74cms最新getshell漏洞分析与复现<\/h1>

漏洞概述<\/h2>
74cms（骑士人才系统）存在一个文件上传漏洞，攻击者可以通过构造特殊的base64编码数据上传PHP文件，从而获取服务器webshell权限。<\/p>

环境搭建<\/h2>

下载源码：从官网下载 https:\/\/www.74cms.com\/download\/detail\/161.html<\/li>
使用phpstudy搭建环境<\/li>
配置数据库地址和管理员密码<\/li>

完成安装（参考官方文档：http:\/\/doc.74cms.com\/#\/se\/quickstart?id=%e5%ae%89%e8%a3%85%e7%a8%8b%e5%ba%8f）<\/li> <\/ol>

漏洞复现步骤<\/h2>

注册企业账号<\/strong>：<\/p>

访问 \/member\/reg\/company<\/code> 注册一个企业账号<\/li>
登录该企业账号<\/li> <\/ul> <\/li>
构造恶意请求<\/strong>：<\/p> 在企业logo上传处，构造base64编码的PHP文件<\/li> 示例POC： imgBase64=data:image\/php;base64,PD9waHAgcGhwaW5mbygpOw== <\/code><\/pre> （此为<?php phpinfo();?><\/code>的base64编码）<\/li> <\/ul> <\/li> 获取webshell<\/strong>：<\/p> 发送请求后会返回文件路径<\/li> 访问该路径即可执行上传的PHP代码<\/li> <\/ul> <\/li> <\/ol> 漏洞分析<\/h2> 漏洞位置<\/strong>：<\/p> 文件：application\/v1_0\/controller\/company\/Index.php<\/code><\/li> 问题代码：处理上传的base64数据时未严格校验文件类型<\/li> <\/ul> <\/li> 漏洞原理<\/strong>：<\/p> 系统允许通过base64方式上传文件<\/li> 未严格限制文件类型，攻击者可伪造文件头<\/li> 虽然文件名包含随机time值，但响应中会返回完整路径<\/li> <\/ul> <\/li> 触发条件<\/strong>：<\/p> 需要企业账号权限（通过注册企业账号获得）<\/li> 需要调用checkLogin<\/code>方法进行初始化<\/li> <\/ul> <\/li> <\/ol> 修复建议<\/h2> 严格限制文件类型<\/strong>：<\/p> 强制要求上传文件必须是图片格式<\/li> 验证文件内容与扩展名是否匹配<\/li> <\/ul> <\/li> 防止文件扩展名伪装<\/strong>：<\/p> 禁止通过修改文件头伪装文件类型<\/li> 对上传文件进行二次渲染验证<\/li> <\/ul> <\/li> 其他安全措施<\/strong>：<\/p> 禁止直接执行上传目录中的PHP文件<\/li> 对返回路径进行模糊处理<\/li> <\/ul> <\/li> <\/ol> 免责声明<\/h2> 本文仅用于安全研究和技术交流目的。未经授权对系统进行测试或攻击属于违法行为。传播、利用本文信息造成的任何后果由使用者自行承担。<\/p>

74cms最新getshell漏洞分析与复现<\/h1>

漏洞概述<\/h2> 74cms（骑士人才系统）存在一个文件上传漏洞，攻击者可以通过构造特殊的base64编码数据上传PHP文件，从而获取服务器webshell权限。<\/p>

免责声明<\/h2> 本文仅用于安全研究和技术交流目的。未经授权对系统进行测试或攻击属于违法行为。传播、利用本文信息造成的任何后果由使用者自行承担。<\/p>

漏洞概述<\/h2>
74cms（骑士人才系统）存在一个文件上传漏洞，攻击者可以通过构造特殊的base64编码数据上传PHP文件，从而获取服务器webshell权限。<\/p>

免责声明<\/h2>
本文仅用于安全研究和技术交流目的。未经授权对系统进行测试或攻击属于违法行为。传播、利用本文信息造成的任何后果由使用者自行承担。<\/p>