By:wooden
一次在渗透中遇到XE的程序,查了下,发现是韩国的一套比较常见的Cms,然后尝试挖掘漏洞,可惜一通扫描,检测下来没有任何可利用的漏洞,只好求助于Google了,此injection是由韩国的一个黑客组织公布的,但是韩文不行,并且文章介绍的很简单的,唯一有用的就是给出了出漏洞的文件和代码片断...
于是下了套cms回来看了下,挖了个Insert 型的injection...
问题出在/xe/classes/db/DBMysql.class.php,具体是哪就不说明了,毕竟不是自己发现的
注册时修改post:
|
以下是引用片段: <_filter> |
这样提交后,直接就是管理员权限了。。。接下来说拿Shell
由于韩国的那文章里并没有提及到拿shell,经过和amote一通研究后终于拿到shell。。。
在后台的Setting设置下 有个提交Ftp信息的模块,并且是写文件的files/config/ftp.config.php,大家会认为直接写个一句话上去就完事了,一开始我也这么认为的,但是请看提交后的代码:
|
以下是引用片段:
$ftp_info->ftp_user = 'as'; $ftp_info->ftp_port = 'asd'; $ftp_info->ftp_host = 'asd'; $ftp_info->ftp_pasv = 'Y'; $ftp_info->ftp_root_path = 'ss‘ ?> |
关键在于开始的判断if(!defined("__ZBXE__")) exit();,很明显,如果直接访问的话,程序直接退出,无论你提交什么都没意义,思路在这本来是断了的,于是继续翻代码
发现大部分配置文件都有这个判断,那么问题就好解决了,只要找到这个文件的宿主调用页,也就是定义了ZBXE标识的主文件并且让他调用ftp.config.php 就可以让代码执行了。。。
追了几段代码,终于在index.php 的modules模块里发现了宿主函数:index.php?module=admin&act=dispAdminConfig 那么只需要调用这个函数 他就会向ftp.config.php赋予zbxe,自然的,插入的一句话就可以执行了
但是,别高兴太早,在插入一句话的时候,发现程序过滤了很多东西例如$,&,@等一系列特殊符号,那么类似于等带有特殊符号的一句话木马都无法插入,并且Gpc开启,'也会被转义
必须得符合以下条件:
插入的代码不能带有$,&,@等特殊符号
无法使用' 号 ----ps:gpc开启
由于文件是在php代码内所以必须前后闭合,并且不能让文件报错
Ok,研究后发现 插入一句话木马是不可能的了,好吧,不废话了,直接放出最后研究出的代码吧:
|
以下是引用片段: ss'; define("__ZBXE__","Hello world!");?>")?>//; |
注意开头的' ,由于gpc为on的特性, '号将被转移成' 加上我们自己提交的 即为' ,反之,单独提交' 来闭合会让程序报错,原理就不解释了,这样调用后会在根目录生成一个Wooden.php的文件,在此之前,还需要在后台开启文件上传,并且上传一个php木马的图片文件,接着在include中输入木马的路径,注意,由于gpc的缘故必须使用双引号,但是多层嵌套的双引号会报错,所以必须对include下的双引号进行转义
Ok,提交后访问Wooden.php 一个本地包含的webshell出现了
文章到此结束,不得不承认,过程相当曲折:)
文章来源于lcx.cc:Xpress Engine Injection 到后台本地包含webshell - 技术文章
丫。lz@我了。。。 我随便说说吧。 获取到linux权限之后。首先收集信息 端口信息。看有没连接389之类的。。(如果有389端口,那么恭喜你 这台机子可能有ldap配置文件没准DC密码在里面。我就成功过)看端口还能看到一些内网的IP。。。然后收集内网ip地…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论