elFinder RCE漏洞分析(CVE-2021-32682)教学文档<\/h1>

1. 漏洞概述<\/h2>

1.1 基本信息<\/h3>

漏洞编号<\/strong>: CVE-2021-32682<\/li>
影响组件<\/strong>: elFinder (开源Web文件管理器)<\/li>
漏洞类型<\/strong>: 远程命令执行(RCE)<\/li>
影响版本<\/strong>: elFinder <= 2.1.58<\/li>

漏洞原因<\/strong>: 创建ZIP存档时对name<\/code>参数过滤不严导致命令注入<\/li> <\/ul> 1.2 组件介绍<\/h3> elFinder是一个使用jQuery UI和JavaScript编写的开源Web文件管理器，设计灵感来源于Mac OS X的Finder程序，提供简单便捷的文件管理功能。<\/p> 2. 漏洞原理分析<\/h2> 2.1 漏洞触发点<\/h3> 漏洞存在于创建新ZIP存档功能中，攻击者可以控制name<\/code>参数，该参数最终被传递到prox_open<\/code>中执行，导致命令注入。<\/p> 2.2 漏洞利用条件<\/h3> 需要有创建ZIP存档的权限<\/li> 能够控制ZIP存档的文件名参数<\/li> <\/ul> 2.3 技术细节<\/h3> 用户提供的name<\/code>参数通过archive<\/code>函数处理<\/li> 经过正则转换和字符串替换后传入uniqueName<\/code>函数<\/li> 最终传递到remoteArchive<\/code>函数<\/li> 虽然使用了escapeshellarg()<\/code>进行转义，但攻击者可以利用ZIP命令的-TT<\/code>选项注入命令<\/li> <\/ol> 3. 漏洞复现<\/h2> 3.1 环境搭建<\/h3> 下载受影响版本(<=2.1.58): https:\/\/github.com\/Studio-42\/elFinder <\/code><\/pre> <\/li> 重命名配置文件: mv \/php\/connector.minimal.php-dist \/php\/connector.minimal.php <\/code><\/pre> <\/li> 通过浏览器访问: \/elfinder.src.html <\/code><\/pre> <\/li> <\/ol> 3.2 漏洞验证<\/h3> 构造恶意请求，利用ZIP命令的-TT<\/code>选项执行任意命令:<\/p> POST请求示例: name=-TmTT="$(id>out.txt)foooo" <\/code><\/pre> 3.3 攻击原理<\/h3> 正常命令构造: zip -r9 -q 'a1.zip'<\/span> '.\/a.zip'<\/span> <\/span><\/span><\/code><\/pre><\/li> 恶意构造后: zip -r9 -q '-TmTT="$(id>out.txt)foooo".zip'<\/span> '.\/a.txt'<\/span> <\/span><\/span><\/code><\/pre><\/li> 利用-TT<\/code>选项指定测试命令，执行id<\/code>并将结果输出到out.txt<\/code><\/li> <\/ol> 4. 代码分析<\/h2> 4.1 关键函数调用链<\/h3> connector.minimal.php<\/code> → 包含autoload.php<\/code><\/li> elFinderVolumeLocalFileSystem.class.php<\/code>中的archive<\/code>函数<\/li> elFinder.class.php<\/code>中的处理流程: 检查name<\/code>参数是否存在<\/li> 进行正则转换和字符串替换<\/li> 调用uniqueName<\/code>函数处理<\/li> 传递到remoteArchive<\/code>函数<\/li> 最终在makeArchive<\/code>中构造命令<\/li> <\/ul> <\/li> <\/ol> 4.2 关键代码片段<\/h3> \/\/ elFinder.class.php中对name参数的处理 <\/span><\/span><\/span><\/span>if<\/span> (isset<\/span>($_POST['name'<\/span>])) { <\/span><\/span> $name =<\/span> $_POST['name'<\/span>]; <\/span><\/span> \/\/ 正则转换和字符串替换 <\/span><\/span><\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span> $name =<\/span> $this-><\/span>uniqueName<\/span>($dstDir, $name, '-'<\/span>); <\/span><\/span> $this-><\/span>remoteArchive<\/span>($args, $name); <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ makeArchive函数中的命令构造 <\/span><\/span><\/span><\/span>$cmd =<\/span> 'zip -r9 -q '<\/span>.<\/span>escapeshellarg<\/span>($name).<\/span>' '<\/span>.<\/span>escapeshellarg<\/span>($dir); <\/span><\/span>$this-><\/span>procExec<\/span>($cmd); <\/span><\/span><\/code><\/pre>5. 修复方案<\/h2> 5.1 官方修复<\/h3> 官方在后续版本中修复了此漏洞，主要措施包括:<\/p> 对name<\/code>参数进行更严格的过滤<\/li> 限制特殊字符的使用<\/li> <\/ol> 5.2 临时缓解措施<\/h3> 升级到最新版本<\/li> 禁用ZIP存档功能<\/li> 实施严格的输入验证<\/li> <\/ol> 6. 参考链接<\/h2> 官方修复提交: https:\/\/github.com\/Studio-42\/elFinder\/commit\/a106c350b7dfe666a81d6b576816db9fe0899b17<\/li> SonarSource分析: https:\/\/blog.sonarsource.com\/elfinder-case-study-of-web-file-manager-vulnerabilities<\/li> Exploit代码: https:\/\/packetstormsecurity.com\/files\/164173\/elfinder_archive_cmd_injection.rb.txt<\/li> <\/ol> 7. 总结<\/h2> 该漏洞展示了Web文件管理器中常见的命令注入风险，特别是在调用系统命令处理用户可控参数时。开发人员应当:<\/p> 对所有用户输入进行严格验证<\/li> 避免直接将用户输入拼接到系统命令中<\/li> 使用安全的API替代系统命令调用<\/li> 实施最小权限原则，限制Web应用的系统权限<\/li> <\/ol>