记一次影视cms黑盒CSRF->RCE
2023-3-9 10:17:51 Author: www.secpulse.com(查看原文) 阅读量:33 收藏

俗话说得好,思路才是最重要,本文章主要提供思路,各位师傅在挖掘漏洞的时候说不定也能碰到类似的点

1.思路:

当我们在找可以构建csrf的时候,多找找可以提交上传图片的,部分是可以自由构建url如图:

漏洞位置:

反馈位置构造csrf

{width="5.763888888888889in" height="3.0555555555555554in"}

既然能任意构建url,并没有校验防御

开始找后台漏洞点

{width="5.763888888888889in" height="2.4027777777777777in"}

添加管理员处抓包

{width="5.763888888888889in" height="2.625in"}

添加管理员转get试下,看能不能成功添加

{width="5.763888888888889in" height="1.4583333333333333in"}

发现可行,我们返回反馈列表抓包构建下poc:

{width="5.763888888888889in" height="4.5in"}

这里的话先构造一个添加管理员的,&符号需要编码下

然后返回后台看看反馈列表

{width="5.763888888888889in" height="2.986111111111111in"}

这里的话只需要管理员点开触发即可

{width="5.763888888888889in" height="3.611111111111111in"}

点击之后Img src会加载get请求

{width="5.75in" height="1.6666666666666667in"}

成功添加管理员

Poc:

添加管理员

/admin.php/sys/save?name=admin1&pass=123456

修改认证码

/admin.php/setting/save?admin_code=admin

当然没rce是没有灵魂的

在采集管理,下载资源会压缩保存

{width="3.7777777777777777in" height="1.2916666666666667in"}

{width="4.291666666666667in" height="0.3333333333333333in"}

因为if会判断执行无法用|那么就用;,因为;在shell中,担任连续指令,从左到右执行,当执行到错误的命令会停止

可以看到我这里的分别执行了ls和ping命令

演示:

ls;ping

{width="5.763888888888889in" height="1.4444444444444444in"}

ls;dir;ping;i

{width="5.763888888888889in" height="1.625in"}

复现成功

{width="5.763888888888889in" height="2.486111111111111in"}

RCE 就不公布了,涉及到很多站点

本文作者:合天网安实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/197197.html


文章来源: https://www.secpulse.com/archives/197197.html
如有侵权请联系:admin#unsafe.sh