Как могли использовать уязвимость функции copy() в PHP?

Question

[GrigoriyD]

Подскажите пожалуйста какая строка может быть передана в $_POST['path'] для загрузки вредоносного файла ( из вне ) на сервер? Может ли путь /var/www/dir_1/ быть как-то экранирован ?

$path = "/var/www/dir_1/" . $_POST['path'];
copy($path, $newPath);

Считалось что так как $path уже содержит часть пути /var/www/dir_1/ , то копируемый файл обязательно будет браться локально с сервера. Но это было ошибочное суждение, был загружен PHP файл, которого точно не было до этого нигде на сервере.

Answer 1

[Vitaliy K]

Так вот просто принимать $_POST не очень хорошо.
Я бы разрешил пропускать только a-z0-9, к примеру.
Не проверял, но подозреваю, что передача конструкции типа ../../../ приведет к переходу на каталог выше.

Answer 2

[Сергей Соколов]

Предположение не проверял.
Может, парсер параметров copy() как-то особенно разбирает строки, и там символ form_feed или carriage_return позволяет перезаписать/игнорировать прилепленное в начале "/var/www/dir_1/"?

Тогда переданный в него "\rhttp://site.com/bad_script.php" закачивает этот файл на сервер?

Comments

[GrigoriyD]

Да, пытаюсь найти именно подобный вариант развития событий, попробую проверить

[GrigoriyD]

Проверяли, \r \n \f не перезаписывают изначальный путь, добавляются как обычные строковые символы. Но возможно истина где-то рядом :)

[xmoonlight]

GrigoriyD, проверьте впереди: \0 и %00

[GrigoriyD]

Новые данные. copy() лишь скопировал уже скачанный ранее файл.
Нашли код через который был скачан файл:

$fileName = str_replace("/index.php/", "", $_SERVER["REQUEST_URI"]);
$filePath = "/path/" . $fileName;
$url = "https://dl.dropboxusercontent.com/1/view/" . $fileName;
$file = file_get_contents($url);
if($file){
    file_put_contents($filePath, $file);
}

Есть точная информация что при выполнении этого кода был инициирован вызов wget на другой внешний ресурс. Вопрос как подставить сюда вызов wget ?

[xmoonlight]

GrigoriyD, модифицировать $_SERVER["REQUEST_URI"] подставив %0 и команду, например.
Кстати, внезапно!

[GrigoriyD]

xmoonlight, пробовал с %0 - nginx отвечает 400 Bad Request , ничего далее не происходит.

Может быть поможет, но в момент взлома вызов file_get_contents по логам выдал warning: HTTP request failed! HTTP/1.1 429 This link is temporarily disabled. То есть это сервер дропбокса дал такой ответ. И далее после этого запись от wget о скачивании Shell скрипта с гитхаба

Насчет уязвимости php-fpm - я толком не разобрался конечно, но по логам множественных подобных обращений не было

[xmoonlight]

GrigoriyD, а полная строка лога до wget (и с wget) - какая?
Там всё должно быть, какие запросы были из-вне.

[GrigoriyD]

xmoonlight, Ничего толком нет, мне кажется и то повезло увидеть этот запрос в логах, потому что сервер дропбокса ответил ошибкой, почти уверен что до этого были выполнены другие команды которые не попали в лог.

[#date#] [:error] [pid #####] [client 127.0.0.1:#####] PHP Warning:  file_get_contents(https://dl.dropboxusercontent.com/1/view/########/########.jpg): failed to open stream: HTTP request failed! HTTP/1.1 429 This link is temporarily disabled.\r\n in /###/###/###/index.php on line ##
--#date#--  https://raw.githubusercontent.com/###/###.php
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.0.133, 151.101.64.133, 151.101.128.133, ...
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.0.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 223978 (219K) [text/plain]
Saving to: '946bc8c74da18fa45fb480e5bac71b0a.php'

     0K .......... .......... .......... .......... .......... 22%  639K 0s
    50K .......... .......... .......... .......... .......... 45% 1.47M 0s
   100K .......... .......... .......... .......... .......... 68% 3.60M 0s
   150K .......... .......... .......... .......... .......... 91% 2.20M 0s
   200K .......... ........                                   100% 15.5M=0.1s

#date# (1.44 MB/s) - '946bc8c74da18fa45fb480e5bac71b0a.php' saved [223978/223978]

ls: cannot access 946bc8c74da18fa45fb480e5bac71b0a: No such file or directory

[xmoonlight]

GrigoriyD, много решёток.. Ну ладно, не суть, наверное...
Возможно, уже закачали руткит через что-то другое ранее.

На будущее, советую делать список всех урл и параметров в них и унифицировать (шаблон).

Потом прописывать правила через регулярку и проверять их перед установкой в "роутер". "роутер" - "фронт"-скрипт на бэкенде на php, разводящий запросы по типам страниц.
Или(/и) в правила веб-сервера эти же регулярки вставляете.

Answer 3

[Алексей Скворцов]

Если перемененная $newPath сохраняется как не .php файл, то что мешало в $_POST['path'] засунуть тот же "../site.com/config.php" или любой другой файл, в котором есть подключение к чему либо? (админка, бд)
После подобных манипуляций у злоумышленников не возникнет трудности залить любой другой файл, но уже используя админ панель.

Answer 4

[alekssamos]

есть функция basename, оборачивай POST в неё.