记一次影视cms黑盒CSRF->RCE
2023-3-7 16:57:32 Author: www.freebuf.com(查看原文) 阅读量:31 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

俗话说得好,思路才是最重要,本文章主要提供思路,各位师傅在挖掘漏洞的时候说不定也能碰到类似的点。

思路:

当我们在找可以构建csrf的时候,多找找可以提交上传图片的,部分是可以自由构建url,如图:

漏洞位置:

反馈位置构造csrf

202303071628861.png

既然能任意构建url,并没有校验防御。

开始找后台漏洞点

202303071628864.png

添加管理员处抓包

202303071628865.png

添加管理员转get试下,看能不能成功添加。

202303071628866.png

发现可行,我们返回反馈列表抓包构建下poc:

202303071628867.png

这里的话先构造一个添加管理员的,&符号需要编码下。

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注“freebuf”获取!】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

然后返回后台看看反馈列表。

202303071628868.png

这里的话只需要管理员点开触发即可。

202303071628869.png

点击之后Img src会加载get请求。

202303071628870.png

成功添加管理员

Poc:

添加管理员

/admin.php/sys/save?name=admin1&pass=123456

修改认证码

/admin.php/setting/save?admin_code=admin

当然没rce是没有灵魂的。

在采集管理,下载资源会压缩保存。

202303071628871.png

202303071628873.png

因为if会判断执行无法用|那么就用;,因为;在shell中,担任连续指令,从左到右执行,当执行到错误的命令会停止。

可以看到我这里的分别执行了ls和ping命令。

演示:

ls;ping

202303071628874.png

ls;dir;ping;i

202303071628875.png

复现成功

202303071628876.png

RCE 就不公布了,涉及到很多站点。

更多网安技能的在线实操练习,请点击这里>>


文章来源: https://www.freebuf.com/vuls/359632.html
如有侵权请联系:admin#unsafe.sh