span>104857600<\/span>,'root'<\/span>=><\/span>$folder,'folder'<\/span>=><\/span>'\/'<\/span>,'filetypes'<\/span>=><\/span>'zip'<\/span>); <\/span><\/span> if<\/span>(isset<\/span>($_FILES[$input])){ <\/span><\/span> $rs =<\/span> $this-><\/span>_upload<\/span>($input); <\/span><\/span> }else<\/span>{ <\/span><\/span> $rs =<\/span> $this-><\/span>_save<\/span>($input); <\/span><\/span> } <\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞原因：<\/strong><\/p> 仅检测文件类型是否为ZIP和文件大小限制<\/li> 未对压缩包内容进行安全检测<\/li> 直接解压上传的ZIP文件，导致恶意PHP文件被保存<\/li> <\/ul> 2. 程序升级漏洞<\/h3> 利用方式：<\/strong><\/p> 通过后台"程序升级"功能中的"压缩包升级"上传恶意ZIP文件<\/li> 利用方式与插件中心漏洞相同<\/li> <\/ul> 代码路径：<\/strong><\/p> framework\/admin\/update_control.php<\/code>中的zip_f()<\/code>方法<\/li> <\/ul> 3. 模块管理漏洞<\/h3> 利用步骤：<\/strong><\/p> 导出已有模块<\/li> 在压缩包中添加PHP文件<\/li> 导入模块<\/li> 虽然显示"导入模块失败"，但文件已解压到_cache<\/code>目录<\/li> <\/ol> 请求示例：<\/strong><\/p> \/phpok6\/admin.php?c=upload&f=zip&PHPSESSION=cb43j0h4epcfr589foaphmk2p5&id=WU_FILE_0&name=wdnmd.zip&type=application\/x-zip-compressed&lastModifiedDate=Tue+Mar+15+2022+15:23:16+GMT+0800+(中国标准时间)&size=1244 <\/code><\/pre> 代码分析：<\/strong><\/p> 控制器路径：framework\/admin\/module_control.php<\/code><\/li> 关键方法import_f()<\/code>：<\/li> <\/ul> public<\/span> function<\/span> import_f<\/span>() { <\/span><\/span> $zipfile =<\/span> $this-><\/span>get<\/span>('zipfile'<\/span>); <\/span><\/span> \/\/ ...验证代码... <\/span><\/span><\/span><\/span> $this-><\/span>lib<\/span>('phpzip'<\/span>)-><\/span>unzip<\/span>($this-><\/span>dir_root<\/span>.<\/span>$zipfile,$this-><\/span>dir_cache<\/span>); <\/span><\/span> if<\/span>(!<\/span>file_exists<\/span>($this-><\/span>dir_cache<\/span>.<\/span>'module.xml'<\/span>)){ <\/span><\/span> $this-><\/span>error<\/span>(P_Lang<\/span>('导入模块失败,请检查解压缩是否成功'<\/span>)); <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞特点：<\/strong><\/p> 先解压文件再进行验证<\/li> 即使验证失败，文件已解压到_cache<\/code>目录<\/li> 需要_cache<\/code>目录有访问权限且未清空缓存<\/li> <\/ul> 漏洞利用条件<\/h2> 已获取后台管理员权限<\/li> 目标系统存在以下功能之一：插件管理<\/li> 程序升级<\/li> 模块管理<\/li> <\/ul> <\/li> 对于模块管理漏洞，还需满足： _cache<\/code>目录有访问权限<\/li> 后台未及时清空缓存<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 对上传的ZIP文件内容进行严格检查：<\/p> 检查文件扩展名<\/li> 检查文件内容类型<\/li> 禁止解压PHP等可执行文件<\/li> <\/ul> <\/li> 实现安全的解压流程：<\/p> 先验证后解压<\/li> 解压到临时目录，验证通过后再移动<\/li> 解压失败时清理临时文件<\/li> <\/ul> <\/li> 权限控制：<\/p> 限制上传目录的执行权限<\/li> 对敏感目录设置访问限制<\/li> <\/ul> <\/li> 输入验证：<\/p> 检查文件路径，防止目录穿越<\/li> 对文件名进行规范化处理<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> PHPOK 6.0中存在的多个不安全UNZIP操作漏洞，虽然需要管理员权限才能利用，但强调了后台安全的重要性。许多CMS系统往往只注重前台安全，而忽视了后台功能的安全性。攻击者在获取管理员权限后，配合此类漏洞可轻松获取WebShell，对系统安全构成严重威胁。<\/p>

PHPOK 6.0 不安全的UNZIP操作漏洞分析<\/h1>

漏洞概述<\/h2> 本文详细分析PHPOK 6.0 CMS系统中存在的多个不安全UNZIP操作漏洞，这些漏洞允许攻击者在获得后台管理员权限后，通过上传恶意ZIP压缩包实现任意文件上传，最终获取服务器WebShell。<\/p>

漏洞背景<\/h2> 文件上传漏洞是Web应用中最常见且危害严重的漏洞之一。随着防护手段的增强，直接上传恶意PHP文件的难度增大，但不安全的UNZIP操作导致的Getshell问题仍广泛存在于许多CMS系统中。<\/p>

漏洞点分析<\/h2>

漏洞概述<\/h2>
本文详细分析PHPOK 6.0 CMS系统中存在的多个不安全UNZIP操作漏洞，这些漏洞允许攻击者在获得后台管理员权限后，通过上传恶意ZIP压缩包实现任意文件上传，最终获取服务器WebShell。<\/p>

漏洞背景<\/h2>
文件上传漏洞是Web应用中最常见且危害严重的漏洞之一。随着防护手段的增强，直接上传恶意PHP文件的难度增大，但不安全的UNZIP操作导致的Getshell问题仍广泛存在于许多CMS系统中。<\/p>