PicHome开源网盘程序漏洞分析教学文档

1. 程序简介

PicHome是一款功能强大的开源网盘程序，主要特点包括：

• 高效管理各类文件
• 专注于图像和媒体文件管理
• 提供强大的文件共享功能
• 集成先进的AI辅助管理工具
• 为用户提供便捷、智能的文件管理体验

2. 漏洞列表

2.1 CVE-2025-1743 (路径遍历漏洞)

• 影响版本：Pichome 2.1.0
• 漏洞类型：路径遍历导致任意文件读取
• 影响组件：/index.php?mod=textviewer
• 漏洞参数：src参数
• 攻击方式：远程攻击
• 公开状态：漏洞细节已公开

2.2 CVE-2024-24393 (文件上传漏洞)

• 影响版本：Pichome v.1.1.01
• 漏洞类型：文件上传导致任意代码执行
• 影响组件：index.php
• 攻击方式：通过特制的POST请求远程执行代码

3. 漏洞详细分析

3.1 CVE-2025-1743 路径遍历漏洞分析

3.1.1 程序架构分析

程序采用Hook机制，核心路由处理流程：

1. 入口文件index.php包含/core/dzzstart.php
2. dzzstart.php进一步包含/coreBase.php
3. 初始化应用并触发路由钩子
4. 根据路由参数包含对应模块文件

路由机制：

• index.php?mod=模块名(对应文件名)&op=函数名

3.1.2 漏洞代码分析

漏洞位于dzz/textviewer/index.php文件中，通过src参数直接读取文件内容，未进行有效的路径校验和过滤。

3.1.3 漏洞利用方式

利用URL格式：

/index.php?mod=textviewer&op=index&src=目标文件路径

示例：

/index.php?mod=textviewer&op=index&src=../../../../etc/passwd

3.2 CVE-2024-24393 文件上传漏洞分析

3.2.1 漏洞代码分析

漏洞位于dzz/index/index.php文件中，仅检查了上传文件的MIME类型，未对文件内容、扩展名等进行有效验证。

3.2.2 漏洞利用方式

通过构造特制的POST请求，上传包含恶意代码的文件，绕过MIME类型检查，实现任意代码执行。

4. 漏洞修复建议

4.1 CVE-2025-1743修复方案

1. 对src参数进行严格过滤：

   • 禁止路径遍历字符(../)
   • 限制文件读取范围到指定目录
   • 实现白名单机制，只允许访问特定类型文件

2. 代码示例修复：

// 规范化路径并检查是否在允许范围内
$realPath = realpath($baseDir . $src);
if(strpos($realPath, $baseDir) !== 0) {
    die('非法路径访问');
}

4.2 CVE-2024-24393修复方案

1. 实施全面的文件上传验证：

   • 检查文件扩展名
   • 验证文件内容
   • 使用随机文件名
   • 限制上传目录的脚本执行权限

2. 代码示例修复：

// 定义允许的文件类型
$allowedExtensions = ['jpg', 'png', 'gif'];
$extension = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);

if(!in_array(strtolower($extension), $allowedExtensions)) {
    die('不允许的文件类型');
}

// 其他验证逻辑...

5. 安全开发建议

1. 输入验证原则：

   • 所有输入都是不可信的
   • 实施白名单而非黑名单机制
   • 在服务器端验证，不依赖客户端验证

2. 文件操作安全：

   • 使用绝对路径而非相对路径
   • 限制文件系统访问范围
   • 实施适当的权限控制

3. 文件上传安全：

   • 存储上传文件在web根目录外
   • 重命名上传文件
   • 禁用上传目录的脚本执行权限
   • 扫描上传文件内容

4. 错误处理：

   • 禁用错误信息显示
   • 记录错误日志
   • 提供通用的错误页面

6. 参考资源

1. OWASP路径遍历防护指南
2. OWASP文件上传防护指南
3. CWE-22: 路径遍历
4. CWE-434: 危险类型文件上传